GDPR, Lei 13.709, lei geral de proteção de dados, LGPD
O crescente uso de dispositivos inteligentes e IoT tem elevado exponencialmente a produção de dados no mundo. Para ser mais exato, serão 44 trilhões de gigabytes em 2020 com a perspectiva de dobrar a cada dois anos.
Tratar essa montanha de dados é um prato cheio para as empresas obterem insights de negócio e avaliar o comportamento dos consumidores. Mas não para por aí, até mesmo os governos têm lançado mão dos bits para direcionar suas estratégias de estado.
Casos recentes protagonizados pelo ex-funcionário da NSA Edward Snowden e pela empresa Cambridge Analytica são demonstrações que excessos são cometidos.
Diante disso, vários países têm criado ou adequado sua legislação para dar mais privacidade e segurança aos dados de seus cidadãos.
Nesta corrida a União Europeia saiu na frente e emplacou em maio de 2018 a GDPR (General Data Protection Regulation) que serviu de inspiração para a nossa LGPD (Lei Geral de Proteção de Dados).
Índice
O que é a LGPD – Lei nº 13.709?
É a Lei que regulamenta as atividades de tratamento de dados pessoais dos Brasileiros desde a coleta, passando pelo processamento e armazenamento até a sua destruição. Foi sancionada em agosto de 2018 e passa a vigorar em agosto de 2020.
O objetivo da LGPD é proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Na prática a LGPD responsabiliza as organizações pela ingerência ou uso abusivo de dados pessoais, afinal nossas informações dizem muito sobre nós e não queremos vê-las expostas ou sendo usadas sem nosso consentimento.
Vale ressaltar que ela se aplica ao universo online e offline. Isso significa que um hospital por exemplo, pode ser responsabilizado se deixar vazar laudos ou exames armazenados em arquivo físico ou digital da mesma forma.
Faça uma auditoria de segurança da sua infraestrutura de TI com a Redes
O que são dados pessoais?
A lei caracteriza como pessoal qualquer dado que identifica ou que possa identificar uma pessoa.
- Nome
- Apelido
- Cookie (Navegadores)
- Telefone
- Endereço
- E-mail pessoal
- IP (Internet Protocol)
Parece simples, mas não é!
Imagine entrar no metrô e ser surpreendido por uma porta que usa tecnologia de reconhecimento facial para detectar emoções, faixa etária e gênero ao vermos um anúncio?
Não é um episódio de Black Mirror, esta tecnologia foi implementada na linha 4-amarela do metrô de São Paulo. O mais grave é que estes dados foram coletados sem ao menos o passageiro perceber.
Do mesmo modo, ao pedir comida por um app fornecemos sem qualquer preocupação o endereço da nossa casa, coordenadas de geolocalização em tempo real, e-mail, hábitos alimentares e tantas outras informações que possibilitam a empresa inferir a partir de cruzamentos, dados sensíveis como vinculações religiosas, estado de saúde, etc.
Neste sentido a LGPD pode ser um marco da mudança na forma como nos relacionamos com a informação. É fundamental lembrar que nossos dados somos nós no espelho.
- Dados Biométricos e Genéticos
- Estado de Saúde
- Posicionamento Político
- Orientação Sexual
- Filiação Sindical
- Convicções Religiosas
- Origem Racial e Étnica
Por estarem associados à nossa vida social e profissional, apresentam maior risco se expostos.
Quem são os atores envolvidos na LGPD?
A lei caracteriza as responsabilidades de quatro atores diferentes: o titular, o controlador, o operador e o encarregado.
Titular
Pessoa física ao qual os dados ser referem
Controlador
Instituição (pública ou privada) ou pessoa física que decide como os dados serão tratados
Operador
Quem trata, manipula os dados
Encarregado
Auditor independente, indicado pelo controlador que estabelece ponto de contato entre o titular, controlador e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) cuja função será fiscalizar e regular a LGPD
Quando tratar dados pessoais?
Os dados só podem ser tratados se houver uma finalidade específica definida na LGPD ou após consentimento do titular. Desta forma, as organizações devem informar claramente nos termos de uso e/ou política de privacidade o que será coletado e qual o objetivo do tratamento.
A permissão se dá:
Mediante a consentimento do titular
Em sites é muito comum o uso de popups e caixas de seleção (checkbox ou opt-in) para solicitação de consentimento e aceitação da política de privacidade
Para cumprir obrigações legais
Quando você compra um produto, por exemplo a empresa pode ser obrigada a capturar seu CPF para emitir nota fiscal em atendimento a legislação vigente
Para pesquisas
Os órgãos de pesquisa estão liberados para tratar dados desde que garantido o sigilo do titular
Para desenvolvimento de políticas públicas
A administração pública poderá tratar dados para fins de execução de políticas públicas previstas em leis
Para cumprir contratos
Quando na contratação de um serviço pelo titular, um prestador terceirizado precisar tratar os dados
Para exercer direitos
Quando uma pessoa está demandando alguma ação judicial, administrativa...
Para proteção da vida
Profissionais da saúde em situações de risco e atendimento de emergência podem lançar mão dos dados pessoais do paciente
Por legítimo interesse
Para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. (há bastante discussão a respeito desse tópico)
Para proteção de crédito
Na contratação de financiamentos, empréstimo ou compras a prazo o controlador poderá fazer consultas, armazenar e analisar dados pessoais do titular sem sua autorização
Quais os direitos do Titular?
A qualquer momento o titular pode:
Solicitar confirmação se os seus dados estão sendo tratados
Acessa-los de forma irrestrita
Retificar ou corrigir dados incompletos ou desatualizados
Pedir exclusão ou anonimização dos dados
Solicitar portabilidade de um controlador para outro
Revogar consentimento
Se opor a tratamento que não esteja em conformidade com a lei, que afetem seus interesses ou que visem definir personalidade, perfil de consumo, crédito…
Receber explicação de critérios e procedimentos usados em tomada de decisão baseadas em tratamento automatizado
Receber informação se seus dados foram compartilhados com entidades públicas e privadas
Quais as penalidades?
Não cumprir a LGPD é um péssimo negócio. As empresas que não se preocuparem com a privacidade e a segurança dos dados, podem ser penalizadas em até 2% do faturamento do seu último exercício fiscal (limitado a R$ 50 milhões).
Os prejuízos vão além do financeiro. Ser visto como como uma empresa que expõem ou usa os dados dos clientes de forma abusiva pode arranhar de forma irreversível a imagem da marca.
O que fazer para se adequar a LGPD?
Não basta criar uma política de privacidade para o site. É fundamental colocar em curso um programa em privacidade de dados pessoais que envolva todas as áreas da empresa.
Trabalhar aspectos culturais é muito importante, pois de nada adianta adotar ferramentas tecnológicas robustas para proteção da rede, banco de dados … se alguém pode imprimir arquivos repletos de dados pessoais e deixa-lo cair em mãos erradas.
Um bom começo é designar uma equipe multidisciplinar liderada por um gestor de projetos que entenda o negócio e possa conduzir a equipe em uma jornada de compliance definindo com clareza objetivos, metas, incentivos e KPI’s.
Saiba que este projeto não se faz sem investimento. Atualização tecnológica, treinamentos para transformação cultural e assessoria jurídica devem ser inseridos na planilha de custos.
Faça uma auditoria de segurança da sua infraestrutura de TI com a Redes