'Most Innovative Startup 2020' by RSA - Assista ao vídeo de argumento de venda

Veja mais

O que é a Lei Geral de Proteção de Dados (LGPD)

Depois do Regulamento Geral Europeu (GDPR) e da Lei de Proteção ao Consumidor da Califórnia (CCPA) - que foi posteriormente substituída pela Lei de Direitos de Privacidade do Consumidor (CPRA) - o Brasil sacudiu o campo da privacidade de dados e da indústria da Internet quando introduziu seu próprio regulamento abrangente de privacidade de dados, a Lei Geral de Proteção de Dados Pessoais (LGPD).

Breve História da LGPD

De acordo com estatísticas recentes, o Brasil tem 140 milhões de usuários de internet (a população do 10º maior país do mundo), o que o torna um dos maiores mercados de internet da América Latina e o quarto maior mercado do mundo.

Nos anos anteriores, o Brasil elaborou mais de 40 regulamentos legais com relação à privacidade de dados em nível federal, alguns que estabeleceram diretrizes gerais e alguns eram específicos do setor, levando a muitas sobreposições e conflitos entre diferentes leis entre os setores. O aspecto negativo dessas leis setoriais é que elas são aplicáveis ​​a setores específicos e não oferecem proteção abrangente aos usuários e consumidores da Internet no Brasil. Também para organizações e empresas envolvidas em operações multissetoriais, cumprir todas essas diferentes leis e seus requisitos é uma tarefa cara e difícil. É por isso que a nova lei de proteção de dados do Brasil, conhecida como LGPD (Lei Geral de Proteção de Dados Pessoais), foi implementada para fornecer uma estrutura regulatória mais abrangente e geral para a privacidade de dados.

A LGPD foi aprovada pelo Congresso Nacional Brasileiro em 14 de agosto de 2018. Em agosto de 2020, o Presidente do Brasil aprovou a criação da autoridade reguladora independente federal - a Autoridade Nacional de Proteção de Dados (ANPD) - para interpretar e fazer cumprir a LGPD e atuar como autoridade supervisora ​​nacional.

Apesar do início da pandemia COVID e de um atraso planejado na vigência até dezembro de 2020 ou maio de 2021, o LGPD foi sancionado e vigora desde 18 de setembro de 2020. As sanções previstas na lei não entrarão em vigor até 1º de agosto de 2021.

Influência do GDPR

É sabido que o LGPD foi elaborado e baseado no GDPR tanto que alguns o chamam de GDPR do Brasil. A LGPD contém 65 artigos que fornecem aos indivíduos direitos dos titulares dos dados, impõem obrigações às organizações para o processamento legal de dados pessoais, exigem notificação de violações de dados à autoridade supervisora ​​e titulares dos dados afetados, criam uma autoridade supervisora ​​nacional para interpretar e fazer cumprir a lei, regulamentar a transferência internacional de dados, definir diretrizes legais de coleta de consentimento e impor pesadas penalidades aos violadores semelhantes ao GDPR.

Essência da lei

LGPD provê:

  • 9 tipos de solicitações de direitos de titulares de dados exercíveis por titulares de dados individuais;
  • 10 bases legais para processamento legal;
  • Requisitos de divulgação obrigatórios e transparentes que as organizações devem incluir em sua política de privacidade;
  • Requisitos de coleta e gerenciamento de consentimento para organizações;
  • Requisito para as organizações nomearem um oficial de proteção de dados;
  • Direitos especiais para crianças;
  • Requisitos de segurança de dados e notificações de violação obrigatórias;
  • Regulamentos para transferências internacionais de dados;
  • Obrigação de as organizações fornecerem Avaliações de Impacto da Proteção de Dados (DPIAs) mediante solicitação da ANPD;
  • Poderes à ANPD para regulamentar a aplicação do ato, receber reclamações dos titulares dos dados e apurar qualquer entidade por suspeita de violação dos requisitos legais da LGPD;
  • Competência da ANPD para julgar os suspeitos de infração e impor várias penalidades e sanções se forem considerados não conformes.

