Você sabia que, no Brasil, existe uma lei direcionada especificamente para a proteção de dados? A Lei Geral de Proteção de Dados (LGPD), ou Lei nº 13.709, foi sancionada no país no ano passado.
Como sabemos, recentemente, tornaram-se públicos vários escândalos relacionados ao vazamento de dados da rede social Facebook.
Agora já não é preciso mais ser um expert em tecnologia para saber que é necessário ter cuidado com o que é compartilhado por ali, certo?
Essa rede social é hoje a mais famosa e possui um intenso fluxo de informações de milhares de usuários. Esse acesso massivo fez diversos países se apressarem a formular leis de proteção de informações pessoais.
Neste post, você entenderá melhor sobre a Lei Geral de Proteção de Dados e que impactos ela trará, além de saber como acioná-la caso seja vítima de algum crime cibernético.
Continue lendo!
Antes de tudo, o que são dados pessoais e dados sensíveis?
Dados pessoais são definidos como uma informação relativa a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa. Os números do CPF e RG, por exemplo, são dados que podem levar à identificação de alguém e, portanto, são dados pessoais. Outras informações, como raça, etnia, religião entre outras são consideradas dados sensíveis por também poderem ser usadas de forma discriminatória por pessoas mal-intencionadas.Por outro lado, dados que tenham sido descaracterizados, codificados ou colocados de forma pseudônima, mas que possam ser utilizados para identificar uma pessoa, continuam a ser dados pessoais.Dados que tenham sido tornados anônimos, de modo que a pessoa não seja mais identificável,deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente colocados em anonimato, essa ação precisa ser irreversível.Os dados pessoais são considerados em todas as formas de armazenamento – em um sistema informático, através de videovigilância, ou em papel. Em todos estes casos, com a LGPD os dados pessoais estão sujeitos aos requisitos de proteção.
Por que foi criada a Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados, ou LGPD, foi sancionada pelo presidente Michel Temer em agosto de 2018. De fato, demorou oito anos para chegar a esse ponto de aceitação. As discussões tiveram origem em um projeto da Câmara dos Deputados. Este foi aprovado por unanimidade e em regime de urgência pelo Senado em julho de 2018.Essa clara urgência surgiu no momento do vazamento de dados dos usuários do Facebook, coletados pela empresa Cambrigde Analytica e usados nas últimas eleições nos Estados Unidos.Então, a Lei Geral de Proteção de Dados foi criada com o objetivo de fornecer mais ferramentas de controle aos usuários sobre como seus dados estão sendo usados por empresas digitais. O texto da lei é baseado em uma regulamentação europeia semelhante ao Regulamento Geral de Proteção de Dados (GDPR, em inglês), que entrou em vigor em maio de 2018.A nova lei, que altera o Marco Civil da Internet, de 2014, insere o Brasil em um círculo que compreende vários países que atualmente podem ser considerados adequados para proteger a privacidade e o uso de dados de seus usuários.A LGPD visa regulamentar o uso, a proteção e a transferência de dados pessoais no Brasil, nos âmbitos privado e público.Ela estabelece ainda, de modo claro, quem são as figuras envolvidas e quais são suas atribuições, responsabilidades e penalidades no âmbito civil – que podem chegar a uma multa de 50 milhões de reais por incidente.A lei se baseia nos direitos fundamentais da constituição de liberdade e de privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico do país.A nova lei vai entrar em vigor em fevereiro de 2020.
O que muda com a LGPD?
O que muda realmente são as questões em relação ao acesso às informações relacionadas a dados pessoais, sejam de usuários online ou offline. Isso significa que essas pessoas poderão saber como as empresas usam os dados fornecidos por elas.Ou seja, ao fornecer seus dados para uma empresa, você terá o direito de saber como eles são armazenados, por quais motivos foram coletados, por quanto tempo serão compartilhados e quais pessoas exatamente terão acesso a eles. A partir disso, esses dados poderão também ser revogados e retificados, por exemplo.Para as empresas, por outro lado, a responsabilidade passa a ser de fornecer essas informações de maneira clara e simples para que pessoas comuns possam entender.Ao mesmo tempo, as empresas devem investir no setor de segurança da informação.Dentro desses parâmetros, podemos identificar dois pilares da Lei Geral de Proteção de Dados:
- Consentimento: determina que qualquer dado pessoal precisa ter autorização do titular, em que o mesmo concorda com o uso de seus dados para uma determinada finalidade.
- Interesse legítimo: é o motivo pelo qual a organização precisa coletar tal dado. O interesse de ambas as partes precisa ser claro e estar em sintonia, daí a necessidade da autoridade que assegura essa relação.
Quem são os responsáveis pelo tratamento dos dados?
A LGPD criou os chamados Agentes de Tratamento de Dados Pessoais – nas figuras do Controlador e do Operador – que podem ser uma pessoa física ou jurídica, de direito público ou privado. Ao Controlador competem as decisões referentes ao tratamento de dados pessoais, ao passo que ao Operador cabe a realização do tratamento em nome do primeiro.Os Agentes de Tratamento devem adotar medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. São exemplos: destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito dos dados. Da mesma forma, foi definida ainda a figura do Encarregado de Proteção de Dados, que será designado pelas empresas. Também na condição de pessoa natural ou jurídica, de direito público ou privado, ele atuará como canal de comunicação entre o Controlador, os titulares de dados pessoais e a ANPD, recebendo reclamações, dúvidas etc.
O que fazer em caso de incidente com os dados coletados?
Qualquer incidente envolvendo dados pessoais que possa acarretar risco aos seus titulares deverá ser reportado à Autoridade Nacional de Proteção de Dados (ANPD), assim como às próprias vítimas.A comunicação deverá ser feita em tempo razoável, contendo:
- Descrição da natureza dos dados pessoais afetados;
- Informações sobre os titulares envolvidos;
- Indicação das medidas técnicas e de segurança utilizadas;
- Riscos relacionados ao incidente;
- Eventuais motivos da demora (se for o caso); e
- Medidas que foram ou que serão adotadas para reverter ou diminuir os efeitos do prejuízo.
Podemos citar também como ponto importante o fluxo de dados para outros países, ação conhecida como transferência internacional de dados.Esse fluxo internacional somente será permitido para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais compatível com a lei brasileira ou mediante oferecimento de garantias do regime de proteção de dados local.
E o que minha empresa deve fazer?
Concluindo, o que podemos perceber é que, com a Lei Geral de Proteção de Dados brasileira, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança.Será obrigatório implementar sistemas que sejam efetivos em prevenir, detectar e remediar violações de dados pessoais.Isso porque a lei prevê que a adoção de políticas de boas práticas será considerada como critério atenuante das penas. Caso contrário, elas podem chegar a milhões de reais.Da mesma forma, usuários que tiverem seus dados de rede usados de forma indevida, podem acionar a justiça, pois a ação será caracterizada como crime cibernético.Gostou de saber mais sobre a Lei Geral de Proteção de Dados? Confira mais dicas de como preparar sua empresa em nosso e-book gratuito sobre a LGPD!