Você sabe o que é a Lei geral de proteção de dados? Aprenda aqui!

Com a ideia central de modificar o Marco Civil da Internet, a Lei 13.709 de 14 de agosto de 2018 foi aprovada com louvor. Apesar de muito se comentar sobre a Lei Geral de Proteção de Dados (LGPD), você sabe ao certo sobre o que ela trata?

Antes de mais nada, o conceito de dado pessoal tem como significado a informação ligada a uma pessoa que é de fácil identificação. Existe também o fator do consentimento, que consiste na autorização da pessoa física para que alguma empresa possa manejar os dados por ela disponibilizados, independentemente de quais sejam.

Pensando nisso, trouxemos um artigo recheado de esclarecimentos que podem nortear a sua política de segurança da informação. Confira!

O que é a Lei Geral de Proteção de Dados (LGPD)? 

De maneira geral, essa nova legislação exigirá que as organizações modifiquem a forma com a qual lidam com as informações obtidas de seus clientes, sendo estabelecidos três grandes pilares ao decorrer do tratamento de dados:

  • titular — as pessoas físicas que detém os dados;
  • controlador — as pessoas jurídicas que obtém os dados e toma as decisões;
  • operador — a empresa responsável pela coleta de dados e pelo desenvolvimento dos padrões de segurança.

Em outras palavras, podemos compreender essa a LGPD como um grupo de direitos e obrigações desses três pilares em momentos distintos, gerando assim uma rede capacitada para zelar pela privacidade dos titulares de dados pessoais no país.

Essa lei se torna aplicável aos dados de pessoas naturais e, consequentemente, cumprida por entidades públicas e privadas, seja qual for a nação envolvida ou a localização precisa dos dados em questão. Serve para todas as operações de dados pessoais, como armazenamento, coleta, processamento, transferência, classificação, utilização e o compartilhamento com terceiros.

Em relação aos dados biométricos, por exemplo, a LGPD qualifica-os como dados sensíveis, de modo que haja um rigor ainda maior para lidar com essas situações, a fim de evitar quaisquer vazamentos por falhas. Já em casos que se trata de hipóteses referentes ao cumprimento de obrigação regulatória ou legal, além das prevenções às fraudes e à segurança dos usuários, dispensa-se o consentimento do titular.

Quem vai fiscalizar isso?

Com o propósito de garantir que as regras da LGPD sejam seguidas a rigor pelas empresas privadas e públicas, em julho deste ano o presidente Jair Bolsonaro (PSL) aprovou a criação da Autoridade Nacional de Proteção de Dados (ANPD). Esse órgão federal terá a incumbência de fiscalizar irregularidades, aplicar sanções e elaborar regulamentos a respeito da proteção de dados.

Tida como uma espécie de agência reguladora, a ANPD terá um quadro técnico de 23 profissionais gabaritados no assunto, sendo que 5conselheiros serão nomeados diretamente pelo presidente da República. Vale ressaltar que o órgão só terá autonomia para estabelecer regras a partir da análise do impacto regulatório e consulta pública com ampla participação dos cidadãos.

Nos dois primeiros anos de funcionamento, a ANPD ficará sob a supervisão da presidência, sendo que depois ela será transformada em uma autarquia independente em sua atuação. Além disso, é bem provável que a instituição federal caminhe pelos padrões técnicos estabelecidos por certificados de segurança ou frameworks conhecidos, tais como ISO/IEC, NIST ou SANS.

Qual a diferença da lei de proteção de dados europeia em relação à brasileira?

Talvez você não saiba ainda, mas existe uma legislação parecida na Europa e que, inclusive, serviu de inspiração para a nossa LGPD. Trata-se do Regulamento Geral de Proteção de Dados da União Europeia (GDPR, em inglês). Por lá a lei foi aprovada em abril de 2016 e, assim como a LGPD, começou a vigorar dois anos depois, considerando que esse é um prazo clássico para que as instituições possam se adequar.

