LISTEN NOW: Evolution of Data Controls in the Era of Generative AI
ViewDepois do Regulamento Geral Europeu (GDPR) e da Lei de Proteção ao Consumidor da Califórnia (CCPA) - que foi posteriormente substituída pela Lei de Direitos de Privacidade do Consumidor (CPRA) - o Brasil sacudiu o campo da privacidade de dados e da indústria da Internet quando introduziu seu próprio regulamento abrangente de privacidade de dados, a Lei Geral de Proteção de Dados Pessoais (LGPD).
De acordo com estatísticas recentes, o Brasil tem 140 milhões de usuários de internet (a população do 10º maior país do mundo), o que o torna um dos maiores mercados de internet da América Latina e o quarto maior mercado do mundo.
Nos anos anteriores, o Brasil elaborou mais de 40 regulamentos legais com relação à privacidade de dados em nível federal, alguns que estabeleceram diretrizes gerais e alguns eram específicos do setor, levando a muitas sobreposições e conflitos entre diferentes leis entre os setores. O aspecto negativo dessas leis setoriais é que elas são aplicáveis a setores específicos e não oferecem proteção abrangente aos usuários e consumidores da Internet no Brasil. Também para organizações e empresas envolvidas em operações multissetoriais, cumprir todas essas diferentes leis e seus requisitos é uma tarefa cara e difícil. É por isso que a nova lei de proteção de dados do Brasil, conhecida como LGPD (Lei Geral de Proteção de Dados Pessoais), foi implementada para fornecer uma estrutura regulatória mais abrangente e geral para a privacidade de dados.
A LGPD foi aprovada pelo Congresso Nacional Brasileiro em 14 de agosto de 2018. Em agosto de 2020, o Presidente do Brasil aprovou a criação da autoridade reguladora independente federal - a Autoridade Nacional de Proteção de Dados (ANPD) - para interpretar e fazer cumprir a LGPD e atuar como autoridade supervisora nacional.
Apesar do início da pandemia COVID e de um atraso planejado na vigência até dezembro de 2020 ou maio de 2021, o LGPD foi sancionado e vigora desde 18 de setembro de 2020. As sanções previstas na lei não entrarão em vigor até 1º de agosto de 2021.
É sabido que o LGPD foi elaborado e baseado no GDPR tanto que alguns o chamam de GDPR do Brasil. A LGPD contém 65 artigos que fornecem aos indivíduos direitos dos titulares dos dados, impõem obrigações às organizações para o processamento legal de dados pessoais, exigem notificação de violações de dados à autoridade supervisora e titulares dos dados afetados, criam uma autoridade supervisora nacional para interpretar e fazer cumprir a lei, regulamentar a transferência internacional de dados, definir diretrizes legais de coleta de consentimento e impor pesadas penalidades aos violadores semelhantes ao GDPR.
LGPD provê:
O LGPD oferece aos titulares de dados individuais um conjunto de 9 direitos sobre os seus dados pessoais que podem ser exercidos contra organizações públicas e privadas ao abrigo do LGPD, o que é muito diferente das várias leis setoriais federais no passado que ofereciam apenas parciais proteções. Esta abordagem da lei LGPD é fortemente influenciada pelo Regulamento Geral de Proteção de Dados da UE:
Direito a ser informado sobre a existência do tratamento.
O direito de acessar os dados.
O direito de corrigir dados imprecisos, incompletos ou desatualizados.
O direito de bloquear, tornar anônimo ou excluir dados excessivos ou desnecessários ou dados que não estejam sendo processados em conformidade com LGPD.
Direito à portabilidade dos dados para outro serviço mediante pedido expresso.
O direito de exclusão de dados pessoais que são processados com o consentimento do titular dos dados.
O direito à informação sobre entidades privadas e públicas com as quais os dados são compartilhados.
O direito de ser informado sobre a possibilidade de negar o consentimento e as consequências de tal negação.
Direito de revogar o consentimento.
