A Lei Geral de Proteção de Dados (LGPD) foi promulgada em agosto de 2020 e é a lei de proteção de dados mais abrangente e exigente da América Latina. Ela estabelece regras para o uso, armazenamento e proteção de dados pessoais dos brasileiros. É responsabilidade dos controladores de dados se certificarem que a lei está sendo cumprida.
Para garantir que os controladores de dados estejam em conformidade com a LGPD, é importante compreender os principais direitos dos titulares de dados, os direitos de transferência internacional e os direitos de retenção de dados. Além disso, é essencial compreender o que acontece se descumprir a LGPD.
Neste artigo, vamos discutir o que é a LGPD, o que é compliance, por que é importante estar em conformidade com a LGPD, quais são as principais responsabilidades do controlador de dados e quais são as penalidades por descumprimento da LGPD.
A LGPD foi criada para proteger os direitos e a privacidade dos titulares de dados, que são as pessoas cujos dados pessoais são usados, armazenados ou compartilhados. Esta lei se baseia na GDPR (General Data Protection Regulation), a lei de proteção de dados da União Europeia. A GDPR foi importante para estabelecer padrões internacionais de proteção de dados, mas ela possui algumas diferenças importantes em relação à LGPD.
O objetivo deste artigo é fornecer as informações necessárias para os controladores de dados garantirem um elevado nível de conformidade com a LGPD. Vamos explorar os principais direitos dos titulares de dados, as responsabilidades dos controladores de dados e como evitar multas por descumprimento da LGPD.
O que é Compliance
O “compliance” (conformidade) é uma prática de gerenciamento empresarial que visa garantir que as organizações cumpram as leis e regulamentos aplicáveis. É uma prática importante para os controladores de dados que buscam cumprir com a Lei Geral de Proteção de Dados (LGPD).
O compliance com a LGPD exige que os controladores de dados compreendam e implementem as diretrizes estabelecidas pela lei. Isso significa que eles devem ter conhecimento das principais responsabilidades e direitos dos titulares de dados, além de garantir que eles estejam cientes de quaisquer alterações nas leis, regulamentos ou procedimentos relacionados à LGPD.
Além disso, os controladores de dados devem se certificar de que os requisitos de segurança dos dados sejam cumpridos, incluindo medidas técnicas e administrativas. Eles também são responsáveis por documentar todas as práticas de LGPD em seu ambiente de TI. Isso envolve criar políticas e procedimentos que atendam às exigências da lei e auxiliem os funcionários na adesão às diretrizes da LGPD.
Para garantir a conformidade, os controladores de dados também devem rever periodicamente o processamento de dados para garantir que estejam em conformidade com as leis aplicáveis. Além disso, eles devem garantir que as alterações em seus processos de dados sejam documentadas com precisão para garantir que estejam de acordo com a LGPD.
Um dos maiores desafios para os controladores de dados é garantir que todos os seus sistemas estejam devidamente protegidos contra ameaças externas. Por isso, eles devem adotar medidas técnicas e administrativas apropriadas para garantir que os dados armazenados sejam seguros. Estas medidas incluem verificações de segurança, backups regulares, monitoramento de atividades suspeitas e várias outras.
Além disso, os controladores de dados devem atualizar seus processos periodicamente para garantir que eles estejam de acordo com a LGPD. Isso inclui verificar se os controles de privacidade e segurança são apropriados, bem como investigar todas as novas atualizações das regulamentações da LGPD.
O que acontece se não cumprir a LGPD
A Lei Geral de Proteção de Dados (LGPD) foi criada para garantir que os dados pessoais dos brasileiros sejam tratados de forma responsável e segura para proteger os direitos e liberdades dos titulares de dados. No entanto, a lei também prevê medidas de punição para os controladores de dados que descumprirem suas responsabilidades.
Todo controlador de dados deve seguir as diretrizes estabelecidas pela lei para tratar os dados pessoais de forma adequada e obedecer às obrigações que lhes são impostas. Se um controlador de dados descumprir as normas estabelecidas pela LGPD, poderá ser punido por descumprimento da lei.
Quais são as penalidades por descumprimento da LGPD:
De acordo com a lei, as autoridades reguladoras podem impor multas que podem variar de 2% a 20% do faturamento bruto anual da empresa, dependendo da gravidade da infração. Além disso, as pessoas envolvidas nas violações da LGPD também podem ser responsabilizadas criminalmente de acordo com o Código Penal.
