A Lei geral de Proteção de Dados (LGPD) — Lei n.° 13.709/2018 — entrou em vigor em agosto de 2020, trazendo importantes mudanças para a relação entre os titulares de dados e as instituições financeiras que os processam. Esta lei estabelece regras para o tratamento dos dados pessoais para assegurar a proteção dos direitos fundamentais de liberdade e privacidade das pessoas, bem como os seus dados.
É fundamental que as instituições financeiras entendam e implementem os principais requisitos da LGPD, pois elas possuem a responsabilidade de tratar os dados de seus clientes de maneira segura. Elas também devem cumprir os requisitos de proteção de dados regulamentados pela Autoridade Nacional de Proteção de Dados (ANPD) e cumprir as sanções administrativas aplicáveis ao não-comprimento desta lei.
Neste artigo, vamos discutir o quadro jurídico da LGPD, as responsabilidades e direitos dos titulares de dados, como as instituições financeiras devem gerenciar os dados e garantir a conformidade, e as penalidades e sanções aplicáveis ao não-comprimento desta lei.
Começando com o quadro jurídico da LGPD, a lei estabelece o conceito de controlador e processador de dados. O controlador é a pessoa que determina como os dados são processados, enquanto o processador é a pessoa que processa os dados em nome do controlador. As instituições financeiras são consideradas controladoras de dados geralmente.
Além disso, a LGPD estabelece os direitos dos titulares de dados, que incluem o direito de acesso, retificação, exclusão, limitação do tratamento de dados, portabilidade de dados, reclamação ao órgão de controle e o direito de não ser submetido a uma decisão exclusivamente automatizada. Estes direitos devem ser respeitados por todas as instituições financeiras.
A LGPD também estabelece as responsabilidades dos controladores e processadores de dados, que incluem o estabelecimento de políticas e procedimentos de tratamento de dados, a adoção de medidas de segurança da informação, assim como a realização de treinamento e auditoria para garantir a conformidade com as regras. Além disso, as instituições financeiras também devem ter cuidado ao transferir dados internacionalmente, incluindo a aplicação de medidas de segurança extras, e devem definir regras de retenção de dados.
Agora que você tem uma compreensão básica do quadro jurídico da LGPD, daremos uma olhada no que as instituições financeiras devem fazer para gerenciar os dados de maneira segura.
O quadro jurídico da LGPD
A Lei Geral de Proteção de Dados (LGPD) é a nova lei brasileira de proteção de dados. Ela estabelece uma série de direitos e responsabilidades para os titulares de dados e os controladores e processadores de dados, além de requer implementar medidas de segurança adequadas para garantir a proteção dos dados pessoais. A lei, que entrou em vigor em 18 de setembro de 2020, deriva sua autoridade da Constituição da República federtiva do Brasil de 1988.
Direitos dos titulares de dados: Os titulares de dados têm o direito de conhecer, acessar, corrigir e excluir os dados que lhes dizem respeito. Eles também têm o direito de se opor ao tratamento de seus dados, bem como ao compartilhamento e transferência deles para terceiros.
Responsabilidades dos controladores e processadores: A LGPD estabelece responsabilidades claras para os controladores e processadores de dados. Os controladores de dados são responsáveis pelo tratamento de dados, enquanto os processadores são responsáveis pelo processamento de dados. Ambos os controladores e processadores são responsáveis pela obtenção do consentimento dos titulares de dados, pelo uso adequado dos dados, pela proteção dos dados, pelo comprimento dos seus direitos e pela notificação de violações de dados.
Medidas de segurança necessárias: A LGPD exige a implementação de medidas de segurança adequadas para proteger os dados pessoais. Essas medidas de segurança devem ser implementadas para garantir a integridade, confidencialidade e disponibilidade dos dados.
Transferências de dados internacionais: A LGPD estabelece regras específicas para a transferência de dados pessoais para uma jurisdição fora do Brasil. As transferências de dados fora do Brasil serão permitidas desde que os dados sejam protegidos por medidas adequadas.
Retenção de dados: A LGPD também exige que os controladores e processadores de dados limitem o armazenamento de dados pessoais ao estritamente necessário. Os dados devem ser armazenados por um período razoável e apagados quando não mais necessários. As instituições financeiras devem ter um plano de retenção de dados em vigor para garantir que os dados sejam armazenados por um período razoável e que sejam apagados quando não mais necessários.
