LGPD para Empresas

O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais – lei 13.709/18 - disciplina a forma como informações são coletadas e tratadas, em meios digitais e físicos, tais como dados pessoais de cadastro ou textos e fotos publicados em redes sociais.

Caso sejam detectadas irregularidades, as empresas podem sofrer sanções bem como multa diária de 2% do faturamento até R$ 50 milhões por infração.


A quem se aplica?

A LGPD aplica-se a qualquer empresa, pública ou privada, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: (I) o tratamento seja realizado em território nacional; (II) tenha por objetivo a oferta ou o fornecimento de bens ou serviços no território nacional; (III) os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.


PRAZO PARA ADEQUAÇÃO - 16/FEV/2020.

Principais obrigações:

  • Qualquer empresa ou órgão público deve ser responsabilizado em caso de violação à lei;
  • Órgãos públicos devem organizar dados de forma interoperáveis e estruturados;
  • Multa diária de até 2% do faturamento da empresa, com limite de R$50 milhões;
  • Conceitua dado pessoal, dado sensível, dado pseudonimizado e dado anonimizado;
  • Tratamento de dados pessoais no Brasil em meios digitais ou não;
  • Empresa ou órgão público só poderá fazê-lo se tiver consentimento do titular;
  • O titular pode retirar seu consentimento, pedir a exclusão ou a portabilidade de seus dados;

Abordagem do GESTI:

  1. Identificação e Inventário: estabelecer inventário formal das operações de processamento de dados e sistemas;
  2. Avaliação e Maturidade: identificar lacunas e desenvolver um roteiro para alcançar a conformidade à LGPD;
  3. Correção dos gaps: suportar a remediação das lacunas e alcançar o cumprimento da LGPD;
  4. Validação de Conformidade: monitorar a conformidade com a LGPD;
  5. Governança: monitorar KPI's, gerenciar processos e interfaces com órgãos reguladores;

Princípios de proteção que devem ser seguidos pelas empresas, com a sanção e promulgação da lei:

Gestão de consentimento (art. 7): Mais do que definir cláusulas, contratos e acordos que devem reger a autorização, deve-se desenhar e implantar soluções tecnológicas e processos para organizar, armazenar e rastrear a concessão exclusão daquele que deu o consentimento.

Direito ao acesso (art. 17 a 22): Os titulares dos dados terão uma série de direitos, entre eles o acesso a todo processamento dos seus dados. Para tanto, deve-se implantar soluções para organizar a solicitação e garantir a rastreabilidade em todas as etapas do processamento.

Capacidade de apagar dados pessoais (art. 17 a 22): As organizações devem ter a capacidade de apagar ou segregar os dados quando não forem mais necessários. Devem ser implementadas soluções que garantam esta eliminação em todas as bases de dados e sistemas, inclusive em backups.

Portabilidade dos dados (art. 18): A portabilidade dos dados está intimamente relacionada ao direito ao acesso, mas é mais sensível ao negócio. Deve-se garantir desde a segurança da extração de dados dos titulares até formas seguras de transmissão para a outra organização.

Proteção por design e por padrão (art. 46): Deve-se implementar as melhores práticas de proteção de dados por omissão. Novos processos de desenvolvimento de projetos, aplicativos e sistemas devem contemplar este novo paradigma na segurança das informações.

(Pseudo) Anonimação (vários artigos): O processo de anonimização exige processos e tecnologias de mascaramento de dados, assim como uma nova postura na estruturação e segregação das bases de dados dos vários sistemas das organizações.

Registros de atividades de processamento (art. 37): Todos os processamentos de dados pessoais devem ser registrados, demandando a implantação de soluções de rastreabilidade de dados, ao mesmo tempo que devem garantir a privacidade.

Conformidade continua e encarregado (art. 41 e 50): Deve-se adotar medidas de governança do programa, com papéis, responsabilidades, políticas e gestão contínua clara, definidos e baseados em risco (risk-based), e que sejam auditados por agente interno e externo.

Notificação de violação (art. 48): As organizações são obrigadas a identificar a extensão de uma violação e a informar ao titular. É importante a criação de um processo de análise do incidente, da sua extensão e a criação de um plano de gestão de crises.

Avaliação de impacto de privacidade de dados (art. 38): Deve-se realizar avaliações contínuas de todos projetos e serviços que processam dados pessoais. Assim, deve-se adotar técnicas, metodologias e soluções de avaliação e gestão de riscos estabelecida no mercado.

Transferências internacionais de dados (art. 33): Toda transferência internacional de dados deve garantir um nível de proteção adequada. Desta forma, deve-se avaliar não só os aspectos jurídicos, mas também o nível de proteção do ambiente para o qual serão transferidos.