'Most Innovative Startup 2020' by RSA - Assista ao vídeo de argumento de venda
Veja maisDepois do Regulamento Geral Europeu (GDPR) e da Lei de Proteção ao Consumidor da Califórnia (CCPA) - que foi posteriormente substituída pela Lei de Direitos de Privacidade do Consumidor (CPRA) - o Brasil sacudiu o campo da privacidade de dados e da indústria da Internet quando introduziu seu próprio regulamento abrangente de privacidade de dados, a Lei Geral de Proteção de Dados Pessoais (LGPD).
De acordo com estatísticas recentes, o Brasil tem 140 milhões de usuários de internet (a população do 10º maior país do mundo), o que o torna um dos maiores mercados de internet da América Latina e o quarto maior mercado do mundo.
Nos anos anteriores, o Brasil elaborou mais de 40 regulamentos legais com relação à privacidade de dados em nível federal, alguns que estabeleceram diretrizes gerais e alguns eram específicos do setor, levando a muitas sobreposições e conflitos entre diferentes leis entre os setores. O aspecto negativo dessas leis setoriais é que elas são aplicáveis a setores específicos e não oferecem proteção abrangente aos usuários e consumidores da Internet no Brasil. Também para organizações e empresas envolvidas em operações multissetoriais, cumprir todas essas diferentes leis e seus requisitos é uma tarefa cara e difícil. É por isso que a nova lei de proteção de dados do Brasil, conhecida como LGPD (Lei Geral de Proteção de Dados Pessoais), foi implementada para fornecer uma estrutura regulatória mais abrangente e geral para a privacidade de dados.
A LGPD foi aprovada pelo Congresso Nacional Brasileiro em 14 de agosto de 2018. Em agosto de 2020, o Presidente do Brasil aprovou a criação da autoridade reguladora independente federal - a Autoridade Nacional de Proteção de Dados (ANPD) - para interpretar e fazer cumprir a LGPD e atuar como autoridade supervisora nacional.
Apesar do início da pandemia COVID e de um atraso planejado na vigência até dezembro de 2020 ou maio de 2021, o LGPD foi sancionado e vigora desde 18 de setembro de 2020. As sanções previstas na lei não entrarão em vigor até 1º de agosto de 2021.
É sabido que o LGPD foi elaborado e baseado no GDPR tanto que alguns o chamam de GDPR do Brasil. A LGPD contém 65 artigos que fornecem aos indivíduos direitos dos titulares dos dados, impõem obrigações às organizações para o processamento legal de dados pessoais, exigem notificação de violações de dados à autoridade supervisora e titulares dos dados afetados, criam uma autoridade supervisora nacional para interpretar e fazer cumprir a lei, regulamentar a transferência internacional de dados, definir diretrizes legais de coleta de consentimento e impor pesadas penalidades aos violadores semelhantes ao GDPR.
LGPD provê:
O LGPD oferece aos titulares de dados individuais um conjunto de 9 direitos sobre os seus dados pessoais que podem ser exercidos contra organizações públicas e privadas ao abrigo do LGPD, o que é muito diferente das várias leis setoriais federais no passado que ofereciam apenas parciais proteções. Esta abordagem da lei LGPD é fortemente influenciada pelo Regulamento Geral de Proteção de Dados da UE:
Direito a ser informado sobre a existência do tratamento.
O direito de acessar os dados.
O direito de corrigir dados imprecisos, incompletos ou desatualizados.
O direito de bloquear, tornar anônimo ou excluir dados excessivos ou desnecessários ou dados que não estejam sendo processados em conformidade com LGPD.
Direito à portabilidade dos dados para outro serviço mediante pedido expresso.
O direito de exclusão de dados pessoais que são processados com o consentimento do titular dos dados.
O direito à informação sobre entidades privadas e públicas com as quais os dados são compartilhados.
O direito de ser informado sobre a possibilidade de negar o consentimento e as consequências de tal negação.
Direito de revogar o consentimento.
A seguir estão 19 definições relativas à LGPD.