Como as instituições financeiras devem gerenciar os dados?
A LGPD é uma lei que dá aos indivíduos o controle sobre seus dados pessoais. Para as instituições financeiras, isso significa que elas devem gerenciar os dados conforme as novas diretrizes. Isso significa não apenas que as instituições financeiras devem seguir as regras da LGPD, mas também que elas devem construir uma cultura de privacidade, para os clientes poderem ter certeza de que os seus dados estão seguros.
Construindo uma cultura de privacidade com a LGPD:
O primeiro passo para as instituições financeiras é construir uma cultura de privacidade. Isso significa que as instituições devem estar cientes dos direitos dos titulares de dados e se comprometer a respeitá-los. As instituições financeiras devem explicar claramente aos clientes o que acontecerá com seus dados e como eles estarão protegidos. Os clientes também devem ser informados sobre quais dados estão sendo coletados e como eles serão usados.
Consentimento informado:
Os clientes também devem ser informados sobre o que acontecerá com seus dados e como eles serão usados. O consentimento informado é uma parte importante do processo de gerenciamento de dados. As instituições financeiras devem garantir que os clientes entendam o que estão consentindo e que tenham dado um consentimento livre e informado.
Identificação e classificação de dados com a LGPD:
As instituições financeiras também devem identificar e classificar os dados que coletam. Isso significa que eles devem estabelecer regras para determinar qual informação é pessoal, sensível, qual informação é considerada não pessoal e qual informação é considerada confidencial. Isso ajudará as instituições financeiras a identificar e proteger os dados conforme as regras da LGPD.
Gerenciamento de Riscos:
As instituições financeiras também devem realizar um gerenciamento de riscos adequado dos dados. Isso significa determinar quais riscos podem afetar os dados e como serão controlados. As instituições financeiras devem definir medidas de segurança para proteger os dados e garantir que eles não sejam acessados por terceiros.
Assim, as instituições financeiras devem tomar medidas para garantir que os dados sejam gerenciados conforme as regras da LGPD. É importante para as instituições financeiras construírem uma cultura de privacidade, garantirem o consentimento informado dos clientes, identificarem e classificarem os dados coletados e realizarem um gerenciamento de riscos adequado.
Como as instituições financeiras devem garantir a conformidade?
A LGPD estabeleceu um padrão de proteção de dados e privacidade para as instituições financeiras. Para garantir a conformidade com estas leis, é necessário que as instituições financeiras estejam cientes e cumpram os requisitos legais.
Primeiro, as instituições financeiras devem compreender a Autoridade Nacional de Proteção de Dados (ANPD) e suas exigências. A ANPD é o órgão regulador encarregado de supervisionar e fiscalizar a LGPD. Ela emite diretrizes, estabelece normas e realiza auditorias para garantir a conformidade com as leis da LGPD. As instituições financeiras devem compreender as diretrizes da ANPD e garantir que estejam conforme elas.
Em seguida, as instituições financeiras devem estabelecer um programa de compliance LGPD. Este programa de compliance deve abranger todas as áreas da organização, incluindo marketing, tecnologia da informação, pessoal e desenvolvimento de produtos. O programa de compliance auxiliará as organizações a identificar, monitorar e gerenciar os riscos associados à privacidade de dados, bem como a mitigar esses riscos. Além disso, as instituições financeiras também devem identificar e treinar os funcionários relacionados à LGPD, para se certificarem de que eles estão familiarizados com as leis e regulamentos.
Para garantir a conformidade com a LGPD, as instituições financeiras também devem implementar as medidas de segurança da informação apropriadas. Isso inclui o uso de recursos de segurança como criptografia e autenticação de dois fatores para proteger os dados. As organizações também devem implementar outras medidas de segurança, como a gestão de acesso, a gestão de eventos de segurança, a monitorização de ameaças e a detenção de intrusões. Estas medidas de segurança ajudarão a proteger os dados e garantir que as instituições financeiras estejam conforme a LGPD.
