O que é a Lei Geral de Proteção de Dados Pessoais
A Lei n° 13.709/2018, também conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi estabelecida para resguardar os direitos essenciais de liberdade, privacidade e a livre construção da personalidade de cada pessoa. A legislação se concentra no manejo de informações pessoais, armazenadas de maneira física ou digital, realizada por entidades físicas ou jurídicas, públicas ou privadas, cobrindo uma vasta gama de operações possíveis em ambientes manuais ou digitais.
Dentro da estrutura da LGPD, o manuseio de dados pessoais pode ser gerenciado por dois agentes principais: o controlador e o operador. Existe ainda uma terceira figura, o encarregado, designado pelo controlador para atuar como elo de ligação entre o controlador, o operador, os proprietários dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Um aspecto importante contemplado pela legislação é o processamento de dados, que se refere a qualquer atividade que utilize informações pessoais em sua execução. Isso pode incluir: coleta, geração, recebimento, categorização, utilização, acesso, reprodução, transmissão, distribuição, processamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, disseminação ou extração.
Antes de começar qualquer processamento de dados pessoais, o agente deve garantir que a finalidade da operação seja claramente registrada e declarada, e que os objetivos sejam explicitamente informados ao titular dos dados.
O que são dados pessoais?
É definido como informação pessoal qualquer detalhe que possibilite a identificação, seja de maneira direta ou indireta, de um indivíduo vivo. Isso inclui elementos como: identidade, número de contribuinte, gênero, data e local onde nasceu, contato telefônico, moradia, localização através de GPS, representação em imagens, histórico médico, informações de cartão bancário, rendimentos, registro de transações financeiras, padrões de compra, interesses recreativos, endereço IP e cookies.
Dados pessoais sensíveis
A legislação apresenta a definição de informação pessoal sensível, que se refere à ascendência racial ou étnica, crença religiosa, ponto de vista político, associação a sindicato ou organização de natureza religiosa, filosófica ou política, dados relacionados à saúde ou vida sexual e informações genéticas ou biométricas, quando associadas a um indivíduo.
Tratamento de dados pessoais na administração pública
O compartilhamento de informações dentro da administração pública, no contexto da implementação de políticas públicas, é previsto na lei e não requer consentimento específico. No entanto, a entidade que coleta os dados deve informar de forma transparente quais informações serão compartilhadas e com quem.
Por outro lado, a entidade que solicita o compartilhamento deve justificar essa solicitação com base na implementação de uma política pública específica e bem definida, explicando a razão do pedido de acesso e a utilização pretendida dos dados. Informações protegidas por confidencialidade permanecem assim e são regidas por normas e regulamentos específicos.
Estes e outros pontos críticos devem ser devidamente considerados pelas instituições e órgãos da administração federal, para garantir que o tratamento dos dados pessoais esteja em conformidade com os dispositivos legais e princípios da LGPD.
A legislação estabelece um marco regulatório de direitos para os titulares de dados pessoais. Esses direitos devem ser respeitados ao longo de todo o período em que os dados pessoais são processados pela instituição ou órgão. Para possibilitar o exercício dos direitos dos titulares, a LGPD estipula um conjunto de instrumentos que reforçam os compromissos de transparência, tanto ativa quanto passiva, e define procedimentos para mobilizar a Administração Pública.
11 princípios da LGPD
1. Uniformidade na Regulamentação
Proporciona um ambiente de segurança jurídica válido em todo o território nacional.
2. Autorização
O consentimento é um dos dez fundamentos jurídicos para o processamento de dados pessoais.
3. Definição Explícita
Determina de forma precisa e incontestável o que são considerados dados pessoais.
4. Autorização de Menor
No caso da base legal de “consentimento” para dados de menores, a autorização deve ser concedida pelos pais ou responsáveis.
5. Aplicação além das Fronteiras
Não importa se a organização ou o centro de dados estão localizados dentro ou fora do Brasil.
6. Compartilhamento Internacional
Possibilita o compartilhamento com países que também possuem políticas de proteção de dados.
7. Fiscalização Centralizada
Será responsabilidade da ANPD.
8. Responsabilidade Definida
Estabelece os operadores de processamento de dados e suas responsabilidades.
9. Gerenciamento de Riscos e Erros
Os detentores de bases de dados pessoais serão responsáveis por esse gerenciamento.
10. Transparência Obrigatória
Em caso de vazamento de dados, a ANPD e os indivíduos afetados devem ser informados.
11. Penalidades Severas
Falhas de segurança podem resultar em multas severas de até 2% do faturamento anual da organização no Brasil, com um limite de R$50 milhões por violação.
Consentimento do titular dos dados pessoais
Na LGPD, a permissão do titular dos dados é vista como um elemento fundamental para o processamento, sendo excepcionada apenas nos casos especificados no art. 11, II, da Lei.
A legislação oferece vários resguardos ao cidadão, como: a capacidade de solicitar a remoção de seus dados pessoais; anular o consentimento; transferir dados para um novo prestador de serviços, entre outras medidas. O processamento dos dados deve ser realizado respeitando certos critérios, como propósito e necessidade, que devem ser previamente estabelecidos e comunicados ao titular.
Quem fiscaliza
A responsabilidade de supervisionar e impor sanções por infrações à LGPD no Brasil é da ANPD. A agência tem a missão de regular e fornecer orientação preventiva sobre como implementar a lei. Contudo, apenas a ANPD (Lei nº 13.853/2019) não é suficiente, e é por isso que a LGPD também reconhece a presença dos agentes de processamento de dados e define suas funções nas organizações: o controlador, que toma as decisões sobre o processamento; o operador, que executa o processamento em nome do controlador; e o encarregado, que facilita a comunicação entre os titulares dos dados pessoais e a autoridade nacional.
No que diz respeito à gestão de riscos e erros, o responsável pela manipulação de dados pessoais também deve estabelecer políticas de governança; implementar medidas de segurança preventiva; adotar práticas recomendadas e certificações disponíveis no mercado; criar planos de emergência; realizar auditorias; e resolver incidentes com rapidez, informando imediatamente à ANPD e aos indivíduos afetados sobre qualquer violação.
Para se aprofundar ainda mais, convidamos você a baixar o material de apoio do podcast!
Requisitos para se adequar à LGPD
As diretrizes da LGPD devem ser seguidas em todas as operações de dados conduzidas por indivíduos ou entidades. Primeiramente, é preciso entender o que significa, na verdade, o processamento de dados. A LGPD utiliza o termo “processamento de dados” para descrever qualquer operação que envolva seus dados pessoais.
Quando você completa um registro em uma loja, seja em papel ou digital, e fornece seus dados pessoais, a pessoa que recebe essas informações está realizando uma “coleta de dados”. Ao acessar seu registro para buscar seu e-mail ou telefone para enviar um anúncio, a loja fez um “acesso” e um “uso”. Se a loja compartilhar alguma de suas informações com outra empresa parceira, ela estará realizando uma “transferência”.
Cada uma dessas operações é considerada um processamento de dados. A LGPD lista diversas ações possíveis relacionadas ao processamento de dados: coleta, criação, recepção, categorização, utilização, acesso, reprodução, transmissão, distribuição, tratamento, armazenamento, descarte, análise ou controle da informação, alteração, comunicação, transferência, difusão ou extração.
O objetivo da LGPD não é proibir o processamento de dados, mas estabelecer regras e limites para proteger os titulares dos dados. A primeira restrição imposta pela lei é que todas as atividades de processamento devem ser realizadas de boa-fé, que é simplesmente o dever de agir com base em princípios éticos e morais aceitos na sociedade.
Como resultado desse dever, os operadores de dados (como são chamados aqueles que realizam o processamento de dados) devem seguir os princípios estabelecidos no artigo 6º da LGPD, como a necessidade de uma finalidade para o processamento, a não-discriminação e a responsabilidade com a segurança.
Direitos dos titulares de dados
- Confirmação da existência de um ou mais processamentos de dados em curso;
- Acesso aos dados pessoais mantidos que se referem ao titular;
- Retificação de dados pessoais que estejam incompletos, imprecisos ou desatualizados;
- Exclusão de dados pessoais que sejam desnecessários, excessivos ou cujo tratamento seja ilegal;
- Transferência de dados para outro provedor de serviços ou produtos, respeitando os segredos comerciais e industriais;
- Remoção de dados (exceto quando o tratamento é legal, mesmo sem o consentimento do titular);
- Informação sobre a possibilidade de seus dados serem compartilhados com entidades públicas e privadas, caso isso ocorra;
- Informação sobre a opção de não consentimento, ou seja, sobre a escolha de não autorizar o processamento e as consequências dessa recusa;
- Anulação do consentimento, conforme a legislação;
- Reclamação contra o controlador de dados à autoridade nacional;
- Resistência, no caso de discordância de um processamento realizado sem o seu consentimento e que seja considerado irregular.