Dados pessoais | Informações sobre uma pessoa física identificável ou identificada. |
Dados pessoais sensíveis | Dados pessoais relativos à origem étnica ou racial, opinião política, crenças religiosas, filiação sindical ou filosófica, religiosa ou política, dados relativos à saúde ou dados genéticos ou biométricos relativos a uma pessoa singular. |
Titular dos dados | Uma pessoa física cujos dados pessoais são objeto de processamento. |
Consentimento | Manifestação livre, informada e inequívoca em que o titular dos dados concorda com o tratamento de dados pessoais para um determinado fim. |
Processamento | Uma operação realizada com dados pessoais. |
Banco de Dados | Conjunto estruturado de dados pessoais, mantidos em um ou vários locais, em suporte eletrônico ou físico. |
Agentes de processamento | O controlador e o operador. |
Controlador | Pessoa física ou jurídica, de direito público ou privado, com competência para deliberar sobre o tratamento de dados pessoais. |
Operador | Pessoa física ou jurídica, de direito público ou privado, que trata os dados pessoais em nome do responsável pelo tratamento. |
Encarregado | Pessoa física, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares dos dados e a autoridade nacional (ANPD). |
Anonimização | Uso de técnicas disponíveis e razoáveis durante o processamento, através da qual os dados perdem a possibilidade de associação direta ou indireta com um indivíduo. |
Bloqueio | Suspende temporariamente a operação de processamento através da retenção da base de dados ou dados pessoais. |
Exclusão | Exclusão de um conjunto de dados mantidos em um banco de dados, independentemente do procedimento utilizado. |
Transferência Internacional de Dados | Transferencia de dados pessoais para uma entidade internacional ou para um país estrangeiro do qual o país seja membro. |
Uso Compartilhado de Dados | Comunicação, transferência internacional, disseminação, interconexão de dados ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas, em conformidade com as capacidades legais, ou entre estas e entidades privadas, reciprocamente, com autorização específica, para um ou mais tipos de processamento permitidos por essas entidades públicas, ou entre entidades privadas. |
Avaliação do Impacto da Proteção de Dados | Documentação do controlador atribuído que contém a descrição no que diz respeito aos procedimentos de processamento de dados que podem representar riscos para os direitos fundamentais e as liberdades civis, bem como salvaguardas e mecanismos para mitigar o risco. |
Órgão de Pesquisa | Órgão ou entidade da administração pública ou pessoa jurídica sem fins lucrativos de direito privado, legalmente constituída de acordo com a legislação brasileira, com sede e foro no País. Este órgão ou entidade inclui na sua missão institucional, nos seus objetivos sociais ou estatutários a investigação básica ou aplicada de natureza histórica, científica, tecnológica ou estatística; e (Nova Redação dada pela Lei nº 13.853 / 2019). |
Autoridade Nacional | Órgão da administração pública responsável pelo monitoramento, fiscalização e implementação do cumprimento desta Lei em todo o território nacional. (Nova Redação dada pela Lei nº 13.853 / 2019). |
A seguir estão as 10 bases legais de processamento:
A ANPD é uma entidade pública de administração, membro da Presidência da República. Tem como objetivo principal:
O DPO é o indivíduo dentro de uma organização que tem as seguintes tarefas no LGPD:
A LGPD também regula a transferência internacional de dados pessoais do Brasil para outros países e jurisdições de maneira semelhante ao GDPR. As transferências transfronteiriças só podem ocorrer se:
A LGPD impõe obrigações às organizações que tratam e processam dados de titulares brasileiros. Alguns dos requisitos mais importantes são:
A seguir estão algumas diretrizes de segurança importantes na LGPD:
Ao contrário da CCPA, a LGPD não leva em consideração o tamanho ou a receita de uma empresa, mas sim as informações que a empresa detém. Nos termos do artigo 3 da LGPD, qualquer organização que desempenhe as seguintes tarefas está sujeita ao cumprimento da LGPD:
Controlador:
“Processamento de dados dentro do território do Brasil, Processamento de dados de pessoas físicas que estejam no território do Brasil. A localização do controlador de dados é irrelevante."
Operador:
“Processamento de dados que foram coletados dentro do território do Brasil.”
O artigo 11º menciona a situação limitada em que os dados sensíveis podem ser tratados. São eles:
A LGPD (Lei Geral de Protecção de Dados) é clara quanto às consequências do incumprimento da lei. O sistema de penalidades varia de:
Advertências às organizações em caso de não conformidade com a intenção de que a organização implemente medidas corretivas.
Bloqueio ou exclusão de processamento e dados.
