Os critérios de fiscalização e as penalidades previstas em caso de descumprimento da Lei Geral de Proteção de Dados (LGPD) começaram a valer nesta quinta-feira (28), com a publicação da Resolução CD/ANPD Nº 1 no Diário Oficial da União pela Autoridade Nacional de Proteção de Dados (ANPD). Em vigor desde agosto do ano passado, a Lei nº 13.709, de 14 de agosto de 2018, estabelece uma série de regramentos para o tratamento de informações de pessoas físicas por empresas de todos os portes e segmentos, instituições públicas, e também por pessoas físicas que se utilizem de dados de pessoais de terceiros.
No entanto, a legislação ainda é motivo de dúvidas para grande parte daqueles que precisam cumpri-la. É o que revela a pesquisa Diagnóstico LGPD: Maturidade do RH na proteção de dados, realizada entre agosto e setembro pela Convenia HRTech em parceria com a InfoJobs. O levantamento, baseado em 921 questionários com profissionais de Recursos Humanos (RH) de todo o País, revela que 40% das empresas ainda não têm planos para contenção de vazamento de dados. A multa por infração de descumprimento das regras pode chegar a R$ 50 milhões, conforme a infração cometida.
“Os números apresentados pela pesquisa refletem a realidade, pois verificamos no mercado que um número significativo de empresas ainda não adotou as medidas para colocar a lei em prática”, destaca Fernanda Girardi, coordenadora da área de Proteção de Dados do escritório Souto Correa Advogados, ao destacar que a adequação à LGPD é uma tarefa prioritária e que precisa do envolvimento de todos os setores das empresas. “As penalidades são escalonadas e incluem advertência, multa, bloqueio dos dados e, em caso de reincidência, suspensão das atividades”, alerta a especialista.
É preciso fazer inventário das informações, recomenda Ana Cristina. Xavier Advogados/Divulgação/JC
O primeiro passo, orienta Fernanda, é identificar todos os fluxos de dados pessoais que ocorrem dentro da empresa. Com base neste levantamento é possível identificar quais são os dados que ela armazena, de que forma são tratados esses dados – para que servem, de que forma são utilizados e resguardados – e também qual a sua preocupação com a privacidade das informações. “A partir daí, fica mais fácil entender se a LGPD está sendo ou não atendida, e quais os ajustes necessários para que a empresa possa ficar em conformidade com as normas”, explica.
No caso de armazenamento eletrônico, por exemplo, seja ele em pendrive, arquivos salvos no computador ou em nuvem, é necessário verificar se a proteção de antivírus é segura, para não facilitar o vazamento de dados ou que essas informações fiquem expostas. Outra recomendação da especialista diz respeito à revisão de contratos, políticas e procedimentos de forma a definir quais são os dados pessoais que são realmente são necessários para o atingimento das finalidades pretendidas.
Por isso, os cuidados necessariamente passam pelo envolvimento da área de Tecnologia da Informação (TI). “É fundamental perceber a necessidade de se ter um programa de conformidade voltado à proteção de dados para atender à LGPD”, orienta Ana Cristina Cardoso Quevedo, Data Protection Officer (DPO) do escritório Xavier Advogados e integrante da Comissão Especial de Proteção de Dados e Privacidade da OAB/RS.
Fernanda destaca importância de todos os setores da empresa. Souto Correa/Divulgação/JC
A especialista reconhece que a lei é densa, com muitos artigos interpretativos e, por isso, não é de fácil compreensão, mas que veio para ficar. “Por isso, mais do que nunca, as empresas precisam tratar o tema com prioridade e trabalhar a cultura da organização para se adaptar às normas”, recomenda Ana Cristina, que atribui a mesma importância às áreas do Direito e de Gestão dentro das companhias para que todos os processos cumpram o que a legislação exige.
Isso inclui verificar se os dados armazenados fazem parte das duas categorias estipuladas na LGPD: os gerais – nome, CPF, telefone, e-mail, número dos documentos de identidade e carteira de habilitação, entre eles – e os sensíveis – que incluem informações que podem causar dano maior ao titular dos dados, como identidade de gênero, origem racial, preferências políticas e religiosas e questões de saúde. A LGPD determina tratamentos diferenciados para essas duas categorias.
Com base nesses critérios, pode-se definir, por exemplo, pela eliminação de dados que não são necessários serem mantidos. “Em uma seleção de pessoal não é necessário saber sobre questões delicadas, como se o candidato é filiado a algum sindicato, por exemplo, uma vez que a empresa sequer sabe se essa pessoa será recrutada”, completa a especialista do Xavier Advogados. Caso não se sinta segura ou preparada para cumprir as determinações que dizem respeito aos dados sensíveis, a exclusão dessas informações pode ser uma alternativa de evitar problemas futuros.
O passo seguinte consiste em realizar uma espécie de inventário sobre as informações armazenadas. “O empresário deve entender para que ele precisa dos dados e identificar que destino eles têm dentro da organização”, completa, ao lembrar que a lei não proíbe a coleta de informações, mas exige uma justificativa quanto à sua destinação e uso.