A seguir estão 19 definições relativas à LGPD.
Dados pessoais | Informações sobre uma pessoa física identificável ou identificada. |
Dados pessoais sensíveis | Dados pessoais relativos à origem étnica ou racial, opinião política, crenças religiosas, filiação sindical ou filosófica, religiosa ou política, dados relativos à saúde ou dados genéticos ou biométricos relativos a uma pessoa singular. |
Titular dos dados | Uma pessoa física cujos dados pessoais são objeto de processamento. |
Consentimento | Manifestação livre, informada e inequívoca em que o titular dos dados concorda com o tratamento de dados pessoais para um determinado fim. |
Processamento | Uma operação realizada com dados pessoais. |
Banco de Dados | Conjunto estruturado de dados pessoais, mantidos em um ou vários locais, em suporte eletrônico ou físico. |
Agentes de processamento | O controlador e o operador. |
Controlador | Pessoa física ou jurídica, de direito público ou privado, com competência para deliberar sobre o tratamento de dados pessoais. |
Operador | Pessoa física ou jurídica, de direito público ou privado, que trata os dados pessoais em nome do responsável pelo tratamento. |
Encarregado | Pessoa física, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares dos dados e a autoridade nacional (ANPD). |
Anonimização | Uso de técnicas disponíveis e razoáveis durante o processamento, através da qual os dados perdem a possibilidade de associação direta ou indireta com um indivíduo. |
Bloqueio | Suspende temporariamente a operação de processamento através da retenção da base de dados ou dados pessoais. |
Exclusão | Exclusão de um conjunto de dados mantidos em um banco de dados, independentemente do procedimento utilizado. |
Transferência Internacional de Dados | Transferencia de dados pessoais para uma entidade internacional ou para um país estrangeiro do qual o país seja membro. |
Uso Compartilhado de Dados | Comunicação, transferência internacional, disseminação, interconexão de dados ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas, em conformidade com as capacidades legais, ou entre estas e entidades privadas, reciprocamente, com autorização específica, para um ou mais tipos de processamento permitidos por essas entidades públicas, ou entre entidades privadas. |
Avaliação do Impacto da Proteção de Dados | Documentação do controlador atribuído que contém a descrição no que diz respeito aos procedimentos de processamento de dados que podem representar riscos para os direitos fundamentais e as liberdades civis, bem como salvaguardas e mecanismos para mitigar o risco. |
Órgão de Pesquisa | Órgão ou entidade da administração pública ou pessoa jurídica sem fins lucrativos de direito privado, legalmente constituída de acordo com a legislação brasileira, com sede e foro no País. Este órgão ou entidade inclui na sua missão institucional, nos seus objetivos sociais ou estatutários a investigação básica ou aplicada de natureza histórica, científica, tecnológica ou estatística; e (Nova Redação dada pela Lei nº 13.853 / 2019). |
Autoridade Nacional | Órgão da administração pública responsável pelo monitoramento, fiscalização e implementação do cumprimento desta Lei em todo o território nacional. (Nova Redação dada pela Lei nº 13.853 / 2019). |
A seguir estão as 10 bases legais de processamento:
A ANPD é uma entidade pública de administração, membro da Presidência da República. Tem como objetivo principal:
O DPO é o indivíduo dentro de uma organização que tem as seguintes tarefas no LGPD:
A LGPD também regula a transferência internacional de dados pessoais do Brasil para outros países e jurisdições de maneira semelhante ao GDPR. As transferências transfronteiriças só podem ocorrer se:
A LGPD impõe obrigações às organizações que tratam e processam dados de titulares brasileiros. Alguns dos requisitos mais importantes são:
A seguir estão algumas diretrizes de segurança importantes na LGPD:
Ao contrário da CCPA, a LGPD não leva em consideração o tamanho ou a receita de uma empresa, mas sim as informações que a empresa detém. Nos termos do artigo 3 da LGPD, qualquer organização que desempenhe as seguintes tarefas está sujeita ao cumprimento da LGPD:
Controlador:
“Processamento de dados dentro do território do Brasil, Processamento de dados de pessoas físicas que estejam no território do Brasil. A localização do controlador de dados é irrelevante."