Multas diárias que podem ir até R$ 50 milhões, o que se aproxima de € 7,5 milhões.
Multas de até 2% do faturamento anual no Brasil ou R$ 50 milhões por infração, o que se aproxima de € 7,5 milhões.
As multas máximas podem chegar a até 50 milhões de reais ou 2% do faturamento anual de uma empresa por violação da LGPD. Caberá à ANPD fazer cumprir tais sanções.
A LGPD (Lei Geral de Proteção de Dados) foi elaborada de acordo com o GDPR da UE. A LGPD tem jurisdição global, o que significa que qualquer site que processe dados pessoais de pessoas físicas no Brasil deve obedecer.
Para saber mais sobre LGPD, bem como outras regulamentações de privacidade em todo o mundo, e o que sua organização pode fazer para cumpri-la, inscreva-se para obter uma cópia gratuita do livro PrivacyOps.
A prática multidisciplinar para aumentar o valor de confiança de sua marca e cumprir as regulamentações de privacidade.
Get the Book“Aproveitando os conceitos de PrivacyOps deste livro em toda a nossa organização, fomos capazes de não apenas economizar tempo e dinheiro, mas também mitigar os riscos associados aos métodos manuais de gerenciamento de privacidade.”
- Marty Collins, Diretor Jurídico e de Privacidade, Quebre, Inc
A LGPD tem uma série de regulamentações que as organizações precisam estar cientes para estar em conformidade com esta legislação. A seguir está uma lista de verificação rápida que pode ser um trampolim para a conformidade com o LGPD.
Securiti é uma solução de conformidade premiada que gira em torno do conceito de PrivacyOps. A arquitetura PrivacyOps considera a utilização de automação robótica, inteligência artificial e aprendizado de máquina. Este sistema automatiza a maioria das tarefas, liberando recursos para outras operações de negócios.
A Securiti ajuda as empresas a mapear dados em uma rede de sistemas internos e externos e a montar um gráfico de dados para vincular os dados pessoais a cada indivíduo. Ele também pode realizar avaliações internas automatizadas de políticas, bem como de fornecedores terceirizados, gerenciar consentimento e fazer muito mais! É a ferramenta definitiva para a conformidade com LGPD, bem como com qualquer outra regulamentação de privacidade de dados no mundo.
Para saber como a Securiti pode ajudá-lo em sua jornada em direção à conformidade, enquanto implementa o gerenciamento de privacidade de forma eficiente, solicite uma demonstração hoje.
Aplicável a todas as empresas que processam dados pessoais de titulares de dados residentes no Brasil, independentemente da localização da empresa.
As multas podem chegar a 2% do faturamento anual no Brasil ou R50 milhões por infração, o que aproxima a € 7,5 milhões.
Algumas pessoas chamam o LGPD de “GDPR do Brasil”. Se você já é compatível com o GDPR, está dentro da maioria das disposições do LGPD.
[email protected]
PO Box 13039,
Coyote CA 95013
Find data assets, and discover personal and sensitive data in structured and unstructured data systems, across on-premises and multi-cloud.
Classify & label data to ensure appropriate security controls are enabled on most sensitive data in your organization
Collect, organize, enrich and build a data catalog to address privacy, security and governance solutions
Connect to structured and unstructured data sources and automatically discover and build a relationship map between personal data and its owner.
Assess risk scores for every data asset, asset location, or personal data category
Auto discover personal data in Snowflake and enforce access governance
Auto discover personal data in Snowflake and enforce access governance
Discover, classify, manage and protect sensitive data in Box. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Discover, classify, manage and protect sensitive data in Slack. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more
Discover, classify, manage and protect sensitive data in Workday. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Discover, classify, manage and protect sensitive data in Github. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Discover, classify, manage and protect sensitive data in Jira. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Discover, classify, manage and protect sensitive data in Dropbox. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Discover, classify, manage and protect sensitive data in SAP Successfactors. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Discover, classify, manage and protect sensitive data in Servicenow. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Discover, classify, manage and protect sensitive data in Zendesk. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Discover, classify, manage and protect sensitive data in Apache Hive. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Discover, classify, manage and protect sensitive data in Apache Spark SQL. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Discover, classify, manage and protect sensitive data in Cassandra. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Discover, classify, manage and protect sensitive data in Couchbase. Automate data subject rights fulfillment and maintain compliance with regulations such as GDPR, CCPA, LGPD, PCI and more.