O que a LGPD impacta na sua empresa?
A LGPD estabelece regras claras sobre o que as organizações podem e não podem fazer com os dados pessoais que coletam. Isso inclui detalhes sobre quais dados podem ser transacionados, bem como a frequência com que esses dados devem ser revistos e atualizados.
Uma abordagem multidisciplinar é fundamental para uma implementação bem-sucedida da LGPD. No entanto, a complexidade dessas regras pode tornar difícil para as organizações decifrá-las por conta própria. Por isso, muitas empresas recorrem à ajuda de consultores especializados para garantir a conformidade.
Os consultores podem fornecer orientação e claridade sobre as regras da LGPD, ajudando as organizações a entender exatamente quais dados podem ser transacionados e como eles devem ser gerenciados. Este tipo de orientação especializada pode ser um recurso valioso para as organizações, ajudando-as a evitar as consequências legais e financeiras da não conformidade com a LGPD.
LGPD e os profissionais de TI
Para profissionais da área de tecnologia, a constante onda de inovação pode ser avassaladora. A aprendizagem é uma jornada contínua que não permite momentos de tranquilidade. Por exemplo, a LGPD surgiu bem depois de muitos profissionais terem completado sua formação acadêmica, e apresentou novos desafios e paradigmas que vão demandar adaptabilidade e aprendizado constante.
“Quando falamos de LGPD, eu costumo dizer que a pessoa de tecnologia não tem um minuto de paz. Quando você pensa que superou a barreira da segurança da informação, vem a LGPD”, comenta Ivan Ferraz, CTO da Mitre e convidado do podcast Itshow.
Muitos profissionais da área, acostumados com o foco na segurança da informação, criptografia e protocolos de autenticação, tiveram de expandir seus conhecimentos e habilidades para lidar com a LGPD. E não se trata apenas de uma questão técnica, mas de um processo abrangente que envolve mudanças na governança organizacional e estrutural.
Na esteira da LGPD, as organizações precisaram criar e estruturar novas áreas dedicadas à gestão de dados. Isso incluiu a nomeação de um DPO (Data Protection Officer) e a adoção de uma nova perspectiva na gestão da segurança de informação. Para lideranças técnicas, a mudança exigiu uma compreensão generalista dos impactos da LGPD nas atividades diárias e operações da organização.
O que muda com a LGPD
No dia a dia dos negócios, a LGPD trouxe mudanças significativas. Por exemplo, as organizações precisaram rever e atualizar a maneira como interagem com os dados dos clientes, principalmente no caso de APIs. Além disso, a LGPD introduziu o conceito de consentimento explícito do cliente para o tráfego de seus dados. Isso exigiu uma reavaliação e reformulação de processos de negócios e operações.
“Quando se trata de regulamentação, como a LGPD, é necessário explicar que o cliente agora é soberano sobre seus dados. Temos que alterar nossas camadas, que é mandatório e tem que ser feito”, afirma Ferraz.
A LGPD também impôs desafios específicos para empresas que trabalham com informações de crédito e sistemas parceiros. Essas empresas tiveram que se ajustar para garantir que suas operações estivessem em conformidade com a LGPD.
A gestão do consentimento do cliente e o compartilhamento de dados também sofreram alterações significativas com a LGPD. Agora, os clientes têm o poder de decidir se desejam ou não compartilhar seus dados. Esse poder mudou a dinâmica de como as empresas coletam e usam os dados dos clientes, impactando processos internos, sistemas, portais e aplicativos.
Implementação da LGPD
A implementação da LGPD envolve vários aspectos, desde a governança de dados até a gestão do acesso à informação e o consentimento do cliente. Cada aspecto desse processo requer atenção e consideração meticulosas para garantir que a organização esteja em conformidade com a LGPD e proteja os dados dos clientes de maneira eficaz.
Para os líderes de TI em grandes empresas, é essencial ter uma compreensão clara da LGPD e seu impacto na segurança da informação. Eles precisam liderar o caminho na implementação de medidas que garantam a conformidade com a LGPD, protegendo assim a reputação da empresa e a confiança do cliente. O desafio é grande, mas é também uma oportunidade para se destacar no cenário de tecnologia em constante mudança.
