A Lei Geral de Proteção de dados (LGPD) revisará como as empresas processam e manipulam dados. Entrando em vigor em agosto de 2020, a LGPD terá como alvo específico o modo como as empresas e o setor público lidam com as informações dos cidadãos brasileiros.
Isso significa que qualquer empresa que possua dados pessoais, como nome, números de cartões de crédito até uma simples foto, está sujeita à LGPD. As empresas que não respeitaram a nova lei podem sofrer multas e penalidades altas.
Nas seções a seguir, descreveremos como funcionará a LGPD e algumas das etapas necessárias para cumprir a lei, além de como você pode usar este regulamento como uma oportunidade de crescer e aprimorar sua organização. Vamos lá?
O que é a Lei Geral de Proteção de Dados?
LGPD significa Lei Geral de Proteção de Dados. É uma lei de privacidade de dados sensíveis, estabelecida pelo governo brasileiro, e será aplicável a partir de agosto de 2020.
A lei foi criada seguindo um movimento mundial em torno da proteção das informações das pessoas. Em maio de 2018, a GDPR, lei europeia que inspirou a LGPD, entrou em vigor atingindo empresas com 41.502 notificações sobre ameaças ou incidentes de vazamentos de dados em 8 meses.
A Lei Geral de Proteção de Dados (LGPD) aplica-se automaticamente a todos as empresas que lidam com dados pessoais de clientes. O objetivo é proteger o fluxo de dados e criar direitos para os cidadãos brasileiros sobre suas informações mantidos em processados pelas organizações, bem como, os deveres para o controlador.
Assim com o GDPR, a LGPD foi redigida com base em alguns princípios, sendo:
-
Princípio da licitude, lealdade e transparência (Lawfullness, Fairness & Transparency);
-
Princípio da adequação e limitação da finalidade (Purpose Limitation);
-
Princípio da necessidade ou minimização (Data Minimisation);
-
Princípio da qualidade dos dados ou exatidão (Accuracy);
-
Princípio da limitação da conservação (Storage Limitation);
-
Princípio da segurança, integridade e confidencialidade (Integrity and Confidentiality);
-
Princípio da prestação de contas ou responsabilização (Accountability).
A quem a LGPD se aplica?
A LGPD aplica-se a qualquer organização que opere dados em três casos, sendo:
-
quando os dados pessoais forem coletados no Brasil;
-
quando os dados sejam relacionados a indivíduos localizados no território brasileiro;
-
quando tiver por objetivo a oferta de produtos e/ou serviços ao público brasileiro.
Segundo a LGPD, dados pessoais são
“toda informação relacionada a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa, tais como nomes, números, códigos de identificação, endereços etc.”
Existem dois tipos diferentes de manipuladores de dados aos quais a legislação se aplica: operadores e controladores. As definições de cada um estão estabelecidas no artigo 5.º da Lei Geral de Proteção de Dados.
Um controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, enquanto o processador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Há também o conceito de titular dos dados, pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
O que muda com a LGPD?
Embora os princípios-chave da privacidade de informação ainda se mantenham fiéis à diretiva anterior de direito à vida e individualidade, muitas mudanças foram propostas para englobar o tratamento dos dados na era da internet, são elas:
1. Aumento do escopo territorial
Indiscutivelmente, a maior mudança no panorama regulatório da privacidade de dados vem com a jurisdição estendida da LGPD, uma vez que se aplica a todas as empresas que processam os dados pessoais coletados no Brasil ou de residentes brasileiros, mesmo que sejam tratados no exterior.
A Lei Geral de Proteção de Dados torna a sua aplicabilidade muito clara: aplica-se ao tratamento de dados pessoais por parte de controladores e processadores no Brasil, independentemente de o processamento ser feito aqui ou não.
Ela se aplica, também, ao tratamento de dados pessoais de titulares no Brasil por um responsável pelo tratamento ou subcontratante não estabelecido no país — quando as atividades dizem respeito a produtos/serviços brasileiros.
2. Segurança de dados
A empresa deve adotar medidas de segurança com a finalidade de garantir a proteção dos dados pessoais contra acessos não autorizados e situações acidentais, ou até mesmo ilícitas. No caso de incidentes, a lei também dispõe sobre os passos a serem tomados.
Se uma violação de dados ocorreu, você deve contatar as autoridades em prazo razoável, além de entrar em contato com todos os titulares afetados pela violação. Se os arquivos vazados tiverem seus nomes criptografados e você tiver certeza de que nenhum titular foi afetado, só é preciso entrar em contato com as autoridades.
3. Penalidades em caso de violação
Organizações que violem a Lei Geral de Proteção de Dados podem ser multadas em até 2% do faturamento anual, ou até R$ 50 milhões (o que for maior). Essa é a multa máxima, imposta para as infrações.
4. Consentimento ao tratamento dos dados
As condições de consentimento foram fortalecidas, e as empresas não podem mais usar termos e condições longos e ilegíveis. O pedido de consentimento deve ser dado de uma forma clara e de fácil acesso, com o propósito de processamento de dados anexado.
Da mesma forma, o consentimento deve ser distinguível de outros assuntos, e ser fornecido de uma forma compreensível e de fácil acesso, usando linguagem simples. Ou seja, deve ser tão fácil pedir o consentimento quanto fornecê-lo.