Direitos ao abrigo do LGPD

O LGPD oferece aos titulares de dados individuais um conjunto de 9 direitos sobre os seus dados pessoais que podem ser exercidos contra organizações públicas e privadas ao abrigo do LGPD, o que é muito diferente das várias leis setoriais federais no passado que ofereciam apenas parciais proteções. Esta abordagem da lei LGPD é fortemente influenciada pelo Regulamento Geral de Proteção de Dados da UE:

Direito a ser informado sobre a existência do tratamento.

O direito de acessar os dados.

O direito de corrigir dados imprecisos, incompletos ou desatualizados.

O direito de bloquear, tornar anônimo ou excluir dados excessivos ou desnecessários ou dados que não estejam sendo processados ​​em conformidade com LGPD.

Direito à portabilidade dos dados para outro serviço mediante pedido expresso.

O direito de exclusão de dados pessoais que são processados ​​com o consentimento do titular dos dados.

O direito à informação sobre entidades privadas e públicas com as quais os dados são compartilhados.

O direito de ser informado sobre a possibilidade de negar o consentimento e as consequências de tal negação.

Direito de revogar o consentimento.

Definições da LGPD

A seguir estão 19 definições relativas à LGPD.

Dados pessoais Informações sobre uma pessoa física identificável ou identificada.
Dados pessoais sensíveis Dados pessoais relativos à origem étnica ou racial, opinião política, crenças religiosas, filiação sindical ou filosófica, religiosa ou política, dados relativos à saúde ou dados genéticos ou biométricos relativos a uma pessoa singular.
Titular dos dados Uma pessoa física cujos dados pessoais são objeto de processamento.
Consentimento Manifestação livre, informada e inequívoca em que o titular dos dados concorda com o tratamento de dados pessoais para um determinado fim.
Processamento Uma operação realizada com dados pessoais.
Banco de Dados Conjunto estruturado de dados pessoais, mantidos em um ou vários locais, em suporte eletrônico ou físico.
Agentes de processamento O controlador e o operador.
Controlador Pessoa física ou jurídica, de direito público ou privado, com competência para deliberar sobre o tratamento de dados pessoais.
Operador Pessoa física ou jurídica, de direito público ou privado, que trata os dados pessoais em nome do responsável pelo tratamento.
Encarregado Pessoa física, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares dos dados e a autoridade nacional (ANPD).
Anonimização Uso de técnicas disponíveis e razoáveis ​​durante o processamento, através da qual os dados perdem a possibilidade de associação direta ou indireta com um indivíduo.
Bloqueio Suspende temporariamente a operação de processamento através da retenção da base de dados ou dados pessoais.
Exclusão Exclusão de um conjunto de dados mantidos em um banco de dados, independentemente do procedimento utilizado.
Transferência Internacional de Dados Transferencia de dados pessoais para uma entidade internacional ou para um país estrangeiro do qual o país seja membro.
Uso Compartilhado de Dados Comunicação, transferência internacional, disseminação, interconexão de dados ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas, em conformidade com as capacidades legais, ou entre estas e entidades privadas, reciprocamente, com autorização específica, para um ou mais tipos de processamento permitidos por essas entidades públicas, ou entre entidades privadas.
Avaliação do Impacto da Proteção de Dados Documentação do controlador atribuído que contém a descrição no que diz respeito aos procedimentos de processamento de dados que podem representar riscos para os direitos fundamentais e as liberdades civis, bem como salvaguardas e mecanismos para mitigar o risco.
Órgão de Pesquisa Órgão ou entidade da administração pública ou pessoa jurídica sem fins lucrativos de direito privado, legalmente constituída de acordo com a legislação brasileira, com sede e foro no País. Este órgão ou entidade inclui na sua missão institucional, nos seus objetivos sociais ou estatutários a investigação básica ou aplicada de natureza histórica, científica, tecnológica ou estatística; e (Nova Redação dada pela Lei nº 13.853 / 2019).
Autoridade Nacional Órgão da administração pública responsável pelo monitoramento, fiscalização e implementação do cumprimento desta Lei em todo o território nacional. (Nova Redação dada pela Lei nº 13.853 / 2019).