LGPD e a segurança da informação
Investir em segurança de dados, para alguns, pode ser comparado à compra de um seguro de carro. Enquanto você está animado para adquirir o veículo, o custo do seguro pode parecer desanimador. Surge a dúvida, “por que pagar por algo que eu espero nunca usar”? No entanto, quando observamos atentamente, a segurança de dados não é um custo dispensável, mas sim um investimento que pode prevenir danos futuros potencialmente devastadores.
Justificar o investimento em segurança de dados para a liderança executiva pode ser um desafio. As discussões sobre custos e impactos nos negócios podem não ser suficientes para convencer os diretores da importância das normas de segurança, especialmente quando comparados com os custos associados. No entanto, é fundamental entender o risco financeiro substancial de uma violação de dados.
Suponha que uma violação de dados possa resultar em uma penalidade de 3,8 milhões de reais e uma queda no preço das ações da empresa. Essa perda potencial é muito mais significativa em comparação com o custo de uma consultoria de segurança ou a implementação de uma plataforma de segurança, que pode custar cerca de um milhão de reais. Esses números destacam a importância de considerar não apenas os custos imediatos, mas também o risco financeiro a longo prazo.
Portanto, abraçar a segurança de dados é mais do que uma decisão financeira; é uma mudança cultural e estratégica que pode fortalecer a resiliência e a reputação da empresa. Afinal, investir em segurança de dados é investir no futuro da organização.
Falhas na segurança de dados significam perda de dinheiro
A conversa sobre LGPD e segurança de dados pode parecer um labirinto para muitos executivos financeiros. No entanto, a comunicação eficaz e a abordagem baseada em números podem descomplicar este cenário. Quando apresentado a um Chief Financial Officer (CFO), a importância da governança de dados não deve ser abordada em termos abstratos, mas sim no impacto direto e mensurável no negócio.
A LGPD e outras regulamentações semelhantes, como a GDPR da União Europeia, trouxeram uma nova camada de obrigações legais para as empresas. Ignorar ou negligenciar essas regulamentações pode resultar em multas significativas e danos à reputação. Portanto, é necessário explicar os efeitos legais das regulamentações de proteção de dados e ressaltar que o cumprimento não é uma opção, mas uma necessidade. “A empresa também precisa ter uma cultura que apoia e entende isso, especialmente em relação à LGPD”, alerta Ferraz. “É preciso registrar o impacto para o negócio e explicar as características e efeitos legais que isso traz”.
Benefícios x custos
A implementação da LGPD e de medidas de segurança de dados tem um custo associado. Este custo, no entanto, deve ser considerado no contexto dos benefícios de longo prazo e da prevenção de riscos futuros. No entanto, é essencial ter empatia com a situação financeira da empresa e buscar alternativas viáveis para a implementação de segurança de dados. A estratégia deve ser flexível, ajustando-se às condições financeiras da empresa.
Ao selecionar plataformas ou fornecedores, a lealdade cega a uma marca ou serviço específico pode ser prejudicial. O objetivo principal deve ser resolver o problema em questão, não a aderência a uma plataforma ou fornecedor específico. Isso garante que a melhor solução seja escolhida com base em seus méritos e adequação à situação da empresa.
Ao considerar uma solução de segurança de dados, a eficiência operacional e o custo devem ser equilibrados. Por exemplo, uma solução de nuvem que é mais cara inicialmente pode, a longo prazo, aumentar a eficiência operacional e resultar em economia de custos. Assim, o custo inicial não deve ser o único fator determinante na escolha de uma solução.
O que esperar do futuro
A LGPD é um marco na história da segurança de dados no Brasil, impactando significativamente o funcionamento das empresas. Exige uma revisão completa e contínua das práticas de coleta, armazenamento e processamento de dados pessoais, promovendo uma cultura de proteção de dados mais forte e focada no indivíduo. As empresas, por sua vez, enfrentam o desafio de equilibrar a necessidade de inovação e competitividade com as demandas da conformidade legal.
No futuro, pode-se esperar um cenário de segurança de dados cada vez mais robusto, onde a transparência, o consentimento do titular e a ética no tratamento dos dados pessoais são a norma. Este novo panorama instiga um aprimoramento constante das medidas de segurança e das políticas de privacidade, reforçando o compromisso de todos com a proteção de dados e a privacidade, elementos essenciais na sociedade digital em que vivemos.