Operador:
“Processamento de dados que foram coletados dentro do território do Brasil.”
O artigo 11º menciona a situação limitada em que os dados sensíveis podem ser tratados. São eles:
A LGPD (Lei Geral de Protecção de Dados) é clara quanto às consequências do incumprimento da lei. O sistema de penalidades varia de:
Advertências às organizações em caso de não conformidade com a intenção de que a organização implemente medidas corretivas.
Bloqueio ou exclusão de processamento e dados.
Multas diárias que podem ir até R$ 50 milhões, o que se aproxima de € 7,5 milhões.
Multas de até 2% do faturamento anual no Brasil ou R$ 50 milhões por infração, o que se aproxima de € 7,5 milhões.
As multas máximas podem chegar a até 50 milhões de reais ou 2% do faturamento anual de uma empresa por violação da LGPD. Caberá à ANPD fazer cumprir tais sanções.
A LGPD (Lei Geral de Proteção de Dados) foi elaborada de acordo com o GDPR da UE. A LGPD tem jurisdição global, o que significa que qualquer site que processe dados pessoais de pessoas físicas no Brasil deve obedecer.
Para saber mais sobre LGPD, bem como outras regulamentações de privacidade em todo o mundo, e o que sua organização pode fazer para cumpri-la, inscreva-se para obter uma cópia gratuita do livro PrivacyOps.
A prática multidisciplinar para aumentar o valor de confiança de sua marca e cumprir as regulamentações de privacidade.
Get the Book“Aproveitando os conceitos de PrivacyOps deste livro em toda a nossa organização, fomos capazes de não apenas economizar tempo e dinheiro, mas também mitigar os riscos associados aos métodos manuais de gerenciamento de privacidade.”
- Marty Collins, Diretor Jurídico e de Privacidade, Quebre, Inc
A LGPD tem uma série de regulamentações que as organizações precisam estar cientes para estar em conformidade com esta legislação. A seguir está uma lista de verificação rápida que pode ser um trampolim para a conformidade com o LGPD.
Securiti é uma solução de conformidade premiada que gira em torno do conceito de PrivacyOps. A arquitetura PrivacyOps considera a utilização de automação robótica, inteligência artificial e aprendizado de máquina. Este sistema automatiza a maioria das tarefas, liberando recursos para outras operações de negócios.
A Securiti ajuda as empresas a mapear dados em uma rede de sistemas internos e externos e a montar um gráfico de dados para vincular os dados pessoais a cada indivíduo. Ele também pode realizar avaliações internas automatizadas de políticas, bem como de fornecedores terceirizados, gerenciar consentimento e fazer muito mais! É a ferramenta definitiva para a conformidade com LGPD, bem como com qualquer outra regulamentação de privacidade de dados no mundo.
Para saber como a Securiti pode ajudá-lo em sua jornada em direção à conformidade, enquanto implementa o gerenciamento de privacidade de forma eficiente, solicite uma demonstração hoje.
Aplicável a todas as empresas que processam dados pessoais de titulares de dados residentes no Brasil, independentemente da localização da empresa.
As multas podem chegar a 2% do faturamento anual no Brasil ou R50 milhões por infração, o que aproxima a € 7,5 milhões.
Algumas pessoas chamam o LGPD de “GDPR do Brasil”. Se você já é compatível com o GDPR, está dentro da maioria das disposições do LGPD.
At Securiti, our mission is to enable enterprises to safely harness the incredible power of data and the cloud by controlling the complex security, privacy and compliance risks.
Copyright © 2023 Securiti · Sitemap · XML Sitemap
info@securiti.ai
Securiti, Inc.
300 Santana Row
Suite 450
San Jose, CA 95128