Bases Legais de Processamento

A seguir estão as 10 bases legais de processamento:

  1. Consentimento do titular dos dados
  2. Cumprimento de uma obrigação legal do controlador
  3. Executar as políticas previstas no regulamento, ou com base em acordos, contratos ou instrumentos semelhantes
  4. Para realizar estudos de investigação por entidades que garantam o anonimato dos dados pessoais sempre que necessário
  5. Executar procedimentos preliminares relacionados com um contrato do qual o titular dos dados seja parte
  6. Exercer direitos de procedimentos administrativos, judiciais ou arbitrais
  7. Para proteger a segurança física do terceiro ou titular dos dados
  8. Para proteger a saúde, em procedimento realizado por profissionais de saúde ou por entidades de saúde
  9. Atender interesses legítimos de terceiro ou controlador, exceto quando os direitos do titular que exigirem proteção de dados pessoais prevaleçam
  10. Para garantir crédito

Autoridade Nacional de Proteção de Dados (ANPD)

A ANPD é uma entidade pública de administração, membro da Presidência da República. Tem como objetivo principal:

  • Interpretar a LGPD;
  • Conscientizar os titulares dos dados sobre seus direitos no LGPD;
  • Pedir às organizações para conduzir avaliações de impacto de proteção de dados (DPIAs) e auditar suas atividades de processamento de dados para garantir a conformidade;
  • Realizar consultorias públicas;
  • Criar normas para aplicação da LGPD e mantê-la atualizado quanto às tendências e tecnologias recentes;
  • Trabalhar com outros órgãos reguladores e fiscalizar as autoridades públicas às quais a LGPD se aplica;
  • Avaliar outras jurisdições se elas oferecem proteções adequadas aos dados dos titulares dos dados;
  • Para regular as transferências de dados transfronteiriças;
  • Empreender iniciativas de cooperação internacional com as autoridades de supervisão ou reguladores de privacidade de dados de outros países;
  • Promover e apoiar tecnologias e estudos que visem proporcionar aos titulares de dados um maior controlo sobre a sua privacidade;
  • Fazer cumprir a LGPD recebendo reclamações dos titulares dos dados;
  • Investigar e processar organizações infratoras e conduzir audiências antes de aplicar sanções e penalidades.

O que é o DPO na LGPD?

O DPO é o indivíduo dentro de uma organização que tem as seguintes tarefas no LGPD:

  1. Supervisionar o processo de adoção do LGPD na organização;
  2. Organizar um programa de conformidade de proteção de dados e monitorar sua implementação;
  3. Fornecer orientação à alta administração da organização no que diz respeito à conformidade com LGPD.

Diretrizes para transferência de dados transfronteiriços

A LGPD também regula a transferência internacional de dados pessoais do Brasil para outros países e jurisdições de maneira semelhante ao GDPR. As transferências transfronteiriças só podem ocorrer se:

  • A transferência de dados pessoais for para organizações em jurisdições que tenham um nível adequado de proteção
  • Garantias adequadas de conformidade estão em vigor com os direitos do titular dos dados fornecidos pela LGPD, incluindo:
    • Cláusulas contratuais específicas
    • Cláusulas contratuais padrão
    • Normas corporativas globais
    • Selos emitidos regularmente
  • A transferência é necessária para a cooperação jurídica internacional
  • A transferência é necessária para proteger a vida ou a segurança física do titular de dados ou de terceiros
  • Autorização fornecida pela ANPD
  • A transferência está sujeita a obrigação
  • A transferência é necessária para a atribuição legal de serviço público ou execução de ordem pública.

Obrigações da LGPD

A LGPD impõe obrigações às organizações que tratam e processam dados de titulares brasileiros. Alguns dos requisitos mais importantes são:

  • O processamento só pode acontecer sob uma das bases legais.
  • Os oficiais de proteção de dados devem ser atribuídos por controladores de dados.
  • As Avaliações de Impacto da Proteção de Dados (DPIAs) devem ser realizadas quando exigidas pela ANPD.
  • Devem ser adotadas medidas de segurança razoáveis ​​para proteger os dados do usuário.
  • Em caso de violação, as operadoras e controladores devem fornecer notificações de violação à ANPD e aos usuários afetados.
  • Os operadores e controladores devem manter registros das atividades de processamento de dados.