“Ao entender para que finalidade os dados são coletados, fica mais fácil entender de que forma cumprir as normas”, acredita. Um indicador, aponta Ana Cristina, é quando a empresa percebe que determinadas informações não fazem mais sentido para o negócio. Assim, verificar o ciclo de vida do que é coletado – apontar quanto tempo precisa ficar com aqueles dados guardados, é uma estratégia importante para compreender quais informações já prescreveram e não precisam mais ficar armazenadas.
O que é a Lei Geral de Proteção de Dados?
Todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação
rawpixel/freepik/Divulgação/JC
A Lei Geral de Proteção de Dados (13.709/2018) tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais.
A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação.
Além disso, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada. A lei autoriza também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos.
A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.
Serpro destaca os principais pontos da LGPD. Serpro/Reprodução/JC
Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.
Automatização com autorização
É essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.
ANPD e agentes de tratamento
Para a Lei a "pegar", o País contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.
Mas não basta a ANPD - que está em formação - e é por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).
Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.
FONTE: MINISTÉRIO PÚBLICO FEDERAL E SERPRO
Como se classificam os dados?
Dados pessoais
Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.
Dados sensíveis
Dentro do conjunto de dados pessoais, há ainda aqueles que exigem um pouco mais de atenção: são os sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Quando o foco for menores de idade, é imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário para a atividade econômica ou governamental em questão, e não repassar nada a terceiros. Sem o consentimento, só pode coletar dados se for para urgências relacionadas a entrar em contato com pais ou responsáveis e/ou para proteção da criança e do adolescente.
Sobre os dados sensíveis, autônomos, empresas e governo também podem tratá-los se tiverem o consentimento explícito da pessoa e para um fim definido. E, sem consentimento do titular, a Lei Geral de Proteção de Dados Pessoais define que isso é possível quando for indispensável em situações ligadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou processo; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular.
FONTE: SERPRO
Guia de Segurança da Informação auxilia empresas de pequeno porte
A Autoridade Nacional de Proteção Dados (ANPD) lançou, no dia 4 de outubro deste ano, um guia de segurança da informação, juntamente com um checklist, para auxiliar os agentes de tratamento de pequeno porte a implementarem medidas de segurança da informação para a proteção dos dados pessoais tratados em suas atividades, de acordo com a Lei Geral de Proteção de Dados (“LGPD”).
O escritório Souto Correa Advogados destaca que o guia é meramente orientativo, ou seja, não haverá penalidades imediatamente aplicáveis no caso de seu descumprimento pelos agentes. No entanto, segundo os especialistas, as medidas administrativas e técnicas de segurança da informação sugeridas pela ANPD podem ser consideradas boas práticas, sendo recomendável que sejam observadas.
Outro aspecto que denota a relevância do guia é a possibilidade de que os parâmetros apontados sejam considerados requisitos mínimos de um padrão de segurança a serem observados por todos os agentes de tratamento, e não apenas para aqueles considerados de “pequeno porte”, uma vez que a LGPD estipula a adoção de “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais” (art. 46), sem trazer elementos concretos sobre essas medidas.
Confira os destaques:
- Política de segurança da informação: documento que descreve um conjunto de regras que têm por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização.
- Conscientização e Treinamento: ações de recursos humanos para informar e sensibilizar todos os funcionários da organização, especialmente aqueles diretamente envolvidos nas atividades de tratamento de dados, sobre suas obrigações e responsabilidades relacionadas com a LGPD.
- Gerenciamento de contratos: assinatura de termos de confidencialidade com os funcionários da empresa e estabelecimento de cláusulas que assegurem a adequada proteção de dados pessoais nos contratos com fornecedores.
- Controles de acesso: processos de autenticação, autorização e auditoria para garantir que os dados sejam acessados somente por pessoas autorizadas.
- Segurança no armazenamento dos dados pessoais: segurança de dados em repouso por meio do uso de configurações de segurança, restrições de acesso de determinados tipos de sites, vedação a transferência de dados pessoais de estações de trabalho para dispositivos de armazenamento externo, realização de backups regularmente de forma completa e armazenados em locais seguros e distintos dos dispositivos de armazenamento principais.
- Segurança nas comunicações: segurança de dados em trânsito através do uso de conexões cifradas (com uso de TLS/HTTPS) ou aplicativos com criptografia ponta a ponta.
- Programa de gerenciamento de vulnerabilidades: monitoramento da existência de novas versões e correções disponíveis em todos os sistemas e aplicativos com a adoção e atualização de softwares antivírus ou antimalwares, que detectam, impedem e atuam na remoção de programas maliciosos, como vírus.
- Medidas relacionadas ao uso de dispositivos móveis: smartphones e laptops, caso seu uso seja necessário para fins institucionais, devem estar sujeitos aos mesmos procedimentos de controle de acesso que os outros equipamentos de TI.
- Medidas relacionadas ao serviço em nuvem: estabelecimento de contrato de acordo de nível de serviço, contemplando a segurança dos dados armazenados.
FONTE: SOUTO CORREA ADVOGADOS