A Lei Geral de Proteção de Dados (LGPD) é um marco legal brasileiro que estabelece os princípios e obrigações relacionadas à coleta, armazenamento e tratamento de dados pessoais. A LGPD estabelece um conjunto de regras que controladores e processadores de dados devem cumprir para proteger a privacidade dos titulares de dados e evitar vazamentos e violações de dados.
O objetivo deste artigo é fornecer uma visão geral da LGPD, seus princípios e obrigações, e explicar o que as empresas e organizações devem fazer para cumprir a LGPD. O artigo também abrange o que é uma violação de dados, como lidar com uma violação de dados e as consequências de não seguir as obrigações.
A LGPD foi aprovada em 2018 e entrou em vigor em agosto de 2020. Embora a lei tenha passado por uma transição de alguns anos, ela definiu novos padrões para o mundo todo em termos de proteção de dados pessoais. Além disso, o governo brasileiro tem direito a aplicar penalidades significativas para as empresas ou organizações que não cumpram com os requisitos da LGPD.
Apesar de todos os benefícios da LGPD, cumprir as obrigações da LGPD não é trivial para as empresas. O processo de compliance pode ser complicado, pois exige mudanças em várias áreas da empresa, desde TI e segurança até políticas de privacidade. Por isso, torna-se necessário conhecer os fundamentos da LGPD e se familiarizar com todas as suas obrigações para que as empresas possam se conformar de forma eficaz.
Neste artigo, discutiremos o que é a LGPD, por que foi criada e como as empresas devem se preparar para se tornarem LGPD-compliant. Discutiremos também as responsabilidades dos controladores e processadores de dados, os direitos dos titulares de dados e como lidar com uma violação de dados. No final, forneceremos um resumo dos principais aspectos da LGPD e listaremos algumas fontes para obter mais informações.
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) é uma lei brasileira que regula a proteção dos dados pessoais e a privacidade dos cidadãos. A LGPD foi promulgada em agosto de 2020 e entrou em vigor a partir de 14 de fevereiro de 2021. Ela foi criada para definir as responsabilidades dos controladores de dados no tratamento de dados pessoais, bem como para proporcionar às pessoas um direito à autodeterminação informativa.
Histórico da LGPD:
A LGPD foi criada como resultado de uma série de escândalos envolvendo a coleta, o tratamento e a proteção de dados no Brasil. Esta lei é o resultado de um esforço conjunto entre o governo, as autoridades de proteção de dados, as empresas e as organizações da sociedade civil. A LGPD foi concebida para se adequar às leis de proteção de dados em todo o mundo, como o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia.
Definição da LGPD:
A LGPD é uma lei que estabelece regras para a coleta, uso, armazenamento, tratamento e transferência de dados pessoais. Esta lei também estabelece direitos e responsabilidades para os titulares de dados e todas as partes envolvidas no tratamento de dados pessoais. A lei é aplicável a todas as organizações, tanto públicas quanto privadas, que tratem dados pessoais, seja no âmbito nacional ou internacional.
Princípios da LGPD:
A LGPD baseia-se nos seguintes princípios: finalidade, adequação, necessidade, livre circulação de dados, transparência, qualidade, segurança, prevenção e proteção dos dados pessoais. Estes princípios são destinados a assegurar que os dados pessoais sejam usados de maneira lícita, leal e transparente. Além disso, a LGPD também estabelece direitos e obrigações para os titulares de dados, como o direito de acesso, de retificação, de cancelamento, entre outros.
Obrigações do Controlador de Dados
A Lei Geral de Proteção de Dados (LGPD) impõe diversas obrigações aos controladores de dados para garantir que as informações pessoais de seus usuários sejam tratadas de forma segura e em compliance com os princípios da LGPD.
O que é um Controlador de Dados?
Um controlador de dados é a entidade ou indivíduo que controla a forma como os dados de usuários são coletados e tratados. Por exemplo, em uma empresa multinacional, o controlador de dados seria o departamento de TI ou o gerente de privacidade de dados.
Responsabilidades do Controlador de Dados
Os controladores de dados são responsáveis por assegurar que as informações de usuários sejam armazenadas e tratadas de acordo com as regras e regulamentos estabelecidos pela LGPD. Algumas das principais responsabilidades dos controladores de dados incluem:
- Definir os objetivos de tratamento de dados, bem como quaisquer práticas relacionadas;
- Estabelecer diretrizes e procedimentos internos para garantir o cumprimento da LGPD;
- Estabelecer e implementar medidas de segurança eficazes;
- Documentar todas as suas atividades de tratamento de dados;
- Estabelecer políticas de privacidade para garantir a transparência do tratamento de dados;
- Identificar e avaliar os riscos associados ao tratamento de dados;
- Garantir a confidencialidade dos dados pessoais;
- Garantir o acesso aos dados pessoais somente a determinados indivíduos autorizados;
- Manter uma lista de todos os processadores de dados alocados.
