Home / Cyber Security / Detalhes da LGPD e a relação com segurança da informação.
Detalhes da LGPD e a relação com segurança da informação.

Detalhes da LGPD e a relação com segurança da informação.

LGPD – Lei Geral de Proteção de Dados.

Como você já deve saber, o Brasil tem uma nova lei sobre proteção de dados pessoais. Desde agosto de 2018, começou a contagem de 24 meses para adaptação à LGPD. – Lei Geral de Proteção de Dados. Este intervalo é nomeado vacatio legis, latim para “vacância da lei”. Ou seja, é um prazo legal de preparação para que a regulação, de fato, entre em vigor. Isso significa que em agosto de 2020 a LGPD passará a ter eficácia em toda a nação.

Em linhas gerais, a LGPD regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil. Válida para esferas privadas e públicas, a norma define os personagens do cenário digital, assim como suas responsabilidades e direitos. Além disso, também dispõe sobre obrigatoriedades e penalidades. Mais adiante no texto, detalharemos os principais pontos da lei e também seu contexto de criação.

Mesmo existindo este prazo de adequação, os impactos da LGPD já podem ser sentidos nas empresas. Obviamente, a corrida pelo enquadramento varia de acordo com o status prévio de segurança da informação do negócio. Entretanto, há consenso que a abrangência do texto demanda atenção e ação. Das organizações de grande porte às microempresas, todos que tenham relação com dados precisam seguir as exigências da nova lei.

Além da validade para empresas de todos os tamanhos e setores e da valia nacional, a imensa dimensão da LGPD também é medida pelos novos comportamentos. Os mercados são cada vez mais digitais. Coleta, armazenamento, uso e transferência de informações pessoais são processos que avançam exponencialmente. Junto às relações realmente contratuais, há um oceano de interações e trocas de dados por acesso a serviços e convivências. Se os famosos casos de informe seu CPF na farmácia para obter desconto resultaram em penalidades pré-LGPD, as expectativas são de muito mais rigor em alguns meses.

LGPD no planalto

LGPD no Planalto.

Aprovada em julho de 2018 no Senado Federal, a LGPD  foi sancionada em 14 de agosto pelo presidente Michel Temer. Oficialmente nomeada Lei Nº 13.709, ela altera a Lei nº 12.965 – Marco Civil da Internet, que era de abril de 2014. O principal objetivo da Lei Geral de Proteção de Dados é garantir mais segurança para empresas e consumidores por meio de uma gestão transparente de informações.

A primeira consulta pública promovida pelo Ministério da Justiça data de 2010. O resultado deste processo foi o Projeto de Lei 5276/2016, anexado ao PL 4060/2012 perante a Câmara dos Deputados. Após 2 anos tramitando no Congresso, 2 consultas públicas, mais de 2500 contribuições e conversão para o PLC 53/18, o projeto foi levado para sanção.

A tramitação do PL no Senado foi realizada com regime de urgência. A principal pressão é atribuída ao vigor da GDPR (lei de proteção de dados da UE), em maio de 2018. A legislação europeia engloba empresas de todos os países que processem dados de europeus. Portanto, tem validade no Brasil mesmo para empresas que não tenham sede na União Europeia. O parâmetro balizador é a exigência de níveis adequados de segurança nos países para os quais os dados de europeus são transferidos e/ou nos quais são coletados. Sendo que, a Comissão Europeia avalia e divulga lista dos países considerados adequados. Se tiver interesse, aproveite para aprofundar-se sobre pontos de conexão entre LGPD e GDPR.

O cenário acima certamente impulsionou a aceleração do PL 53/18, assim como os casos recorrentes de vazamentos e violações. Um episódio bastante marcante e paralelo ao final da tramitação da lei foi o caso Cambridge Analytica. Em 2016, durante as eleições norte-americanas, informações de usuários do Facebook foram usadas de forma nebulosa, ganhando repercussão mundial.

 

Dados pessoais e personagens da LGPD.

Os parâmetros principais da LGPD são privacidade e proteção de dados pessoais. Por isso, é importante entender o que são considerados dados pessoais. Como diz o Art. 5º da Lei Nº 13.709, dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. Traduzindo, são dados que sozinhos ou em conjunto permitem a identificação da pessoa. Por exemplo, nome, endereço, e-mail, telefone, etc.

