Nova Lei Geral de Proteção de Dados (LGPD)

Nova Lei Geral de Proteção de Dados (LGPD)

Como a nova Lei Geral de Proteção de Dados (LGPD) pode impactar em seus negócios

Fernando Flauto
18/03/2019
Nova Lei Geral de Proteção de Dados (LGPD)
.

Com alguns anos de atraso, o Brasil finalmente ganhou no dia 14 de agosto de 2018, sua Lei Geral de Proteção de Dados Pessoais. O Projeto de Lei 53/2018, aprovado pelo Plenário do Senado no dia 10 de julho, garante maior controle dos cidadãos sobre seus dados pessoais, exigindo consentimento explícito do titular para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados. Está sendo criada a Autoridade Nacional de Proteção de Dados e a Lei entrará em vigor em agosto de 2020. O texto regulamenta o uso, a proteção e a transferência de dados pessoais como nome, endereço, e-mail, idade, estado civil e situação patrimonial. Com a edição desta normativa, o Brasil passa a estar em pé de igualdade com outros países que já possuem legislação específica sobre o tema.

 “Ao assinarmos este projeto estamos garantindo os direitos individuais, claro que se tomou a cautela de não estender isso à questão da defesa nacional, da segurança pública, dos atos criminosos, porque se você obstaculizar a apuração desses fatos, você dá um desserviço à sociedade”, disse o ex-presidente da República, Michel Temer durante a solenidade de assinatura. No total, cerca de 125 países já adotaram normas específicas de proteção de dados, dentre eles, seis estão na América do Sul: Chile, Argentina, Uruguai, Paraguai, Peru e Colômbia. “Passou da hora, portanto, do Brasil aderir a esse seleto grupo. A cada ano de omissão deste Congresso Nacional, vultosas somas de investimento internacional são excluídas da rota brasileira, em razão da inadequação em que nosso ordenamento jurídico se encontra com relação aos países desenvolvidos que já adotaram leis protetivas”, afirma o relator da matéria no Senado, senador Ricardo Ferraço (PSDB/ES).
 
O que prevê a Lei?
Além de dados pessoais - toda informação relacionada a uma pessoa e que permite identificá-la, como nome e sobrenome, data e local de nascimento, idade, endereço, telefone, estado civil, nome dos pais, situação de trabalho, escolaridade, o texto também define outros dados sensíveis, que são aqueles que revelam a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas; filiação sindical; dados genéticos e biométricos tratados simplesmente para identificar um ser humano; dados relacionados com a saúde; dados relativos à vida sexual ou orientação sexual da pessoa. Tanto os dados pessoais como os dados sensíveis só poderão ser tratados mediante consentimento do titular. No entanto, os dados sensíveis só poderão ser tratados com fornecimento de consentimento específico e em destaque, pelo titular, para finalidades específicas, caso contrário, não será permitido seu tratamento.

Também é previsto que o responsável pelo tratamento deve apontar a finalidade certa, garantida e justificável, para a manipulação de quaisquer dados de pessoa natural, além de garantir que serão utilizados apenas para tal fim. As organizações também são responsáveis por incidentes - como vazamentos – devendo aplicar medidas de prevenção e proteção à segurança dos dados que manuseia, como anonimização e encriptação das informações. Ainda assim, no caso de qualquer incidente, é obrigação da organização notificar as autoridades imediatamente. O texto também estabelece punições para aqueles que descumprirem as regras, que variam entre advertências e aplicação de multas. Essas punições variam de forma gradativa, de acordo com cada caso, conforme gravidade do dano, condição econômica do infrator, reincidência, boa-fé, e devem ser investigadas por meio de um processo administrativo que assegura o contraditório, a ampla defesa e o direito de recurso.

