A Lei no 13.709/2018, resultado de extensas discussões, regula atividades relacionadas ao tratamento de dados pessoais. Ela abrange diversas operações, como coleta, processamento, armazenamento, e modifica dois artigos do Marco Civil da Internet: o 7o e o 16o.
Inspirada na General Data Protection Regulation (GDPR) da União Europeia e na California Consumer Privacy Act (CCPA) dos EUA, ambas em vigor desde 2018, a Lei brasileira busca adequar-se a padrões internacionais estabelecidos pela ISO 27001 e ISO 27005, aprovadas pela ISO/IEC em 2016. Não se trata apenas de mais uma lei, mas sim de uma adaptação crucial ao cenário internacional para preservar nossa competitividade global, exigindo ação urgente.
A legislação brasileira atual possui diretrizes para a proteção da privacidade e dados, embora não abranja especificamente o tratamento de dados, um conceito mais abrangente e complexo. A LGPD surge para substituir e complementar as regulamentações setoriais, preenchendo lacunas de segurança jurídica.
Empresas envolvidas em operações no Brasil ou que lidam com dados pessoais de brasileiros, em qualquer setor, público ou privado, independentemente de sua origem, devem agora ser transparentes sobre a coleta, processamento e armazenamento desses dados. Todas as empresas, sem exceção, precisarão ajustar sua estrutura organizacional, processos e tecnologias.
Um equívoco comum é associar a nova legislação apenas a empresas digitais. Na realidade, qualquer indivíduo ou empresa que manipule dados pessoais, seja fisicamente ou digitalmente, deve se adequar à LGPD. Portanto, setores como varejo, escritórios de contabilidade ou de direito, laboratórios, clínicas, hospitais, escolas e faculdades, entre outros, necessitam realizar as adaptações necessárias.
A legislação específica, representada pela LGPD, tem como objetivo proteger a privacidade dos cidadãos e prevenir abusos no tratamento de dados pessoais por parte das empresas. Abrangendo todas as empresas no Brasil, independentemente do porte ou setor, que prestam serviços aos brasileiros, ela engloba uma ampla gama de setores, como escritórios de contabilidade, advocacia, clínicas, escolas, lojas, supermercados, distribuidoras, entre outros.
É importante destacar que a LGPD se aplica especificamente a dados de pessoas naturais, excluindo dados corporativos e de negócios, bem como dados com finalidades não econômicas, jornalísticas, artísticas, acadêmicas, penais, investigativas e de segurança pública.
Lei Geral de Proteção de Dados estabelece a criação da Autoridade Nacional de Proteção de Dados (ANPD), um órgão independente vinculado diretamente à Presidência da República. A ANPD será responsável por fiscalizar o cumprimento da lei por empresas e órgãos públicos ou privados, incluindo a aplicação de punições em casos de vazamento de dados e mau uso de informações de usuários brasileiros.
Qualquer pessoa, física ou jurídica, pode acionar a ANPD, e a fiscalização pode ocorrer a qualquer momento. As empresas deverão se preparar para fornecer as informações possíveis quando solicitadas pela ANPD. Aqueles que se adaptarem primeiro não apenas evitarão prejuízos, mas também ganharão uma vantagem significativa no mercado. O tamanho do país não é uma garantia de que a ANPD não irá fiscalizar, tornando a conformidade uma estratégia essencial para as empresas.
Durante o processo de conformidade, será desenvolvido um plano de ação para tomar medidas imediatas e mitigar os problemas, focando em reduzir os impactos negativos, incluindo possíveis avaliações e danos à marca. Em caso de incidente, a empresa deverá notificar imediatamente a ANPD, possibilitando um envio efetivo do caso. O descumprimento da lei pode resultar em advertências ou multas, sendo crucial que a empresa comprove sua responsabilidade no incidente para evitar responsabilização integral.
Primeiramente a empresa receberá uma advertência, com prazo para correção. Posteriormente, poderão ser aplicadas multas simples, suspensão do banco de dados, suspensão de operação e multa de até 2% do faturamento líquido da empresa. Esse valor é limitado a R$ 50 milhões por infração. Vale lembrar que um incidente de vazamento ou violação pode gerar mais de uma infração e, consequente, mais de uma sanção ou multa. Na reincidência, são aplicadas multas diárias, publicização da infração, bloqueio dos dados e, até mesmo, eliminação deles.
Para adequar a sua empresa a nova legislação, você contará com uma equipe especializada na Lei Geral de Proteção de presa terá o acompanhamento de uma analista, que diariamente se envolverá no processo de adequação. Esse acompanhamento é muito importante porque afeta áreas muito sensíveis, como:
Criação de novas políticas de privacidade, novos contratos e acordos entre empresa e usuário (que precisa dar o seu consentimento para o uso dos dados), etc.
Revisão de responsabilidades, determinação de níveis permissão de acesso aos dados e determinação do responsável legal pelos dados dentro da empresa, etc.
Definir o ciclo de vida dos dados, definir quais são os dados, como trata-los e onde serão armazenados com segurança, etc.
Avaliar todos os processos de dados, que envolva TI ou não, que haja coleta, tratamento, armazenamento, e eliminação dos dados (ciclo de vida da informação).
Análise de vulnerabilidades (Análise de riscos e ameaças humanas e não humanas (SWOT), quantitativa, qualitativa, impacto da continuidade do negócio); • Adequar todos os processos de acordo com a lei; • Criar políticas de segurança da informação, onde serão gerados documentos (fluxogramas) e relatórios definindo como cada processo deverá acontecer.
Realizar testes de verificação, incluído testes de intrusão.
A GeneSys TI oferece assessoria especializada, certificada ISO/IEC 27001, com suporte técnico e jurídico na implementação de medidas de adequação à Lei Geral de Proteção de Dados (LGPD).