Maintain your Data Catalog with continuous automated updates
Automate data subject rights request fulfillment and maintain proof of compliance
Connect to structured and unstructured data sources and automatically discover and build a relationship map between personal data and its owner.
Audit once and comply with many regulations. Collaborate and track all internal assessments in one place.
Automation of privacy assessment collection from third parties, collaboration among stakeholders, follow-ups and compliance analytics.
Automate global cookie consent compliance.
Simplify and automate universal consent management.
Automate the incident response process by gathering incident details, identifying the scope and optimizing notifications to comply with global privacy regulations.
Keeping privacy notices up-to-date made easy
Operationalize GDPR compliance with the most comprehensive PrivacyOps platform
Operationalize CCPA compliance with the most comprehensive PrivacyOps platform
Revolutionize LGPD compliance through PrivacyOps
Enable privacy by design through the AI driven PrivacyOps platform
Discover data assets, detect & catalog sensitive data in it
Classify and label data to ensure appropriate security controls
Monitor data security posture and identify external and internals risks to data security
Policy based alerts and remediations to protect data from external and internal threats
Investigate data security issues and take remediation actions
Snowflake is a cloud based data warehouse that allows organizations to run large scale data analytics projects to uncover business insights, run or train machine learning models, and modernize their data infrastructure.
The Amazon S3 (Simple Storage Service) is a web-service which allows for scalable storage solutions for data archival, backup, and recovery purposes.
Microsoft O365 is the ubiquitous productivity suite for every business worker. Users rely on Office products such as OneDrive and SharePoint to collaborate with their co-workers.
Organizations want to migrate their on-premises data to cloud data stores to take advantage of scale and flexibility while reducing operational cost of managing on-premises infrastructure. However, due to privacy regulations such as GDPR, CCPA administrators have to ensure that data is migrated in compliance with these laws.
Protecting sensitive content is a priority for all organizations, however, due to volume of sensitive content and
While data aids in business decision making, global privacy regulations such as GDPR, CPRA require organization to identify personal & sensitive data & use only for its intended purpose and implement adequate protection.
The California Consumer Privacy Act (CCPA) was signed into law on June 28, 2018 and is scheduled to come into effect on January 01, 2020. Often compared to GDPR, CCPA protects consumers from mismanagement of their personal data and gives the consumer control over what data is collected, processed, shared or sold.
The EU General Data Protection Regulation (GDPR) came into effect on May 25, 2018 and changed the global privacy landscape. It has broadened the definition of processing activities and personal data, impacting companies worldwide, and has tightened the rules to obtain consent before processing information.
The Lei Geral de Proteção de Dados (LGPD) is modeled with similarities to the General European Data Protection Regulation (GDPR) and contains sixty-five articles. It was approved on August 14, 2018 and its validity has undergone several changes, the last relevant fact being MPV 959. LGPD is in effect since September 18, 2020. The sanctions by the ANPD (Brazilian Data Protection Authority) were postponed to August 2021. The LGPD allows people have more rights over their data and expects organizations to comply with their regulations or face heavy penalties or fines.
The government of New Zealand has recently replaced its long-existing Privacy Act of 1993 with a modernized version, the Privacy Act 2020. The New Zealand Privacy Act 2020 (NZPA) will take effect from December 1, 2020.
The Personal Data Protection Act, B.E. 2562 (2019) ('PDPA') is Thailand's first consolidated data protection law, which was published in the Thai Government Gazette on 27 May 2019. This law was said to go into effect on 27 May 2020. However, in May 2020, the Thai Cabinet through a Royal Decree has deferred the enforcement of certain data protection provisions of the PDPA until 31 May 2021.
In order to protect the data of individuals in South Africa, Parliament assented to the Protection of Personal Information Act (POPIA) on 19th November 2013. The commencement date of section 1, Part A of Chapter 5, section 112 and section 113 was 11 April 2014. The commencement date of the remaining sections (excluding section 110 and 114(4)) was 1st July 2020. As per the Regulator’s Operational Readiness Plan the Regulator will be able to take enforcement actions for the violation of POPIA by July 1st 2021.