Além de multas e outras sanções, as autoridades reguladoras também podem exigir que os controladores de dados adotem medidas para corrigir as violações da lei. Estas medidas devem ser tomadas de forma a garantir que as violações sejam corrigidas e que as mesmas não se repitam.
Como as autoridades regulatórias detectam violações:
As autoridades reguladoras têm várias ferramentas à disposição para detectar violações da LGPD. Os controladores de dados que descumprirem as normas estabelecidas pela lei podem ser notificados por meio de uma notificação de infração.
As autoridades reguladoras também podem realizar auditorias nos controladores de dados para verificar se eles estão cumprindo com as normas estabelecidas pela lei. Além disso, os controladores de dados também podem ser notificados por outras autoridades, como os titulares de dados, que podem avisar as autoridades reguladoras sobre violações da lei.
Por fim, as autoridades reguladoras também podem receber denúncias de autoridades estrangeiras sobre possíveis violações da LGPD. Nestes casos, as autoridades reguladoras podem iniciar uma investigação e impor sanções caso haja descumprimento da lei.
Para garantir que os controladores de dados cumpram com as normas estabelecidas pela lei, é importante que eles mantenham um alto nível de conformidade com a LGPD. A conformidade com a LGPD é importante para garantir que os dados dos titulares sejam tratados de forma responsável e segura, evitando o risco de multas e outras sanções.
Processamento de dados
O processamento de dados é um dos principais conceitos da LGPD. O tratamento de dados consiste em coletar, armazenar ou usar os dados pessoais de uma determinada pessoa. A LGPD define o processamento como qualquer ação realizada com os dados, desde a sua coleta, manipulação, tratamento e uso, até a sua destruição.
Com a LGPD, os controladores de dados têm a responsabilidade de garantir a proteção dos dados pessoais de seus titulares de dados. Os controladores devem considerar todas as etapas de processamento para assegurar que os dados não sejam usados de forma indevida ou para fins não autorizados.
O tratamento de dados também deve estar em conformidade com os princípios da LGPD, que exigem que o processamento seja realizado de forma segura, precisa, transparente, limitada e responsável. Os controladores de dados devem ser capazes de demonstrar que eles cumprem com as regras e princípios estabelecidos para processar os dados.
Além disso, os controladores de dados têm a responsabilidade de fornecer informações claras sobre como os dados de seus titulares de dados serão utilizados. Eles devem notificar os titulares de dados antes de processar seus dados e obter o consentimento dos mesmos.
Os controladores de dados também devem assegurar que as informações fornecidas aos titulares de dados sejam precisas e atualizadas. Eles também devem garantir que os dados sejam armazenados em um local seguro e protegido contra acesso não autorizado ou uso indevido.
Além disso, os controladores de dados devem garantir que os dados sejam processados de acordo com as diretrizes da LGPD. Eles devem considerar todos os riscos aos quais os dados estão expostos e tomar as medidas adequadas para proteger os dados.
Retenção de dados da LGPD
É importante para os controladores de dados entenderem as leis de retenção de dados e cumprirem de forma adequada. A Lei Geral de Proteção de Dados (LGPD) estabelece limites à retenção de dados pelos controladores. As leis de retenção aplicáveis dependem do país e do setor.
De acordo com a LGPD, os controladores de dados só podem usar ou armazenar dados pessoais dos titulares por um tempo razoável e necessário. O tempo que os controladores de dados devem armazenar os dados depende da finalidade do uso dos dados. Por exemplo, um controlador de dados pode precisar armazenar os dados por dez anos se a finalidade for cumprir as responsabilidades legais.
Os controladores de dados também devem garantir que os dados sejam excluídos quando não forem mais necessários. Os controladores de dados devem adotar medidas para garantir que os dados sejam excluídos de todas as plataformas e jogarem fora os backups. O método de exclusão deve ser seguro e eficaz. Os dados devem ser completamente excluídos para evitar acessos não autorizados e uso indevido.
Além disso, os controladores de dados são responsáveis por manter registros de todos os processamentos de dados que realizam. Estes registros devem incluir informações sobre a retenção de dados, o tempo de armazenamento, o propósito de armazenamento e o processo de exclusão de dados. Os controladores de dados devem garantir que estes registros estejam sempre atualizados.