- Garantir que as informações sejam armazenadas em um local seguro;
- Estabelecer processos para garantir o cumprimento dos princípios da LGPD;
- Garantir que os dados sejam processados de acordo com as leis e normas de proteção de dados;
- Notificar às autoridades de proteção de dados em caso de violação de segurança de dados;
- Cumprir com as obrigações de informar e obter o consentimento dos titulares dos dados;
- Assegurar que os usuários tenham acesso e controle sobre seus dados pessoais;
- Garantir que os dados sejam transferidos de forma segura entre os controladores e processadores de dados.
Definição dos Direitos dos Titulares dos Dados
Os titulares dos dados têm direitos específicos, segundo a LGPD. Esses direitos incluem:
- Ter acesso aos dados pessoais;
- Solicitar uma cópia dos dados pessoais;
- Corrigir e atualizar os dados pessoais;
- Excluir ou transferir os dados pessoais;
- Revogar o consentimento;
- Solicitar informações sobre como os dados foram processados.
Consentimento e Retenção de Dados
A LGPD também impõe obrigações de consentimento e retenção de dados aos controladores de dados. O controlador de dados deve obter o consentimento explícito do titular dos dados antes de processar quaisquer informações pessoais. Além disso, ele deve manter os dados coletados por um período limitado e excluí-los quando não forem mais necessários.
Obrigações do Processador de Dados
O processador de dados, também conhecido como “responsável pelo tratamento” (ou seja, o responsável pela manipulação dos dados pessoais da organização), tem um papel importante na conformidade da LGPD. É necessário que o processador de dados entenda suas obrigações sob a LGPD e, quando possível, colaborar com o controlador de dados para atender aos requisitos da lei.
O que é um Processador de Dados?
Um processador de dados é definido pela LGPD como “uma pessoa física ou jurídica, autoridade pública, agência ou outro organismo que processa dados em nome do controlador”. Esta definição inclui ações como coletar, armazenar, usar, transmitir, proteger ou destruir os dados pessoais de uma organização.
Responsabilidades do Processador de Dados
A LGPD exige que os processadores de dados cumpram com todas as obrigações definidas para o tratamento de dados pessoais. Estas obrigações incluem:
- Processar dados de acordo com as instruções do controlador de dados;
- Executar medidas técnicas e organizacionais de segurança apropriadas para garantir a segurança dos dados;
- Garantir que todos os funcionários ou outros agentes do processador de dados tenham sido devidamente treinados na segurança e privacidade de dados;
- Comunicar qualquer violação de dados ao controlador de dados de forma oportuna;
- Manter registros detalhados das atividades de tratamento de dados, e
- Fornecer relatórios ao controlador de dados sobre as atividades de tratamento de dados.
- Definir e documentar os objetivos e as políticas de tratamento de dados;
- Garantir que todas as atividades relacionadas ao tratamento de dados estejam em conformidade com a LGPD;
- Estabelecer e implementar medidas de segurança eficazes;
- Garantir a confidencialidade dos dados pessoais;
- Garantir o acesso aos dados pessoais somente a determinados indivíduos autorizados;
- Garantir que todas as transferências de dados internacionais sejam feitas com segurança.
Segurança e Medidas de Proteção de Dados
O processador de dados deve implementar medidas técnicas e organizacionais de segurança apropriadas para garantir a segurança dos dados pessoais, com o objetivo de proteger os dados contra acesso não autorizado, uso indevido, alteração ou destruição acidental. Algumas medidas de segurança que o processador de dados deve implementar incluem:
- Criptografia de dados;
- Autenticação de usuário;
- Controle de acesso;
- Auditorias periódicas de segurança;
- Controles de backup;
- Formação de funcionários;
- Controles de monitoramento de rede;
- Políticas de senhas seguras;
- Políticas de segurança física, e
- Monitoramento de vulnerabilidades.
Compliance LGPD
A LGPD exige que todos os controladores e processadores de dados sejam responsáveis por assegurar o cumprimento dos princípios estabelecidos na lei. A conformidade com a LGPD é necessária para evitar sanções ao controlador e/ou processador e garantir a confidencialidade, a integridade e a disponibilidade dos dados pessoais.
Como alcançar a conformidade com a LGPD:
Para assegurar a conformidade com a LGPD, os controladores e processadores de dados devem adotar e implementar as seguintes práticas:
Transferência Internacional de Dados
Se o processador de dados desejar transferir dados pessoais para um país fora da União Europeia, ele deve observar as regras de transferência de dados estabelecidas pela LGPD. Para garantir que os dados pessoais sejam adequadamente protegidos durante a transferência, o processador de dados deve tomar medidas específicas, tais como estabelecer contratos com o receptor dos dados para garantir que os mesmos níveis de proteção se apliquem aos dados enquanto eles são transferidos e processados.
