Tempo de leitura: 5 minutos
Este tem sido o ano da LGPD. O assunto está sendo constantemente abordado na mídia, em treinamento empresariais, um reuniões comerciais e até em grandes eventos corporativos.
Existem dois principais motivos para o assunto estar em alta esse ano: o primeiro é que dados são a riqueza da sociedade digital (você já deve ter ouvido a frase “dados são o novo petróleo”) e o segundo é que está acabando o prazo para se adequar à lei.
Você sabe quando passou a valer a LGPD? Em agosto de 2020. Essa data foi aprovada em Agosto de 2018 e portanto concedeu o prazo de aproximadamente 2 anos para que as empresas fizessem as adaptações necessárias e atendessem todas as normas.
Leia também: LGPD impacta 6,4 milhões de pequenas e médias empresas no Brasil em curto prazo
A Lei nº 13.709/18 – Lei Geral de Proteção de Dados do Brasil (ou simplesmente LGPD) é baseada na GPDR, que é a lei de proteção de dados pessoais da Europa. Ela tem o objetivo de regulamentar a coleta, armazenamento e compartilhamento de dados pelas empresas.
Sua empresa já está tratando dados de acordo com a nova lei? Você entende o que está sendo regulamentado? A Infomach listou a seguir os 5 principais pontos da LGPD para garantir que você fique por dentro do assunto:
1 – Quais dados a LGPD protege?
A lei se refere a dados pessoais. É considerado dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável, como nome, e-mail, telefone, endereço, número de IP, placa do carro, etc. A LGPD exige que esses dados sejam pertinentes e limitados às finalidadas para os quais são tratados. Além disso, deve-se buscar a limitação ao uso mínimo necessário, o que costuma ir contra o objetivo das empresas, que buscam maximizar o uso dos dados que possui.
Vale lembrar que a lei se aplica independentemente do meio de operação do tratamento dos dados, então tanto dados digitais quanto dados físicos devem ser adequados à LGPD.
2 – O que significa anonimizar os dados?
Todo dado armazenado pela empresa deve ser anonimizado, ou seja, deve-se usar os meios disponíveis no momento do tratamento para impedir a possibilidade de associação direta ou indireta a um indivíduo específico. Por exemplo, a empresa precisa impedir que determinado número de telefone possa ser associado a um nome, CPF, cartão de crédito, etc.
Dado anomizado (art. 12): Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
3 – Que situações permitem o tratamento de dados pessoais?
O primeiro ponto da lei é a transparência: deve-se informar ao titular com exatidão e clareza qual a finalidade do armazenamento dos dados – e não utilizar esses dados para um fim não autorizado. No entanto, a LGPD não se baseia apenas no consentimento do titular. Ela também prevê que os dados podem ser tratados sem problemas nas seguintes hipóteses:
- Cumprimento de obrigação legal ou regulatória
- Execução de políticas públicas
- Realização de estudos por órgãos de pesquisa
- Execução de contrato
- Exercício regular de direitos, processo judicial ou administrativo
- Proteção da vida ou incolumidade física
- Tutela da saúde
- Legítimo interesse (dados utilizados para fins já esperados pelo titular, quando o impacto à privacidade for mínimo e quando houver justificativa irrefutável para o tratamento)
- Proteção de crédito
4 – O que fazer em caso de vazamento de dados?
A lei prevê os deveres da empresa em caso de incidentes de segurança ou violação de dados pessoais, como roubo de um pendrive, hack do sistema, perda do controle sobre a base, vazamento de informações, ransomware, entre outros.
É obrigação da empresa notificar dentro de um prazo razoável a Autoridade Nacional e o titular dos dados sobre o ocorrido. O período considerado razoável não é especificado, mas deve ser justificado pela empresa. A comunicação também deve especificar os seguintes itens:
- A natureza dos dados pessoais afetados
- Informações sobre os titulares envolvidos
- As medidas técnicas e de segurança utilizadas para proteção dos dados
- Os riscos relacionados ao incidente
- O motivo do prazo de notificação, quando não for imediato
- E as medidas para reverter ou mitigar o prejuízo
Leia também: Segurança de Redes no contexto da Lei Geral de Proteção de Dados
5 – Quais as punições pelo descumprimento da LGPD?
As sanções previstas na lei vão desde advertências até multa e suspensão total do funcionamento do banco de dados. As multas podem ser do tipo simples (de até 2% do faturamento da empresa, podendo chegar a R$ 50 milhões por infração) ou podem ser multas diárias, recorrentes até que a situação seja corrigida.
Os parâmetros que serão usados para definir o peso da sanção envolvem avaliação da gravidade e reincidência do incidente, a boa-fé e a cooperação da empresa, a demonstração de que existiam mecanismos e procedimentos de segurança, entre outros.
Mais de 120 países já possuem regulamentações específicas de proteção de dados pessoais – e agora a LGPD coloca o Brasil nessa lista. É importante que sua empresa se adeque a essas normas não só pela possibilidade de punição, mas também porque dados seguros fazem um mundo mais seguro.
Para evitar multas e se preparar para eventuais fiscalizações, é primordial entender e seguir os parâmetros da lei. Esperamos que esse artigo te ajude a entender seus principais pontos e facilite a adequação da sua empresa.
Procurar
Encontre o conteúdo que deseja