Os controladores de dados também devem garantir que os dados sejam armazenados em locais seguros. Eles devem usar ferramentas de proteção de dados, como criptografia, autenticação multifatorial e outras medidas de segurança para ajudar a proteger os dados. Estas medidas ajudarão a impedir que os dados sejam roubados ou usados de forma incorreta.
Os controladores de dados devem ter em mente que a LGPD também se aplica à retenção de dados. Eles não podem exceder o tempo de retenção de dados necessário e também não podem exigir que os titulares de dados forneçam informações desnecessárias. Caso contrário, eles podem ser sujeitos às penalidades previstas na LGPD. Portanto, é importante que eles sigam as regras de retenção de dados da LGPD para garantir a conformidade.
Transferências internacionais
A Lei Geral de Proteção de Dados (LGPD) exige que as organizações controladoras de dados tenham controles adequados para transferir dados para outros países. Essas regras de transferência internacional se aplicam a todas as informações pessoalmente identificáveis (PII) e dados sensíveis que são processados pela organização controladora. Como regra geral, a LGPD impede que as organizações transfiram PII e dados sensíveis para países fora da União Europeia (UE) ou do Espaço Econômico Europeu (EEE) a menos que sejam estabelecidas medidas adequadas de proteção de dados.
Existem muitas regras que as organizações devem seguir para transferir dados para outros países. Essas regras incluem obter o consentimento dos titulares de dados, garantir que os dados sejam processados de acordo com os direitos dos titulares de dados, notificar as autoridades regulatórias e adotar medidas de segurança adequadas. As medidas de segurança incluem criptografia, tokenização, autenticação de dois fatores, controles de acesso, controles de auditoria e muito mais.
As organizações também devem notificar as autoridades regulatórias antes de transferir os dados. As autoridades regulatórias verificarão se os dados serão processados de acordo com os direitos dos titulares de dados e se as medidas de segurança e proteção estão em vigor. Se as autoridades regulatórias determinarem que as medidas não são adequadas ou que os direitos dos titulares de dados estão sendo violados, elas podem proibir a transferência ou impor sanções.
As organizações também devem certificar-se de que os dados sejam processados de acordo com os direitos dos titulares de dados. Isso significa que os titulares de dados devem ser informados sobre as finalidades para as quais os seus dados serão usados e quais direitos eles têm sobre seus dados. Os titulares de dados também têm o direito de se opor a qualquer processamento de dados que não seja necessário para o cumprimento das obrigações contratuais.
Por último, as organizações devem garantir que os dados sejam processados de forma segura e protegida. Isso significa que os dados devem ser criptografados ou tokenizados para protegê-los contra qualquer acesso não autorizado. Além disso, as organizações devem adotar medidas de segurança como controles de acesso, autenticação de dois fatores, controles de auditoria e muito mais.
Ao seguir todas essas regras, as organizações podem garantir que estejam em conformidade com a LGPD e evitar multas por descumprimento da LGPD. No entanto, é importante ter em mente que as regras de transferências internacionais são apenas uma parte da LGPD e as organizações devem seguir todas as regras da lei para garantir a conformidade.
Conclusão
A Lei Geral de Proteção de Dados (LGPD) foi criada para proteger os direitos dos titulares de dados e para definir as regras e responsabilidades dos controladores de dados. Ela entrou em vigor em agosto de 2020 e é obrigatória para todas as empresas no Brasil.
É muito importante para as empresas estarem em conformidade com a LGPD para evitar multas, sanções e outros problemas legais. Para cumprir a LGPD, as empresas devem seguir várias regras, como as regras sobre o processamento de dados, o consentimento, a retenção e a transferência de dados.
O controlador de dados deve fornecer informações claras e completas sobre o processamento de dados e deve cumprir as regras da LGPD ao processar, armazenar, manter e transferir dados. Além disso, é importante manter a segurança dos dados para evitar vazamentos e outras violações de segurança.
Se o controlador de dados não cumprir a LGPD, a Autoridade Nacional de Proteção de Dados (ANPD) pode emitir uma série de multas, que podem variar de R$ 50.000 a R$ 50 milhões.
Portanto, é essencial que as empresas cumpram a LGPD. Esta lei oferece aos titulares de dados os direitos básicos de proteção de dados e proteção à privacidade, além de estabelecer as responsabilidades dos controladores de dados. É importante que as empresas tomem todas as medidas necessárias para garantir que estão cumprindo integralmente a LGPD.