Em adição às medidas de segurança, o processador de dados deve definir um plano de ação de segurança para lidar com incidentes de
Transferência internacional de dados:
O processador de dados deve garantir que todas as transferências internacionais de dados sejam feitas de acordo com as regras estabelecidas na LGPD. Algumas das principais medidas a serem adotadas para garantir o cumprimento incluem:
- Definir parâmetros claros para qualquer transferência de dados;
- Garantir que os dados sejam transferidos apenas para países com aderência adequada às leis de proteção de dados;
- Avaliar os riscos da transferência de dados e estabelecer medidas de segurança apropriadas;
- Garantir que os dados sejam transmitidos de forma segura;
- Documentar todas as transferências de dados.
Segurança e Medidas de Proteção de Dad.
Violação de Dados
Uma violação de dados é uma infração à segurança que comporta o uso não autorizado, acesso ilegal ou divulgação de dados pessoais. Uma violação de dados pode ocorrer quando um atacante técnico ou não técnico compromete as informações confidenciais de outra pessoa, como nomes, endereços, números de telefone, informações de cartão de crédito, senhas, etc. Estas violações de dados podem ter grandes impactos financeiros, legais, reputacionais e operacionais, tanto para as organizações quanto para os usuários dos dados.
Os controladores de dados e os processadores de dados
têm a obrigação de proteger os dados pessoais que são processados, sendo responsáveis por tomar medidas técnicas e organizacionais para evitar violações de dados. De acordo com a LGPD, os controladores de dados devem adotar medidas de segurança para proteger os dados que processam, incluindo a proteção de dados criptografados, a implementação de mecanismos de segurança em todos os sistemas informáticos e a realização de auditorias periódicas.
No entanto, mesmo com as melhores práticas de segurança, as violações de dados ainda podem ocorrer. Quando isso acontece, os controladores de dados enfrentam uma série de obrigações, conforme especificado na LGPD. Estes incluem: notificar a autoridade de controle pertinente dentro de 72 horas da descoberta da violação de dados; notificar os titulares de dados quando suas informações pessoais forem envolvidas na violação; e notificar ao Provedor de Serviços de Internet, se houver.
Além disso, a LGPD estabelece as penalidades aplicáveis para as violações de dados. As penalidades variam em função da natureza da violação, da quantidade de danos causados e da gravidade da violação. Estas penalidades incluem advertências, multas de até 2% do faturamento anual das empresas, a proibição do tratamento de dados pessoais por determinado período, a obrigação de reparar os danos causados e a possibilidade da responsabilização criminal.
É importante notar que, ao contrário de outras leis de proteção de dados, a LGPD não tem um mecanismo de exoneração de culpa na violação de dados. Isso significa que, mesmo se a violação de dados for causada por um ataque cibernético externo, as empresas ainda serão responsabilizadas pela violação. Assim, as empresas devem tomar medidas para prevenir a ocorrência de violações de dados, como a criação de um programa de segurança de dados adequado e eficaz, a realização de testes de segurança periodicamente e a criação de políticas e procedimentos para lidar com violações de dados.
Conclusão
A Lei Geral de Proteção de Dados (LGPD) foi criada para ajudar a proteger o direito dos cidadãos de ter seus dados pessoais protegidos e para oferecer às empresas um marco legal claro para lidar com esses dados. A LGPD é baseada em princípios fundamentais de privacidade, incluindo a transparência, a privacidade por design e o consentimento dos titulares dos dados. Controladores e processadores de dados são responsáveis por garantir que eles tratem os dados pessoais de forma transparente e responsável, conforme descrito na lei.
As empresas também precisam se assegurar de que eles alcancem a conformidade com a LGPD, para evitar penalidades. As responsabilidades do controlador de dados para se tornar LGPD-compliant incluem a implementação de práticas corretas de proteção de dados, a criação de políticas de privacidade adequadas e a garantia do cumprimento das responsabilidades de privacidade do processador de dados. Por outro lado, as responsabilidades do processador de dados para se tornar LGPD-compliant incluem a segurança dos dados e a realização de medidas de proteção de dados apropriadas, bem como o cumprimento das obrigações de consentimento e retenção de dados.
Uma violação de dados ocorre quando os dados pessoais são usados indevidamente ou compartilhados ilegalmente. As empresas devem tomar medidas para lidar rapidamente com este tipo de situação e prevenir novas violações. Isso inclui a notificação dos titulares de dados, a apresentação de providências para corrigir a violação e a notificação das autoridades competentes.
Em resumo, a proteção dos dados pessoais dos cidadãos brasileiros é de extrema importância. A Lei Geral de Proteção de Dados (LGPD) oferece um marco legal claro para garantir que as empresas tratem os dados pessoais de forma transparente e responsável. É importante que as empresas implementem medidas adequadas para garantir a conformidade com a LGPD, bem como tomem medidas para lidar rapidamente com qualquer violação de dados que possa ocorrer. A bibliografia abaixo contém alguns recursos adicionais para ajudar os leitores a entender mais sobre a LGPD.