The DIFC Data Protection Law, 2020 lays down regulations regarding the collection, disclosure and processing of personal data in the DIFC, a special economic zone in Dubai. It also gives rights to individuals whom the personal data relates to and provides power to the Commissioner of Data Protection to enforce the law, enact regulations and approve industry-wide Codes of Conduct.
The Australia Privacy Act 1988 (Privacy Act) was enacted to protect the privacy of data subjects and regulate how Australian agencies and organizations with an annual turnover of more than $3 million handle their customers’ personal information.
Singapore’s Personal Data Protection Act (PDPA) comprises various provisions governing the collection, disclosure, use, and care of personal data. It recognizes the rights of individuals to have more control over their personal data and the needs of organizations to collect, use, or disclose personal data for legitimate and reasonable purposes.
On April 13, 2000, the Personal Information Protection and Electronic Documents Act (PIPEDA) received Royal Assent. It came into force in stages, beginning on January 1, 2001. PIPEDA came fully into effect on January 1, 2004. The legislation applies to organizations that collect, use or disclose personal information in the course of commercial activities.
After the invalidation of Privacy Shield, many companies are relying on the SCCs in order to continue transferring data of EU citizens to companies based in countries who are not deemed adequate for data transfer.
After the CJEU judgement, it is clear that these companies have to conduct Risk Assessments with the data recipients in these countries in order to ensure they have enough controls to mitigate any potential data or regulatory risk.
On 2nd March, 2019, the Department of Health—Abu Dhabi (DoH), launched the Abu Dhabi Healthcare Information and Cyber Security (ADHICS) Standard. This is the first standard that aims to provide healthcare professionals and entities a comprehensive guide to the regulation of healthcare data in Abu Dhabi. This law ensures the highest levels of privacy and security of patients’ data, in line with international standards, is maintained.
On January 31, 2020, the government of Saudi Arabia issued the Executive Regulations to the Saudi E-Commerce Law 2019 (“ECL”) that was in effect since October 2019. The Executive Regulations together with the ECL (“Law”) aim to protect consumers’ personal data by requiring organizations to take appropriate technical and administrative measures.
Turkey was one of the first countries to start the trend of legislating data protection. Turkey published “Law on the Protection of Personal Data No. 6698 (LPPD) covering personal data protection on April 07, 2016.” The LPPD is based on the European Union Data Protection Directive 95/46/EC and has several similarities with the GDPR. It aims to give data subjects’ control over their personal data and outlines obligations that organizations and individuals dealing with personal data must comply with. The LPPD has also provided comprehensive guidelines for the transfer of personal data to the third parties.
In December 2019, India, following several other countries' footsteps on the privacy laws' developments, introduced the Personal Data Protection Bill (PDPB) to regulate the processing, collection, and storage of personal data.
On 13 October 2020, the National People's Congress of the Republic of China submitted the long awaited draft of the Personal Information Protection Law (Draft PIPL) to the Standing Committee meeting for preliminary review. This draft was officially released for the public consultation on 21 October, 2020. The consultation period will last until 19 November 2020.
The Irish Data Protection Act, 2018 (Irish DPA) implements the General Data Protection Regulation (GDPR) and transposes the European Union Law Enforcement Directive in Ireland. Since it incorporates most of the provisions from the GDPR and the Law Enforcement Directive with limited additions and deletions as per the national law, it is considered to be the principal data protection legislation in Ireland.
The Personal Data (Privacy) Ordinance (Cap. 486) as amended in 2012 (the “PDPO) is the primary legislation in Hong Kong which was enacted to protect the privacy of individuals’ personal data, and regulate the collection, holding, processing, disclosure, or use of personal data by the organizations.. The Data Protection Principles ( the “DPPs or DPP ''), which are contained in Schedule 1 to the PDPO, outline how entities should collect, handle, disclose, and use personal data.
In 2012, the Philippines passed the comprehensive privacy law, Data Privacy Act 2012 Republic Act. No, 10173 (the "DPA"). The DPA recognizes the rights of individuals to have more control over their personal data while ensuring a free flow of information to promote innovation and growth.
The United Arab Emirates (UAE) has a Federal Telecommunication Law ( Federal Law) which requires that a company must hold a license in order to provide public communications services and operate public telecommunication networks. Under this Federal Law, a Telecommunication Regulatory Authority (TRA) was established which regulates the telecommunication sector in the UAE.