A discussão por uma lei que abrangesse essa questão da proteção de dados se tornou ainda mais urgente depois dos escândalos de vazamento e compartilhamento de informações dos titulares, como no caso do Facebook. A GDPR é uma forma de atualização da lei de privacidade que vigorava no bloco europeu desde meados da década de 1990, de maneira que a nova lei terá um grau de importância ainda maior.

Ela foi desenvolvida no intuito de proporcionar transparência em relação aos dados dos europeus e a possível utilização das informações pessoais, que constam armazenadas nas empresas, especialmente as de tecnologia. Via de regra, a principal diferença encontrada nas leis é o nível de organização, sendo que a versão brasileira, embora cubra todos os pontos citados na GDPR, tem menos detalhes.

O que acontecerá quando a LGPD entrar em vigor? 

Partindo do princípio que a lei entrará em vigor só em agosto de 2020 no Brasil, muita coisa ainda pode acontecer, mas as empresas devem realizar o quanto antes levantamento de informações acerca de seu ambiente de rede a fim de verificar se todos osprocedimentos existentes e soluções de segurança estão de acordo. Se formos analisar na prática, essa transformação no ambiente virtual dará o direito ao titular de requerer seus dados, além de solicitar correções, atualizações ou até mesmo a exclusão, se assim preferir.

É uma medida útil para empoderar as pessoas e construir uma relação de nivelamento das informações, ao ponto de haver transparência total do que é feito com os dados. Medidas de investimento em segurança da informação serão adotadas, a fim de cumprir as diretrizes de cada parágrafo da lei e permitir que os usuários possam anonimizar, bloquear ou eliminar dados subentendidos como desnecessários.

Para garantir a confidencialidade das informações pessoais, torna-se possível ainda que a ANPD exija a aplicação de controles criptográficos por parte das empresas, permitindo que os dados estejam legíveis apenas para pessoas autorizadas. As empresas poderão coletar só o que for indispensável à atividade que prestam e, em casos de descumprimento da legislação, a ANPD adotará advertências e multas.

Como as empresas podem se preparar? 

Com o objetivo de assegurar a integridade da base de dados dos titulares, as empresas serão obrigadas a adotarem um planejamento robusto em relação a esse processo, criando uma política de segurança compartilhada entre os colaboradores. É preciso estruturar o atendimento aos usuários de modo que se faça cumprir a lei, isto é, deve-se disponibilizar canais gratuitos para que a comunicação seja a melhor e mais clara possível.

É fundamental que haja uma revisão de processos, desde a gestão de firewall empregada no TI até o mapeamento dos termos de uso, tendo como propósito organizar os setores e evitar possíveis brechas que comprometam os dados alheios. As informações devem ser devidamente catalogadas, até mesmo para suprir possíveis solicitações advindas da ANPD. 

Recomenda-se que as companhias desenvolvam também um comitê responsável pela elaboração de políticas internas, planos e metas de gerenciamento de dados, de tal modo que sejam implementadas ações contingenciais para situações de crise. Além disso, propor treinamentos aos colaboradores e prestadores terceirizados  a partir das regras da nova lei é uma decisão acertada, pois deixará os departamentos alinhados com todas as demandas de segurança.

Para concluirmos o assunto em torno da LGPD, vale ressaltar que além das figuras do titular, controlador e operador, deverá existir o DPO, em inglês Data Protection Officer, na tradução, a pessoa responsável pela proteção dos dados e que, em caso de vazamento, é quem vai a público admitir o problema e anunciar quais medidas serão tomadas para a contenção, além de intermediar todo assunto com os órgãos responsáveis.

De resto, cabe às empresas se organizarem e prestarem contas de seus atos a respeito das informações obtidas.

Mauricio Incelli
Mauricio Incelli
Diretor de TI na AIM7. Profissional com mais de 25 anos de experiência no setor de tecnologia e segurança da informação.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *