Vem pro time Golden! Envie seu currículo para Gestão de Pessoas
Atuação em todo Brasil
Agende uma Apresentação
0800-180-6082
PT ES EN

O que é LGPD e como se adequar?

O que é LGPD e como se adequar?
Marketing Marketing
LGPD
16/06/2022

O que é a LGPD? Ela é uma ameaça para o seu negócio? Como posso ficar na linha com ela? Respondemos a essas perguntas nesse artigo de maneira simples e compreensível.

Em resumo…

  • A LGPD é a Lei Geral de Proteção de Dados do Brasil. Oficialmente, ela entrou em vigor em 18 de setembro de 2020.
  • Apesar da LGPD ter sido inspirada no GDPR, existem várias diferenças entre os dois – a começar pelas dez bases legais.
  • A lei confere mais direitos aos usuários e protege tanto os dados processados ​​no Brasil quanto os dados pessoais dos usuários que estão localizados no Brasil, independentemente de onde o controlador de dados esteja localizado.
  • Tarifas até 50 milhões de reais (cerca de 8 milhões de euros ou 9 milhões de dólares), sanções e processos judiciais são algumas das consequências do incumprimento.
  • Se você tem usuários no Brasil ou armazena/processa dados no Brasil, você deve cumprir.

O que é a LGPD e quais são seus requisitos?

A Lei Geral de Proteção de Dados Pessoais (LGPD) pode ser considerada a resposta do Brasil ao GDPR (Regulamento Geral sobre a Proteço de Dados) da União Europeia – com muitas semelhanças com a lei brasileira, mas também algumas diferenças.

O objetivo da lei é substituir ou complementar o atual cenário legal, que inclui mais de 40 especificações federais para o setor, e estabelecer um marco regulatório.

O objetivo da LGPD é fornecer um marco regulatório para o uso de dados pessoais no Brasil, tanto online quanto offline, tanto no setor público quanto no privado.

Em geral, a LGPD exige que os dados pessoais sejam processados ​​apenas para fins específicos, explícitos e claramente definidos. Assim como no GDPR, aplicam-se os princípios de transparência e minimização de dados (usando apenas os dados necessários).

Definições específicas são usadas abaixo.

– O termo “usuário” refere-se a uma pessoa física cujos dados pessoais são controlados por um controlador ou operador (conhecido formalmente como o titular dos dados).
– O termo “controlador de dados” refere-se a qualquer pessoa física ou jurídica, pública ou privada, que esteja envolvida na determinação da finalidade dos dados pessoais e dos métodos pelos quais eles serão processados.
– A frase “operador de dados” ou “operador de dados” refere-se a qualquer pessoa física ou jurídica envolvida no processamento legal de dados em nome de um controlador.
– Nesta publicação, a expressão Autoridade de Proteção de Dados (APD) refere-se à Autoridade Nacional de Proteção de Dados (ANPD (link en inglês)).

Por exemplo, uma empresa de internet pode coletar informações do usuário por meio de seu site e armazená-las usando um serviço de nuvem de terceiros. Nesse caso, a empresa de internet é a controladora de dados, enquanto a empresa que fornece o serviço de rede é a operadora de dados.

Em quais áreas a LGPD se aplica? (Escopo territorial da LGPD)

A LGPD, assim como o GDPR, se aplica a um escopo geográfico que se estende além do Brasil. Isso significa que você deve cumpri-la mesmo que você ou sua empresa não esteja localizada no Brasil. Na prática, a LGPD pode ser considerada se:

  • Você realizada tratamento de dados no Brasil (e.g. você usa servidores localizados no Brasil);
  • Você oferece ou fornece bens, ou serviços a pessoas localizadas no Brasil, independentemente da nacionalidade delas;
  • Você trata dados provenientes de pessoas localizadas no Brasil (mesmo em caso em que a pessoa está no pas apenas no momento de coleta)

Em geral, você pode presumir que a LGPD se aplica a você sempre que tratar dados pessoais de pessoas que moram no Brasil ou de qualquer outra pessoa que esteja no país, independentemente da nacionalidade.

Exceções de aplicabilidade

Existem algumas exceções à aplicabilidade da LGPD, mesmo quando o controlador de dados estiver localizado no âmbito territorial da lei. Essas exceções estão listadas abaixo. A LGPD não é aplicável se:

  • O tratamento de dados pessoais é realizado por uma pessoa física, única e exclusivamente para fins privados e não comerciais;
  • os dados pessoais são usados ​​apenas para os seguintes fins: jornalismo ou expressão artística, pesquisa acadêmica, segurança pública, segurança e defesa nacional; investigação e acusação criminal.

O que são “dados pessoais” na LGPD?

Em uma definição ampla, a LGPD utiliza dados pessoais. Assim como no GDPR, dados pessoais no contexto da LGPD referem-se a quaisquer dados que possam ser vinculados a um indivíduo identificável ou identificável. Para resumir, todos os dados que podem ser vinculados a um indivíduo identificável ou identificável são considerados dados pessoais. Isso inclui fragmentos de dados que podem ser combinados com outras informações para identificar qualquer indivíduo.

E a LGPD em termos de dados anonimizados?

Dados verdadeiramente anônimos (que não levem à identificação de um indivíduo, direta ou indiretamente, por meios razoáveis) são classificados como fora do escopo da LGPD. No entanto, se o procedimento de anonimização puder ser revertido ou se os dados forem utilizados para fins comportamentais, a LGPD ainda se aplicará.

Exemplos de dado pessoais: Dados de identidade básica, como nomes, dados genéticos, biométricos e relacionados à saúde do usuário; dados da Web, como IP e de e-mail pessoal, opinies polticas, e orientação sexual.
Exemplo de dados não pessoais: Registro números e operações de e-mail genéricos da empresa, como info@empresa.com, e dados anonimizados.

Consequências da Não Conformidade

As consequências legais do descumprimento podem incluir multas de até 2% da receita bruta anual de uma empresa, com multas de até 50 milhões de reais possíveis para cada violação. Mas, tão preocupantes quanto a multa, são as outras ações judiciais que podem ser tomadas contra aqueles que foram considerados culpados de descumprir a lei.

A não conformidade pode resultar em multas que variam de 2% da receita bruta anual a até US$ 50 milhões em multas.

A APD tem poderes de negociação sob a LGPD, incluindo a capacidade de emitir alertas e multas, divulgar infrações e bloquear ou excluir atividades de tratamento, bem como dados pessoais relacionados a infrações. Isso significa que, se ocorrer uma infração relacionada à aquisição de endereços de e-mail, o controlador de dados de infraestrutura perderá toda a lista de e-mail. A APD também pode ordenar que o banco de dados envolvido na não conformidade seja parcialmente suspenso por até seis meses, interrompendo assim outras atividades que dependem do banco de dados.

Por fim, semelhante ao GDPR, a LGPD permite que os usuários abram processos de indenizações civis por violações de leis de privacidade.

Como você atende aos requisitos da LGPD?

Lista de ações que devem ser verificadas para cumprir a LGPD

  • Identifique (e documente) seus fundamentos legais para o processamento de dados pessoais. Os controladores de dados devem estabelecer uma base legal para cada atividade de processamento de dados e documentá-la em seus registros.
  • Acompanhamento das suas atividades de tratamento de dados (exigido sob o Art. 37). Apesar de a LGPD não incluir requisitos específicos para a estrutura ou conteúdo desses registros, é provável que sejam semelhantes aos registros de tratamento exigidos pelo artigo 30 do GDPR. O iubenda facilita a criação e manutenção de registros de tratamento de dados. Continue lendo aqui.
  • Incorpore os avisos de privacidade necessários em sua política de privacidade. Exigido (ob o Art. 9º) para cumprir as exigências de transparência da LGPD. Leia sobre nosso gerador e como incluir notificações da LGPD com apenas um clique.
  • Recolha e manutenção de formulários de consentimento válidos (exigido sob o Art. 8º). Assim como no GDPR, a LGPD coloca o ônus da prova em você, o processador de dados, para mostrar que você tem um consentimento válido. O iubenda facilita a criação e manutenção de logs de tratamento de dados. Continue lendo aqui.
  • Nomear um responsável pela proteção de dados (DPO, em inglês) (exigido sob o Art. 41). De acordo com a LGPD, todos os controladores de dados devem nomear um Data Protection Officer (DPO), que será responsável pelas atividades descritas nesta seção. Atualmente, a lei não exige que o DPO resida fisicamente no Brasil e também permite que o controlador indique um consultor terceirizado como seu DPO.
  • Desenvolver políticas e procedimentos internos para respeitar os direitos dos usuários e responder às solicitações relacionadas. Os controladores de dados devem prestar atendimento satisfatório aos titulares de dados que fizerem solicitações para exercer seus direitos sob a LGPD, como acesso, anonimização, exclusão e portabilidade.
  • Implementação de um protocolo de segurança. Tanto os controladores quanto os operadores devem usar medidas de segurança criadas para proteger os dados pessoais. No futuro, a APD poderá fornecer diretrizes técnicas mínimas. Outras estruturas legais regidas pelas leis brasileiras, como o Marco Civil da Internet (que define os princípios, garantias, direitos e responsabilidades dos usuários de internet no Brasil), podem fornecer mais orientações sobre as práticas atuais.
  • Criar um plano de resposta e remediação de incidentes (de acordo com o Art. 50). Controladores e operadores devem desenvolver uma estratégia de resposta a eventos que garanta que o controlador será capaz de atender aos requisitos para comunicação obrigatória de incidentes (veja abaixo).
  • Se uma violação de dados representar um risco ou dano significativo aos usuários, você deve notificar a APD e os usuários afetados (de acordo com o Art. 50).
  • Desenvolvimento de relatórios de impacto na proteção de dados (RIPDs). As RIPDs podem ser exigidas em situações caracterizadas como arriscadas ou por solicitação da autoridade nos casos em que o processamento de dados seja baseado em interesse legítimo.
  • Definição de privacidade como padrão. De acordo com a LGPD, é obrigatório habilitar medidas de privacidade por padrão que garantam a proteção de dados pessoais. Na prática, as configurações de “fábrica” ​​devem ser aquelas que fornecem o mais alto nível de proteção.
  • Responder a solicitações de transferência de dados entre países. Certifique-se de que está ciente de quaisquer limites potenciais de transferência de dados e de que está a cumprir todos os requisitos relevantes. Mais informações podem ser encontradas aqui.

Leia mais:
Cibersegurança – Conceitos e Tecnologias

Conclusão

Se adequar a LGPD é essencial a qualquer negócio, seja você um ecommerce, uma empresa financeira, uma empresa de logística ou de saúde.

Entendemos que não é fácil conhecer quais são as obrigações legais inerentes ao seu negócio, assim como ter segurança de que você está realizando o tratamento de dados de seus clientes da forma correta .

Então, a Golden Solutions é o parceiro ideal para você!

Por meio de uma metodologia própria, fundamentada na LGPD, avaliamos a maturidade jurídica, tecnológica e processual do cliente, no que tange à segurança da informação e diligência com a LGPD, e identificamos os riscos existentes.

Fale com nossos especialistas!
cibersegurança como se adequar a LGPD? Dados Pessoais GDPR Lei Geral de Proteção de Dados LGPD Segurança a Informação
-
0
Postagens Relacionadas
Deixe uma resposta

Your email address will not be published.Required fields are marked *

Close
Search

Hit enter to search or ESC to close

cookie Ao usar este site, você concorda com nossas políticas. Close