Afinal, o que é
a LGPD?

A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes para garantir a privacidade, segurança e liberdade das pessoas no uso dos seus dados pessoais.

Ela regulamenta o uso dessas informações, trazendo mais proteção para elas e estabelecendo penalidades severas para o não cumprimento das normas. Portanto, essa nova Lei deve afetar significativamente o modo como as empresas captam, armazenam e utilizam os dados de seus clientes

Bases legais: requisitos para o tratamento de dados

Conheça as bases legais para o uso de dados pessoais

Como a LGPD? afeta
o seu negócio?
Cumprir a LGPD envolve mudanças abrangentes nas políticas, nos processos e até nos sistemas das empresas.

A quem
a LGPD se aplica?

A Lei abrange qualquer operação de tratamento de dados realizada por pessoa natural ou jurídica , de direito público ou privado, independentemente do meio, do País de sua sede ou do País onde estejam localizados os dados, desde que, (Art. 3º):

A quem a LGPD se aplica ?

A quem a LGPD não se aplica?

LGPD e a segurança da informação

Para assegurar a integridade da base de dados dos titulares e a adequação à LGPD, as empresas devem desenvolver uma política de segurança da informação compartilhada entre todos os seus colaboradores. Afinal, muito além de estabelecer um ambiente virtual seguro contra ameaças, isso garante que elas tenham o controle necessário sobre as informações para que possam executar as devidas estratégias do negócio.
As empresas que ignorarem as normas da LGPD, tiverem problemas de segurança e sofrerem vazamentos de dados, estarão sujeitas a multas diárias de até R$ 50 milhões. Além disso, elas poderão sofrer proibição parcial ou total do exercício de atividades ligadas ao tratamento de informações.
Para garantir a segurança dos dados e das informações confidenciais, as empresas precisam realizar adequações em todos os seus setores, incluindo aspectos legais, de privacidade e governança. Elas devem cuidar de toda a parte de mapeamento dos processos, entender como os dados são tratados, com quais empresas eles são compartilhados, entre muitas outras medidas.
Além disso, todos os dados pessoais trafegados e armazenados devem ser identificados e protegidos contra acessos não autorizados. Para assegurar a detecção e a notificação de violações, é preciso fazer o gerenciamento de todos os canais de acesso e o monitoramento de ameaças.
Para coordenar essas ações, é recomendável que as empresas formem um Grupo de Trabalho, liderado pelas equipes de Segurança da Informação, Jurídica, TI, RH e de Compliance.

Prepare-se para a LGPD

A adequação das empresas à LGPD pode ser bastante estressante sem as informações adequadas. Pensando nisso, a AIM7 criou um guia completo para você entender tudo sobre a Lei Geral de Proteção de Dados e assim garantir todas as mudanças necessárias.

Conte com a AIM7 para ajudá-lo a garantir a segurança da informação e a se adequar à LGPD. O nosso time é composto por profissionais altamente capacitados e atualizados, capazes de gerenciar e monitorar o status de segurança de nossos clientes.

1. Como saber se eu já estou em conformidade com a LGPD?
A resposta para essa pergunta depende muito, pois ela é muito abrangente. Praticamente, a pessoa nunca vai saber se está em conformidade com a Lei o não. Por quê? Suponhamos que a sua empresa já tenha todos os processos bem implantados, uma política de privacidade bem estruturada, procedimentos de atendimento aos direitos dos titulares, e até mesmo um plano de ação em caso de vazamento de dados. Mesmo assim, sempre vai ter um ponto de adequação. Por exemplo, vamos supor que entre um colaborador novo na empresa, quando toda a equipe já está conscientizada, passou por um treinamento e entende o que é a LGPD de ponta a ponta. Porém, esse colaborador novo ainda não tem esse conhecimento e, portanto, ele vai ser o elo fraco, o ponto de não conformidade com a Lei, pois a partir dele pode acontecer algum tipo de vazamento. Por isso, vai ser realmente no dia-a-dia que vocês vão entender o quanto poderão se aproximar de estar em total conformidade com a nova Lei.
2. Como posso comprovar aos meus clientes que estou em conformidade com a Lei?
Você pode comprovar isso por meio de políticas, de treinamentos, do compartilhamento de notícias sobre privacidade, de disparos de e-mail marketing. Nas próprias solicitações dos próprios titulares dos dados, você pode mostrar que está em conformidade. Porque se eles solicitam um direito e você atende a essa requisição, já demonstra que pelo menos nesse ponto você está em conformidade com a Lei.
Não existe nenhum selo que comprove que você está em conformidade com a LGPD. Por exemplo, não existe uma norma ISO 27001, que é o padrão e a referência Internacional para a gestão da Segurança da informação, específica para a LGPD. Por isso, a melhor maneira de você comprovar aos os titulares dos dados que está em adequação com a Lei é no seu relacionamento no dia-a-dia com colaboradores e titulares dos dados (que podem ser clientes), atendendo aos pontos da Lei.
3. A adequação à LGPD se resolve apenas com tecnologia? Existe um software que faz você ficar em conformidade com a LGPD?
Existem diversas tecnologias que auxiliam as empresas a entrar em conformidade com a Lei ou, pelo menos, se aproximarem disso. Porém, não existe uma fórmula mágica. Atualmente, já existem diversos produtos disponíveis que auxiliam na questão dos direitos dos titulares, do consentimento, em toda a parte de atendimento dos princípios e mapeamento dos processos. E também toda a questão de segurança da informação, com o uso de um DLP, um antivírus, um firewall. Até a questão do backup, porque caso a empresa sofra algum tipo de problema na sua estrutura de tecnologia, ela consegue reverter essa situação com o backup. Mas não existe um software específico capaz de fazer toda a adequação para uma empresa ficar em conformidade com a Lei.
4. Como funciona o consentimento?

O consentimento para uso de dados pessoais é específico para uma finalidade. Ele deve ser solicitado especificamente para cada finalidade a que se destina. Por exemplo, se uma empresa coleta e-mails de pessoas para participar de um webinar sobre determinado assunto, ela não pode depois enviar e-mails para elas para tentar comercializar algum produto ou serviço.

Situações em que é permitido obter informações sem o consentimento:

  • Execução de contrato.
  • Cumprimento de obrigação legal.
  • Proteção da vida.
  • Proteção ao crédito.
  • Legítimo interesse.
5. O que é o tratamento de dados pessoais?
Tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Inciso X do Art. 5º).
Nesta imagem, vemos como o tratamento de dados geralmente funciona nas empresas. Portanto, ele não se limita à coleta e a algum tipo de compartilhamento, mas envolve um processo muito mais abrangente.

6. Como posso provar que fiz a deleção dos dados pessoais para o titular?

Tem diversas maneiras de você demonstrar. Pode ser a partir de um relatório sobre a conformidade da empresa, de um portal de autoatendimento, em que ele mesmo possa fazer a deleção dos dados automaticamente, de modo que não tenha mais acesso a eles; ele pode receber algum tipo de protocolo ou algum tipo de log. Muitos sistemas, principalmente vindos do exterior, já trazem a questão da rastreabilidade, com toda a trilha de auditoria, referente à exclusão dos dados para entrar em conformidade com a Lei. Então, uma vez que aconteceu a deleção dos dados e você atender àqueles direitos do titular, você pode criar um relatório, colocar toda aquela trilha de auditoria, exportar um relatório e anexar, ou colocar algum tipo de informação dentro desse documento para comprovar que aqueles dados foram deletados.

7. Qual é o risco de ter os dados pessoais vazados? Como a minha empresa pode ser afetada?
As pessoas físicas podem ter o seu dado vazado e receber ligações inoportunas referentes a algum tipo de propaganda, como das companhias de Telecom. Pode ser para algum tipo de oferecimento de produto, um cartão de crédito, algum produto que você buscou na internet. A partir de algum tipo de vazamento, você pode ter um roubo de identidade, ou algum tipo de compra feita com os seus dados bancários. Então, com certeza, a gente tem que se preocupar com esses riscos de privacidade, pois ocorrem muitos vazamentos.
Além disso, as empresas brasileiras correm o risco de sofrer ataques de cibercriminosos – atualmente, o Brasil ocupa a terceira posição entre as nações que mais sofrem ataques virtuais no mundo. Entre janeiro e junho de 2020, o País foi alvo de mais de 2,6 bilhões de tentativas de ataques cibernéticos, segundo relatório da Fortinet.

E as vulnerabilidades mais comuns ocorridas nas empresas foram causadas justamente por falhas que expõem os dados pessoais dos usuários, e não por falhas técnicas do sistema. Os cibercriminosos se aproveitam dessas brechas para explorar as fragilidades das empresas e ter acesso a informações pessoais que estão sob a custódia delas. Depois, eles utilizam esses dados sigilosos para fazer extorsões. Por isso, é fundamental que aumentem a cibersegurança.

8. O que fazer quando há vazamento de informações?

Isso é uma questão de segurança da informação. Se forem dados pessoais, é preciso verificar se é preciso comunicar à Autoridade Nacional – ainda não está definido em quais hipóteses essa notificação será obrigatória. Além disso, é preciso avaliar se é preciso informar esse vazamento aos titulares. Por exemplo, suponha que você trabalha no ramo bancário e lide com vários dados confidenciais dos titulares, que podem inclusive ser utilizadas para fazer compras sem o conhecimento deles. Então você precisa notificá-los para que cancelem os seus cartões ou talvez mudar a conta deles. Portanto, quando há vazamento, você tem que entender quem terá que notificar, procurar a causa desse problema e procurar resolvê-lo.
9. Quem fará a fiscalização?
A fiscalização e a regulação da LGPD ficarão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Mas serão principalmente os titulares que farão a fiscalização sobre a tratativa de dados.
10. Quais são as consequências para as empresa que não se adequarem à LGPD?
A ANPD poderá aplicar as seguintes penalizações:
  • Advertência, com prazo para adoção de medidas;
  •  Multa simples, de até 2% do faturamento, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
  • Bloqueio ou eliminação dos dados a que se referem a infração.
  • Proibição parcial ou total de atividades relacionadas ao tratamento de dados.

As sanções por parte da ANPD entrarão em vigor a partir de agosto de 2021.