5. Direitos do titular dos dados
Ao titular dos dados, é concedido quatro direitos principais:
-
Notificação de violação: os processadores são obrigados a notificar as entidades responsáveis e os titulares de dados atingidos em caso de uma violação;
-
Direito ao acesso: os titulares possuem o direito de acessar os dados armazenados pela empresa, que deve informar quais dados são coletados e para que fim. Além disso, o responsável pelo tratamento deve fornecer gratuitamente uma cópia dos dados pessoais em formato eletrônico;
-
Direito de ser esquecido: o titular pode pedir a qualquer momento que os dados coletados pelo controlador sejam deletados e que o processamento dos mesmos seja suspendido.
6. Portabilidade de dados
A Lei Geral de Proteção de Dados introduz a portabilidade, ou seja, o direito de um titular receber os dados pessoais ou pedir a transferência a outro fornecedor de serviço ou produto.
Como lidar com os dados com a LGPD?
Lidar com a LGPD pode ser um desafio para muitas empresas. Para facilitar sua adequação, abaixo separamos algumas dicas de como garantir compliance com as novas regras. Acompanhe:
Saiba onde estão seus dados
Onde vivem seus dados e como eles são relevantes em termos de LGPD? Os dados que se enquadram na legislação podem residir em vários ambientes dentro da sua organização. Dados estruturados, como dados em documentos do Excel e sistemas de contabilidade ou CRM, são facilmente pesquisáveis e protegidos.
No entanto, é imperativo que você encontre todos os dados não estruturados existentes em seu ambiente, como e-mail, arquivos, SharePoint, mensagens instantâneas. Também é necessário ter um mecanismo de análise de dados para monitorar e proteger as informações.
A organização e a classificação desses dados também podem se tornar um ativo adicional para sua organização, pois podem fornecer análises adicionais e permitir que você “explore e refine” esses dados brutos. Isso fornece informações adicionais para sua organização e usar esses dados para sua vantagem.
As regras da LGPD também podem fornecer uma oportunidade para implementar análises. Ao limpar e reorganizar os dados de sua empresa, você poderá fornecer novas informações sobre suas operações e, a partir daí, poderá inovar e automatizar processos dispendiosos.
Execute um plano de ação para LGPD
Após a descoberta desses dados, é possível executar uma ação. A etapa inicial deve ser reduzir a carga de trabalho. Dados redundantes, obsoletos e triviais devem ser excluídos. Isso reduzirá os custos e passivos de armazenamento associados.
O próximo passo seria classificar os dados restantes e classificar o que é da competência da LGPD. Isso poderia essencialmente economizar o dinheiro da sua empresa, reestruturando e reduzindo os repositórios de dados atuais, bem como migrando para sistemas de gerenciamento de informações mais eficientes.
A LGPD pode ser utilizada a seu favor como uma oportunidade para limpar a bagunça no seu armário de dados e reorganizar com segurança sua infraestrutura existente. As novas regras também podem oferecer uma oportunidade de se beneficiar da inteligência e análises de negócios.
Limpar, reorganizar e visualizar os dados da sua empresa permite fornecer novas informações sobre suas operações. E, a partir disso, você pode inovar e automatizar processos dispendiosos.
Aplique políticas de gerenciamento de dados
Depois de identificar e categorizar os dados da LGPD, você pode decidir como lidar com as informações que possui sobre indivíduos, bem como as informações que você continua coletando. Você deseja considerar como coleta informações sobre indivíduos, quanto tempo as armazena, onde as armazena e como pode descartá-las.
Por exemplo, a LGPD afirma que os clientes “têm o direito de serem esquecidos” e as organizações devem poder remover todos os dados de uma pessoa dentro de 24 horas. Isso inclui dados que existem nos backups e dados mantidos por terceiros; portanto, uma tarefa aparentemente simples se torna ainda mais complicada.
Há um grande número de aplicativos e processos que podem ser implementados e projetados para ajudar a regular essas políticas. Do lado positivo, isso também abre as portas para automação.
As tarefas que podem levar horas de trabalho manual, como a coleta de informações de um cliente, agora podem ser automatizadas e concluídas por um programa ou aplicativo, economizando tempo para os funcionários se concentrarem em novas tarefas.
Proteja os dados pessoais dos seus clientes
Por fim, a LGPD foi projetada para proteger os dados pessoais de todos os cidadãos brasileiros. É aqui que você deseja garantir que sua prática de segurança cibernética se posicione para o sucesso. Com os crescentes ataques de ransomware e vazamentos de violação de dados, a segurança cibernética nunca foi tão importante quanto é agora.
As práticas recomendadas para prevenção de ransomware incluem backup de dados, proteção precoce, monitoramento preventivo, filtros de spam e treinamento de conscientização dos funcionários.
Com uma multa em potencial por uma violação de segurança chegando a 4% de sua receita, um investimento em políticas de segurança pode se pagar rapidamente. Além disso, ao escolher um backup, você também deve levar em consideração dezenas de empresas de backup com centenas de configurações possíveis.
Mas apenas ter um backup não é mais suficiente. Existem casos em que os backups ficam comprometidos, por negligência ou por configuração incorreta. O mesmo vale para a segurança do endpoint, atualizações e treinamento de funcionários.
Agora que você já sabe as principais etapas para lidar com dados com a LGPD, deixe um comentário abaixo e nos conte como sua empresa está na caminhada para compliance com a nova lei!
Entre em contato
Alta performance e tecnologia de ponta ao seu alcance
Entre em contato com nossa equipe e conheça mais nossas soluções.