Diretrizes de segurança sob a LGPD

A seguir estão algumas diretrizes de segurança importantes na LGPD:

  • Deve haver um controle estrito sobre as pessoas que têm acesso aos dados, definindo a responsabilidade das pessoas e têm privilégios de acesso exclusivos para determinados usuários
  • Implementação de mecanismos de autenticação para acesso a registros
  • Criação de inventário detalhado de acesso a registros de conexão e acesso a aplicativos
  • Uso de técnicas de gerenciamento de registros que garantam a inviolabilidade dos dados, como criptografia ou medidas de proteção equivalentes.

Requisitos de Notificação de Violação

  • Os Controladores de Dados são obrigados a notificar imediatamente a ANPD e os titulares dos dados afetados sobre incidentes de segurança que possam criar risco ou danos relevantes aos titulares dos dados.
  • A ANPD deve verificar a gravidade do incidente, se necessário para salvaguardar os direitos dos titulares dos dados, podendo ordenar que o controlador adote medidas para mitigar ou reverter o possível dano ao titular dos dados.
  • A Notificação enviada pelo controlador de dados deve, no mínimo:
    • Definir a natureza dos dados pessoais dos indivíduos afetados;
    • Fornecer informações sobre os titulares dos dados envolvidos;
    • Indicar as medidas de segurança tomadas pelo controlador de dados para proteger os dados afetados;
    • Descrever os riscos para o titular dos dados gerados pelo incidente;
    • Fornecer razões para qualquer atraso na comunicação da notificação;
    • Estabelecer medidas que foram ou serão adotadas pelo controlador de dados para proteger os titulares de dados afetados de danos futuros.

Quem deve cumprir?

Ao contrário da CCPA, a LGPD não leva em consideração o tamanho ou a receita de uma empresa, mas sim as informações que a empresa detém. Nos termos do artigo 3 da LGPD, qualquer organização que desempenhe as seguintes tarefas está sujeita ao cumprimento da LGPD:

Controlador:
“Processamento de dados dentro do território do Brasil, Processamento de dados de pessoas físicas que estejam no território do Brasil. A localização do controlador de dados é irrelevante."

Operador:
“Processamento de dados que foram coletados dentro do território do Brasil.”

Isenções de tratamento de dados sensíveis

O artigo 11º menciona a situação limitada em que os dados sensíveis podem ser tratados. São eles:

  1. Quando o titular de dados ou o seu representante legal consentir específica e distintamente, para os fins específicos,
  2. Sem o consentimento do titular dos dados, nas situações em que seja indispensável para:
    • Cumprimento do controlador
    • Tratamento compartilhado de dados na administração pública
    • Estudos realizados por entidade de investigação
    • Exercício regular dos direitos
    • Proteger a vida ou a segurança das pessoas
    • Garantir a prevenção a fraude

Multas ao abrigo da LGPD

A LGPD (Lei Geral de Protecção de Dados) é clara quanto às consequências do incumprimento da lei. O sistema de penalidades varia de:

Advertências às organizações em caso de não conformidade com a intenção de que a organização implemente medidas corretivas.

Bloqueio ou exclusão de processamento e dados.

Multas diárias que podem ir até R$ 50 milhões, o que se aproxima de € 7,5 milhões.

Multas de até 2% do faturamento anual no Brasil ou R$ 50 milhões por infração, o que se aproxima de € 7,5 milhões.

As multas máximas podem chegar a até 50 milhões de reais ou 2% do faturamento anual de uma empresa por violação da LGPD. Caberá à ANPD fazer cumprir tais sanções.

A LGPD (Lei Geral de Proteção de Dados) foi elaborada de acordo com o GDPR da UE. A LGPD tem jurisdição global, o que significa que qualquer site que processe dados pessoais de pessoas físicas no Brasil deve obedecer.

Para saber mais sobre LGPD, bem como outras regulamentações de privacidade em todo o mundo, e o que sua organização pode fazer para cumpri-la, inscreva-se para obter uma cópia gratuita do livro PrivacyOps.

