A lei chegou
Heitor Henrique Hernandez Matos - H3M
Segurança da Informação - Membro da ISO/ABNT - Membro do IBRASPD - Voluntário da Womcy - Membro da APDados - Host do PodPUTS: linktr.ee/podputs - MBA
Muita gente comentando, mas você sabe o que é a LGPD?
É a Lei Geral de Proteção de Dados (Pessoais) - Lei nº 13.709/2018 – 28/12/18. Serve para regular as atividades de tratamento de dados pessoais. A previsão é que possíveis sanções serão aplicadas a partir de agosto de 2021, mas a lei já está em vigor.
Quem vai fiscalizar a LGPD?
Para isso está sendo criada a ANPD (Autoridade Nacional de Proteção de Dados).
Onde encontro a íntegra da LGPD?
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
A LGPD foi inspirada na Lei Europeia GDPR - General Data Protection Regulation - Regulamento Geral de Proteção de Dados, que está em vigor desde 25/05/2018.
A proteção de dados pessoais é uma tendência mundial sem volta, e todas as empresas terão que se adequar a essa realidade.
A LGPD visa proteger dados pessoais. Mas o que são dados pessoais?
Dados pessoais:
Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.
Dados pessoais sensíveis:
São os dados que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Que áreas da empresa serão afetadas pela LGPD?
Todas as áreas que envolvem tratamento de dados pessoais serão afetadas.
O que não faz parte do escopo da LGPD?
- dados anonimizados;
- dados criptografados;
- setor público e cartórios;
- dados jornalísticos, artísticos, acadêmicos;
- dados para fins exclusivamente particulares e não econômicos;
Quais são as sanções em caso de descumprimento da LGPD?
- Multa de 2% do faturamento bruto até R$ 50 milhões (por infração);
- Impedimento do uso das bases de dados;
- Publicidade negativa em caso de violação do tratamento dos dados pessoais;
Em caso de ocorrência, possivelmente a multa poderá diminuir caso a empresa comprove que tomou medidas de segurança adequadas, utiliza as melhores práticas de acordo com o mercado, possui certificações como ISO 27001, ou tenha sido alvo de uma vulnerabilidade que até então era desconhecida (0-day).
Quais são os direitos do titular segundo a LGPD?
1. Propriedade -> o titular é quem tem a propriedade desses dados.
2. Consentimento -> para tratar os dados pessoais é necessário consentimento explícito de cada titular.
3. Informação -> é necessário informar a finalidade do tratamento dos dados pessoais de cada titular.
4. Livre Acesso -> o titular tem direito de saber quais dados a empresa possui sobre ele.
5. Segurança -> o titular dos dados tem o direito de ter seus dados armazenados de forma segura pela empresa.
6. Responsabilidade -> o titular tem o direito de responsabilizar a empresa em caso de problemas na proteção de dados.
7. Revisão de decisões automatizadas -> o titular tem o direito de solicitar revisão de uma decisão automatizada.
8. Não-discriminação -> o titular dos dados pessoais tem direito de não ser discriminado com base nos dados pessoais informados.
9. Retificação, anonimização e eliminação -> o titular dos dados tem direito de corrigir algum dado incorreto, solicitar a eliminação dos dados e sempre que possível os dados devem ser anonimizados.
10. Portabilidade -> o titular pode solicitar que seus dados sejam portados para outro prestador de serviços.
Quem vai garantir que a empresa está cumprindo a LGPD?
Para isso a empresa vai contar com a figura do Encarregado pelo Tratamento de Dados Pessoais (DPO - Data Protection Officer).
É a pessoa indicada pela empresa para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
- É função dele garantir que a empresa esteja em compliance com as regras e boas práticas do setor;
- Deve aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Vai receber comunicações da autoridade nacional e adotar providências;
- Tem que orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Vai executar as demais atribuições determinadas pela empresa ou estabelecidas em normas complementares;
As empresas que trabalham com desenvolvimento de software terão que trabalhar pensando em segurança e proteção de dados para se adequar a LGPD. Existem dois conceitos que devem ser aplicados sempre que possível:
Privacy by design -> a privacidade deve ser um pilar exercido desde a concepção de cada produto/serviço.
Privacy by default -> todas as configurações de segurança já vem ativadas por padrão no produto, sendo opcional para quem for utilizar esse produto diminuir o quão rígidas essas configurações são.
O que fazer para adequação à LGPD?
A empresa deve identificar cada área que faz tratamento de dados pessoais e fazer um mapeamento de todos os dados pessoais que são tratados por cada área. O sucesso depende da colaboração de todos.
Para fazer o mapeamento, deve-se reunir com o representante de cada área e entender os processos que envolvam tratamento de dados.
Terão que ser respondidas questões como:
1 - Onde são armazenados os dados pessoais?
1.1 - O armazenamento é digital ou também existem dados pessoais armazenados em papel?
1.2 - O armazenamento digital é feito em servidores próprios ou externamente a sua infraestrutura?
1.3 - No caso do armazenamento em papel, como é feita a guarda e controle desses dados?
2 - Que dados pessoais são armazenados?
3 - São armazenados dados de menores de idade?
4 - São armazenados dados sensíveis?
5 - Em caso de solicitação do direito de esquecimento, qual é o procedimento para atender a essa demanda?
6 - Qual é o prazo mínimo que os dados pessoais devem ser armazenados para atender a legislação específica da área?
7 - Os dados solicitados são minimizados (apenas o necessário)?
8 - As bases de dados de desenvolvimento são todas anonimizadas ou existe alguma com dados pessoais?
Posteriormente, a partir desse mapeamento, deve ser feito um relatório de impacto do tratamento de dados pessoais.
Com base no relatório são feitas as devidas adequações. Depois a empresa tem que manter tudo em ordem e estar preparada para atender qualquer direito do titular dos dados pessoais.
E aí, já está na caminho certo? Sucesso total.