Além disso, as instituições financeiras devem monitorar e relatar regularmente os resultados das auditorias para garantir a conformidade com a LGPD. Estas auditorias devem incluir análises de dados, relatórios de segurança, análise de riscos e análise de privacidade. As instituições financeiras também devem manter registros de auditoria e documentar todos os processos relacionados à LGPD. Estes registros e relatórios podem ser usados para monitorar e garantir a conformidade da organização com a LGPD.
Portanto, as instituições financeiras devem compreender a ANPD e suas exigências, estabelecer um programa de compliance LGPD, implementar as medidas de segurança da informação apropriadas e monitorar e relatar regularmente os resultados das auditorias. Estas são algumas das medidas que as instituições financeiras devem adotar para garantir a conformidade com a LGPD.
Penalidades e Sanções
A Lei Geral de Proteção de Dados (LGPD) estabelece as responsabilidades e os direitos dos titulares de dados, bem como os requisitos de conformidade que devem ser cumpridos pelas instituições financeiras. Este é um aspecto importante para a segurança e proteção de dados, que deve ser levado muito a sério.
A LGPD prevê um sistema de sanções para aqueles que não cumprem suas obrigações de conformidade. Estas sanções podem ser aplicadas por qualquer autoridade competente e pode variar de advertências, multas e até proibição parcial ou total da atividade do controlador, ou processador.
As multas previstas podem variar dependendo da gravidade da violação de dados. Podem variar de 2% a 20% do faturamento anual total da empresa, limitado a R$50 milhões. As multas também podem ser aumentadas para violações graves ou em caso de reincidência.
Além das multas, as autoridades competentes também podem impor outras sanções, como a proibição do armazenamento, processamento ou transferência de dados. A proibição pode ser temporária ou permanente e o controlador ou processador de dados deve seguir as diretrizes da autoridade.
Outra sanção prevista pela LGPD é a publicação de qualquer violação de dados. A publicação deve identificar o controlador de dados e, em alguns casos, o processador de dados. O controlador de dados deve publicar a notificação de violação assim que possível após descobrir a violação.
O que acontece se as instituições financeiras violarem as regras?
As consequências de violação de dados podem incluir sanções impostas pelas autoridades competentes, perda de reputação, ações judiciais, danos materiais, custos de remediação e custos legais. Além disso, as instituições financeiras também podem sofrer retaliação dos titulares dos dados, especialmente se houver dano aos seus direitos.
É importante entender que, apesar das penalidades e sanções previstas pela LGPD, as instituições financeiras têm o dever de garantir a conformidade e a segurança dos dados. O comprimento da LGPD não deve ser visto como uma obrigação, mas como uma forma de promover a segurança, a confidencialidade e a integridade dos dados.
Conclusão
A LGPD traz consigo uma série de responsabilidades para as instituições financeiras. Quando ela entrar em vigor, as organizações serão obrigadas a obedecer aos requisitos estabelecidos pelo novo marco legal. Dessa forma, é de extrema importância que as instituições financeiras se prepararem para garantir a conformidade com a LGPD.
Para garantir a conformidade, as instituições financeiras devem compreender a ANPD e as exigências da LGPD. Além disso, elas devem estabelecer um programa de compliance, implantar medidas de segurança da informação eficazes para gerenciar os dados e monitorar e emitir relatórios de auditoria periodicamente. Quando as instituições financeiras adotarem essas medidas, elas poderão evitar as graves penalidades e sanções que podem ser aplicadas em caso de violação de dados.
As instituições financeiras também devem construir uma cultura de privacidade e garantir o consentimento informado dos titulares dos dados, bem como identificar e classificar os dados que possuem. Isso pode ajudar as instituições financeiras a controlar e gerenciar melhor os riscos associados ao tratamento de dados. Além disso, as instituições também devem ter cuidado ao realizar transferências de dados internacionais e seguir as diretrizes estabelecidas para a retenção de dados.
Por fim, vale a pena lembrar que as instituições financeiras devem estar atentas às mudanças na regulamentação, pois elas podem ter um impacto significativo no tratamento de dados. A adoção de novas práticas de proteção de dados e a conformidade com as normas de privacidade ajudarão as instituições a evitar problemas legais e garantir a confidencialidade dos dados dos clientes.