Automatizando operações de privacidade em sua organização

A prática multidisciplinar para aumentar o valor de confiança de sua marca e cumprir as regulamentações de privacidade.

Get the Book

“Aproveitando os conceitos de PrivacyOps deste livro em toda a nossa organização, fomos capazes de não apenas economizar tempo e dinheiro, mas também mitigar os riscos associados aos métodos manuais de gerenciamento de privacidade.”

- Marty Collins, Diretor Jurídico e de Privacidade, Quebre, Inc

Lista de Verificação de Conformidade Básica com a LGPD

A LGPD tem uma série de regulamentações que as organizações precisam estar cientes para estar em conformidade com esta legislação. A seguir está uma lista de verificação rápida que pode ser um trampolim para a conformidade com o LGPD.

  1. Mapeie as maneiras como sua organização armazena e processa dados:
    A primeira etapa em direção à conformidade é ser capaz de rastrear constantemente onde os dados são armazenados e como são processados ​​dentro da organização.
  2. Aborde os direitos de dados que os titulares têm sobre seus dados:
    As organizações precisam estar cientes dos direitos de titulares de dados e honrá-los no caso de um titular decidir exercer esses direitos.
  3. Garantir que a segurança dos dados com controles de segurança apropriados esteja em vigor:
    É fundamental que os controles de segurança apropriados estejam em vigor para proteger os dados dos titulares contra acesso não autorizado ou violação.
  4. Crie um sistema para lidar com as violações de dados:
    As violações de dados são quase inevitáveis ​​e as organizações precisam ter um plano em vigor no caso de ocorrer uma violação - desde tomar os esforços de mitigação adequados a notificar os titulares dos dados afetados - o não cumprimento dessas atividades pode sair muito caro para a organização.
  5. Realize Avaliações de Impacto de Proteção de Dados regularmente:
    É importante que uma organização esteja sempre ciente de sua posição em relação à privacidade e segurança de dados, por isso é recomendável executar DPIAs regulares em suas atividades de processamento.
  6. Contrate um oficial de proteção de dados, se necessário:
    Um oficial de proteção de dados é necessário para uma organização, uma vez que suas tarefas se concentram exclusivamente na privacidade de dados - recomenda-se que um seja contratado para auxiliar nos requisitos de conformidade LGPD.
  7. Revisar contratos de processamento de dados:
    As organizações precisam fazer um acordo por escrito entre os operadores e controladores e garantir que realizem as auditorias necessárias das atividades de seus operadores para garantir que não estejam em conformidade com a lei.
  8. Renovar sua política de privacidade com base no LGPD:
    Finalmente, as organizações precisam refazer sua política de privacidade e alinhá-la com os padrões LGPD de transparência e divulgações necessárias.

Automação para a conformidade

Securiti é uma solução de conformidade premiada que gira em torno do conceito de PrivacyOps. A arquitetura PrivacyOps considera a utilização de automação robótica, inteligência artificial e aprendizado de máquina. Este sistema automatiza a maioria das tarefas, liberando recursos para outras operações de negócios.

A Securiti ajuda as empresas a mapear dados em uma rede de sistemas internos e externos e a montar um gráfico de dados para vincular os dados pessoais a cada indivíduo. Ele também pode realizar avaliações internas automatizadas de políticas, bem como de fornecedores terceirizados, gerenciar consentimento e fazer muito mais! É a ferramenta definitiva para a conformidade com LGPD, bem como com qualquer outra regulamentação de privacidade de dados no mundo.

Para saber como a Securiti pode ajudá-lo em sua jornada em direção à conformidade, enquanto implementa o gerenciamento de privacidade de forma eficiente, solicite uma demonstração hoje.


Principais fatos

1

Aplicável a todas as empresas que processam dados pessoais de titulares de dados residentes no Brasil, independentemente da localização da empresa.

2

As multas podem chegar a 2% do faturamento anual no Brasil ou R50 milhões por infração, o que aproxima a € 7,5 milhões.

4

Algumas pessoas chamam o LGPD de “GDPR do Brasil”. Se você já é compatível com o GDPR, está dentro da maioria das disposições do LGPD.

5
LGPD entrou em vigor em 18 de Setembro de 2020.