O que muda com a Lei?
A lei cria hipóteses para o tratamento de dados com consentimento do titular:

  • Para a realização de estudos para órgãos de pesquisa, sem a individualização da pessoa
  • Para a proteção da vida ou da integridade física do titular ou terceiro
  • Para a Proteção do crédito nos termos do Código de Defesa do Consumidor
  • Para pleitos em processo judicial, administrativo ou arbitral
  • Para o cumprimento de obrigação legal ou regulatória pelo responsável pelo tratamento
  • Para execução de contrato ou procedimentos preliminares relacionados a um contrato
  • Para tutela da saúde, com procedimento realizado por profissionais da área ou por entidades sanitárias
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas

A Lei abrange quaisquer dados pessoais obtidos em qualquer tipo de suporte (papel, eletrônico, informático, som, imagem etc).

Quando o tratamento de dados pessoais for condição para o fornecimento de produto e serviço, o titular deverá ser claramente informado.

O texto traz o conceito de dados sensíveis, que recebem tratamento diferenciado (origem racial ou étnica, convicções religiosas, opiniões políticas etc).

Quem infringir a nova lei ficará sujeito à advertência, multa simples, multa diária, suspensão parcial ou total de funcionamento e outras sanções e o responsável que, em razão do exercício da atividade de tratamento de dados, causar dano patrimonial, moral, individual ou coletivo, é obrigado a reparar.

O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado com o consentimento específico, por pelo menos um dos pais ou responsável legal.

O responsável pelo tratamento de dados deverá manter a informação dos dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere.

Poderão ser coletados dados pessoais de crianças e adolescentes sem o consentimento dos pais somente quando para contatar os responsáveis, utilizados uma única vez e sem armazenamento.

A participação de crianças e adolescentes em jogos, aplicações de internet e outras atividades não poderá ser condicionada ao fornecimento de dados.

O que devo verificar na minha empresa para saber se estou em conformidade com a Lei?

Área Tecnologia da Informação

  • Existe Política de Segurança da Informação?
  • Existe área de Proteção da Informação - security officer?
  • Existe levantamento dos sistemas que processam e armazenam dados pessoais?
  • Todos os sistemas permitem atender pedidos dos titulares de dados (acesso, alteração e eliminação)?
  • Todos os sistemas atendem a Política de Segurança da Informação?
  • Existe plano de resposta a incidentes?
  • São realizadas analise de vulnerabilidade dos sistemas?
  • São realizadas Auditorias nos Sistemas?

Área Administrativa

  • Existe a área responsável pelo tratamento de dados pessoais?
  • Existe seguro com cobertura para incidentes de segurança?
  • Existe consentimento formal dos candidatos para armazenamento e tratamento dos dados pessoais?
  • Existe Banco de dados de CV?

Área de Recursos Humanos

  • Quais os controles de segurança sobre os CVs armazenados?
  • Existe cláusula nos contratos sobre consentimento formal para armazenamento e tratamento das informações pessoais, inclusive em servidores de terceiros?
  • Existe aceite a política de segurança da informação?
  • São realizados treinamentos sobre segurança da informação?
  • Foram feitas revisões nos contratos dos prestadores de serviços sobre proteção de dados?
  • Plano de Saúde
  • Gestão de folha de pagamento
  • Empresas de treinamento

Área Jurídica

  • Os contratos vigentes dispõem das cláusulas adequadas a LGPD?
  • Foram revistos os termos de uso e política de privacidade dos serviços na web?
  • Existem contratos internacionais que devem ser revistos?
  • Área Comercial
  • Foram revistos os procedimentos de envio de newsletters e outras comunicações a clientes e prospects?
  • Foram feitas revisões nos formulários?

 


Fernando Flauto é diretor de Cybersecurity e GRC IT na Crowe Brasil. Atua há 29 anos nas áreas de auditoria, governança e segurança de tecnologia da informação.  Especialista em Auditoria de Sistemas, Governança & Riscos, COBIT; ISO 27.000, Certificação Digital, ICP-Brasil, PCN e PETI.