{{channel}}
Entra em vigor resolução sobre fiscalização e penalidades do cumprimento da LGPD
Lei Geral de Proteção de Dados ainda geram muitas dúvidas e grande parte das empresas não está adaptada às regras
Os critérios de fiscalização e as penalidades previstas em caso de descumprimento da Lei Geral de Proteção de Dados (LGPD) começaram a valer nesta quinta-feira (28), com a publicação da Fernanda destaca importância de todos os setores da empresa. Souto Correa/Divulgação/JC
A especialista reconhece que a lei é densa, com muitos artigos interpretativos e, por isso, não é de fácil compreensão, mas que veio para ficar. “Por isso, mais do que nunca, as empresas precisam tratar o tema com prioridade e trabalhar a cultura da organização para se adaptar às normas”, recomenda Ana Cristina, que atribui a mesma importância às áreas do Direito e de Gestão dentro das companhias para que todos os processos cumpram o que a legislação exige.
Isso inclui verificar se os dados armazenados fazem parte das duas categorias estipuladas na LGPD: os gerais – nome, CPF, telefone, e-mail, número dos documentos de identidade e carteira de habilitação, entre eles – e os sensíveis – que incluem informações que podem causar dano maior ao titular dos dados, como identidade de gênero, origem racial, preferências políticas e religiosas e questões de saúde. A LGPD determina tratamentos diferenciados para essas duas categorias.
Com base nesses critérios, pode-se definir, por exemplo, pela eliminação de dados que não são necessários serem mantidos. “Em uma seleção de pessoal não é necessário saber sobre questões delicadas, como se o candidato é filiado a algum sindicato, por exemplo, uma vez que a empresa sequer sabe se essa pessoa será recrutada”, completa a especialista do Xavier Advogados. Caso não se sinta segura ou preparada para cumprir as determinações que dizem respeito aos dados sensíveis, a exclusão dessas informações pode ser uma alternativa de evitar problemas futuros.
O passo seguinte consiste em realizar uma espécie de inventário sobre as informações armazenadas. “O empresário deve entender para que ele precisa dos dados e identificar que destino eles têm dentro da organização”, completa, ao lembrar que a lei não proíbe a coleta de informações, mas exige uma justificativa quanto à sua destinação e uso.
“Ao entender para que finalidade os dados são coletados, fica mais fácil entender de que forma cumprir as normas”, acredita. Um indicador, aponta Ana Cristina, é quando a empresa percebe que determinadas informações não fazem mais sentido para o negócio. Assim, verificar o ciclo de vida do que é coletado – apontar quanto tempo precisa ficar com aqueles dados guardados, é uma estratégia importante para compreender quais informações já prescreveram e não precisam mais ficar armazenadas.
O que é a Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados (13.709/2018) tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais.
A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação.
Além disso, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada. A lei autoriza também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos.
A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.
Serpro destaca os principais pontos da LGPD. Serpro/Reprodução/JC
Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.
Automatização com autorização
É essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.
ANPD e agentes de tratamento
Para a Lei a "pegar", o País contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.
Mas não basta a ANPD - que está em formação - e é por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).
Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.
FONTE: MINISTÉRIO PÚBLICO FEDERAL E SERPRO
Como se classificam os dados?
Dados pessoais
Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.
Dados sensíveis
Dentro do conjunto de dados pessoais, há ainda aqueles que exigem um pouco mais de atenção: são os sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Quando o foco for menores de idade, é imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário para a atividade econômica ou governamental em questão, e não repassar nada a terceiros. Sem o consentimento, só pode coletar dados se for para urgências relacionadas a entrar em contato com pais ou responsáveis e/ou para proteção da criança e do adolescente.
Sobre os dados sensíveis, autônomos, empresas e governo também podem tratá-los se tiverem o consentimento explícito da pessoa e para um fim definido. E, sem consentimento do titular, a Lei Geral de Proteção de Dados Pessoais define que isso é possível quando for indispensável em situações ligadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou processo; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular.
FONTE: SERPRO
Guia de Segurança da Informação auxilia empresas de pequeno porte
A Autoridade Nacional de Proteção Dados (ANPD) lançou, no dia 4 de outubro deste ano, um guia de segurança da informação, juntamente com um checklist, para auxiliar os agentes de tratamento de pequeno porte a implementarem medidas de segurança da informação para a proteção dos dados pessoais tratados em suas atividades, de acordo com a Lei Geral de Proteção de Dados (“LGPD”).
O escritório Souto Correa Advogados destaca que o guia é meramente orientativo, ou seja, não haverá penalidades imediatamente aplicáveis no caso de seu descumprimento pelos agentes. No entanto, segundo os especialistas, as medidas administrativas e técnicas de segurança da informação sugeridas pela ANPD podem ser consideradas boas práticas, sendo recomendável que sejam observadas.
Outro aspecto que denota a relevância do guia é a possibilidade de que os parâmetros apontados sejam considerados requisitos mínimos de um padrão de segurança a serem observados por todos os agentes de tratamento, e não apenas para aqueles considerados de “pequeno porte”, uma vez que a LGPD estipula a adoção de “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais” (art. 46), sem trazer elementos concretos sobre essas medidas.
Confira os destaques:
- Política de segurança da informação: documento que descreve um conjunto de regras que têm por objetivo possibilitar o planejamento, a implementação e o controle de ações relacionadas à segurança da informação em uma organização.
- Conscientização e Treinamento: ações de recursos humanos para informar e sensibilizar todos os funcionários da organização, especialmente aqueles diretamente envolvidos nas atividades de tratamento de dados, sobre suas obrigações e responsabilidades relacionadas com a LGPD.
- Gerenciamento de contratos: assinatura de termos de confidencialidade com os funcionários da empresa e estabelecimento de cláusulas que assegurem a adequada proteção de dados pessoais nos contratos com fornecedores.
- Controles de acesso: processos de autenticação, autorização e auditoria para garantir que os dados sejam acessados somente por pessoas autorizadas.
- Segurança no armazenamento dos dados pessoais: segurança de dados em repouso por meio do uso de configurações de segurança, restrições de acesso de determinados tipos de sites, vedação a transferência de dados pessoais de estações de trabalho para dispositivos de armazenamento externo, realização de backups regularmente de forma completa e armazenados em locais seguros e distintos dos dispositivos de armazenamento principais.
- Segurança nas comunicações: segurança de dados em trânsito através do uso de conexões cifradas (com uso de TLS/HTTPS) ou aplicativos com criptografia ponta a ponta.
- Programa de gerenciamento de vulnerabilidades: monitoramento da existência de novas versões e correções disponíveis em todos os sistemas e aplicativos com a adoção e atualização de softwares antivírus ou antimalwares, que detectam, impedem e atuam na remoção de programas maliciosos, como vírus.
- Medidas relacionadas ao uso de dispositivos móveis: smartphones e laptops, caso seu uso seja necessário para fins institucionais, devem estar sujeitos aos mesmos procedimentos de controle de acesso que os outros equipamentos de TI.
- Medidas relacionadas ao serviço em nuvem: estabelecimento de contrato de acordo de nível de serviço, contemplando a segurança dos dados armazenados.
FONTE: SOUTO CORREA ADVOGADOS