Em todo o texto legal e aqui no blog, há 3 figuras importantes para o entendimento das especificidades de tratamento dos dados. Assimilar estes personagens ajudará na continuação da sua leitura, portanto, registre aí:

  • Titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
  • Controlador e operador ainda formam uma categoria, sendo os agentes de tratamento.

A lei também traz a tratativa de dados sensíveis, como raça ou etnia, religião, opinião política ou ainda informações de saúde, genética e biometria. Este segundo grupo, que contém dados mais reveladores sobre o titular, demanda ainda mais cuidado dos agentes. Há ainda a seção III, que dispõe sobre dados de crianças e adolescentes. Entre as exigências, o destaque é a questão do consentimento. “O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”, obriga a lei.

Direitos do titular na LGPD

Direitos do titular na LGPD.

O objetivo da LGPD é “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”. A partir desta definição, diversas obrigatoriedades da lei refletem o respeito aos direitos dos titulares. A seguir, destacaremos alguns dos principais.

 

LGPD e consentimento.

Consentimento é um requisito fortíssimo da lei. A definição do texto oficial é: “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Neste trecho, entende-se claramente a necessidade de autorização do titular para processamento dos dados. Para que o consentimento seja realmente um direito, a comunicação clara sobre a abrangência de uso dos dados é um fator crucial. A lei trata deste ponto exigindo que o titular seja informado de forma objetiva e facilitada.

Aqui cabe uma reflexão crítica. Aqueles longos termos de uso, com texto propositalmente rebuscado e complicado serão passado. Os cidadãos têm o direito de saberem o que estão cedendo e como isso será utilizado. Comunicar com transparente é exigência no respeito à necessidade de consentimento e em todo o tratamento dos dados.

 

LGPD e finalidade.

Uma questão que desponta com o consentimento é a finalidade. Os dados só devem ser utilizados para as finalidades específicas para as quais foram coletados. Ou seja, o titular dará consentimento ciente de qual é a finalidade do uso. Isso implica na prévia informação sobre a finalidade e no controle de uso restrito para este fim. Além de restringir o uso à finalidade, este conceito também envolve a exclusão dos dados ao final da necessidade de uso. Inclusive, titulares têm direito de solicitar bloqueio, eliminação e transferência, a qualquer tempo.

Vale frisar que a lei é bastante relacionada ao ambiente digital, mas também engloba a coleta presencial. Por exemplo, dados coletados na recepção de um edifício comercial, mesmo que de forma analógica para que depois sejam digitalizados ou não, estão cobertos pela lei. Os princípios de consentimento e finalidade também são mantidos. Provavelmente, você já viveu a experiência de ceder nome, RG e foto para entrada em um prédio. Os dados têm a finalidade resguardar a segurança do local e liberar acesso. Com a nova lei, deverá haver clareza sobre esta finalidade, assim como informação se os dados serão armazenados e para qual fim.

Mudando o cenário para um congresso, que tem entrada única. Se o titular conceder seus dados para a finalidade exclusiva de acesso, tudo deverá ser deletado após o encerramento e usado só para isso. A compatibilidade entre o uso dos dados e a finalidade informada é uma obrigatoriedade importante para os agentes. Como o direito à transparência no processamento dos dados resguarda amplamente o titular, controladores e operadores devem ficar atentos.

Além de informação clara sobre a finalidade, os titulares têm direito a saberem a forma e a duração do tratamento de seus dados. As informações sobre o controlador também precisam estar à disposição, assim como sobre compartilhamento de dados. Ainda entram na lista de direitos acesso aos dados, pedido de correção, eliminação, revogação do consentimento, entre outros. A extensão dos direitos também discorre sobre anulação do consentimento em casos de conteúdo enganoso e necessidade de aviso e de novo consentimento se houver mudança da finalidade. Sendo que, neste último, o consentimento pode ser retirado se o titular não concordar com as alterações na finalidade.

 

Segurança e boas práticas.

Além do respaldo aos titulares, a LGPD é benéfica para a segurança da informação das empresas e órgãos. Como a lei prevê utilização de medidas técnicas e administrativas aptas a proteger os dados, existe também resvalo positivo na gestão de riscos. Ao proteger os dados de acessos não autorizados, de incidentes, de violações e de vazamentos, a organização protege seus ativos. Inclusive, muitos pontos da LGPD já são boas práticas em riscos e segurança da informação. Por exemplo, garantir prevenção à fraude e assegurar a integridade dos dados são dinâmicas fundamentais da TI.

Criptografar informações, controlar acessos, habilitar autenticação, criar camadas de segurança, fazer análises e testes de segurança, etc. Todo este universo de GRC – governança, riscos e compliance – tem plena aderência à nova lei. Por isso, pode-se dizer que o impacto da LGPD nas empresas deverá ser bastante diferente, dependendo do histórico e políticas prévias de segurança.

Empresas certificadas e com áreas de segurança bem estruturadas tendem a sofrer menos para adequarem-se até agosto de 2020. Em contrapartida, organizações que não davam a devida atenção ao tema percorrerão uma maratona exaustiva nos próximos meses. Se você está no segundo grupo, não há motivos para desespero. O impacto é sim significativo, mas as áreas de cibersegurança e riscos têm consultorias, metodologias, processos e certificações capazes de suportar a adequação de forma apropriada e eficiente.

Conceitos como privacy by design e security by design são práticas que prometem auxiliar o cumprimento da lei e também ressaltar o importante papel da TI neste cenário. Incorporar segurança e privacidade ao desenvolvimento e à arquitetura das soluções já era fundamental. Agora é necessidade legal. Estes processos viabilizam um gerenciamento de dados alinhado à lei e também atendem parâmetros globais de segmento tecnológico.

 

Mais informações sobre LGPD.

Como o tema é muito complexo, existem inúmeros fatos e curiosidades sobre a LGPD. Iremos listar alguns aqui para que você possa ampliar seu conhecimento.

  • Você sabia que a lei tem aplicação fora do Brasil? Assim como a GDPR, a Lei Geral de Proteção de Dados tem aplicação extraterritorial. As empresas estrangeiras que tiverem filial no Brasil ou oferecerem serviços ao mercado nacional também precisam estar adequadas à lei. A premissa é a mesma da europeia, se a organização trata dados de brasileiros, ela deve respeitar a LGPD.

 

  • A LGPD inclui o Brasil no grupo de países que têm uma lei específica para proteção de dados. Além de útil para a relação com mercados internacionais, isso é um estímulo para investimentos e ampliação dos negócios e relacionamentos globais.

 

  • Como a lei unifica regras sobre privacidade e tratamento de dados, torna-se mais fácil para que todos os envolvidos busquem seus direitos e exijam responsabilização. A padronização é vantajosa para o País como nação e para todos os cidadãos, porque tudo é embasado em uma definição única.

 

  • A lei fortalece a criação de um novo profissional em TI. O DPO – Data Protection Officer, também conhecido como delegado de dados ou encarregado de dados, será o especialista em administrar o tratamento dos dados. Outra função do DPO é ser a conexão entre a organização e a futura Autoridade Nacional de Dados, atuando na interlocução deste relacionamento.

 

LGPD, GDPR e ISO 27001.

 

A Lei Geral de Proteção de Dados se aproxima bastante da GDPR, como apontado acima. Logo, da mesma que a ISO 27001 é útil para adequação às exigências da lei europeia, como mostra este infográfico, há muitos paralelos entre a lei brasileira e a padronização internacional de gerenciamento da segurança da informação. Certificar-se na ISO 27001 é mais do que um ponto de partida para a adequação à LGPD.

Por isso e junto a isso, contar com uma consultoria especializada em segurança da informação é uma tomada de decisão estratégica não apenas no processo de enquadramento e depois cumprimento da lei, sendo essencial para a demanda crescente e acelerada por uma gestão atenta aos riscos e às especificidades de um contexto cada vez mais digital e demandante de cibersegurança.

Sobre Helio Cordeiro

mm
Bacharel em sistemas de informação e MBA executivo internacional pela Fundação Instituto de Administração FIA, é executivo sênior em gestão e consultoria pela DARYUS. Possui mais de 15 anos de experiência em segurança da informação, tecnologia e inovação, incluindo engenharia de software, cyber security, governança, gestão de riscos e compliance, através de projetos realizados nos Estados Unidos, Europa e América Latina.

Confira tambem

GDPR: overview, riscos e segurança da informação.

GDPR: overview, riscos e segurança da informação.

GDPR: contexto e regulações anteriores. Para entender GDPR e suas implicações, é útil analisar o …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *