Antes de começarmos a falar sobre LBGP, precisamos entender o que ela é para que serve.
O que é LGPD
A LGPD é a Lei geral de proteção de dados(13.709/2018) foi aprovada em 2018. Porém, só entrou em vigor em setembro de 2020. Essa lei tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Essa lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específico. Por exemplo, dados pessoais sensíveis e dados de crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no meio digital, estão sujeitos a regulação.
Além disso, a LGPD estabelece que não importa se a sede de uma organização ou centro de dados dela estão localizadas no Brasil ou no exterior. Se há um processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada.
Entendendo o que é LGPD vamos ver onde ela se aplica!
LGPD para que serve
É preciso primeiro entender o que a LGPD protege, falamos um pouco sobre mais acima, mas agora vamos descer de fato no que a LGPD protege a sua empresa. A lei se refere a dados pessoais.
É considerado dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável, como nome, email, endereço, número de IP, placa do carro, etc.
A LGPD exige que esses dados sejam pertinentes e limitados às finalidades para os quais são tratados.
Além disso, deve-se buscar a limitação ao uso mínimo necessário, o que costuma ir contra o objetivo das empresas, que buscam maximizar o uso dos dados que possui.
Vale a pena relembrar que a lei se aplica independentemente do meio de operação do tratamento dos dados, então tanto dados digitais quanto dados físicos devem ser adequados à LGPD.
O que significa anonimizar os dados
Todo dado armazenado pela empresa deve ser anonimizado. Ou seja, deve-se usar os meios disponíveis no momento do tratamento para impedir a possibilidade de associações direta ou indireta a um indivíduo específico.
Dado anomizado (art. 12): Dado relativo a titular que não possa ser identificado, considerado a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Quais situações permitem o tratamento de dados pessoais
O primeiro ponto da lei é a transparência: deve-se informar ao titular com exatidão e clareza qual a finalidade do armazenamento dos dados – e não utilizar esses dados para um fim não autorizado. No entanto, a LGPD não se baseia apenas no consentimento do titular. Ela também prevê que os dados podem ser tratados sem problemas nas seguintes hipóteses:
- Cumprimento de obrigação legal ou regulatória
- Execução de políticas públicas
- Realização de estudos por órgãos de pesquisa
- Execução de contrato
- Exercício regular de direitos, processos judicial ou administrativo
- proteção de crédito
O que fazer em caso de vazamento de dados
A lei prevê os deveres da empresa em caso de incidentes de segurança ou violação de dados pessoais, como roubo de um pendrive, hack do sistema, perda do controle sobre a base, vazamento de informações, ransomware, entre outros.
É obrigação da empresa notificar dentro de um prazo razoável a Autoridade Nacional e o titular dos dados sobre o ocorrido. Esse período não é especificado, mas deve ser justificado pela empresa. A comunicação deve também conter os seguintes itens:
- A natureza dos dados afetados
- Informações sobre os titulares envolvidos
- As medidas técnicas e de segurança utilizadas para proteção dos dados
- Os riscos relacionados ao incidente
- O motivo do prazo de notificação, quando não for imediato
- E as medidas para reverter ou mitigar o prejuízo
Quais as punições pelo descumprimento da LGPD?
As sanções previstas na lei vão desde advertências até multa e suspensão total do funcionamento do banco de dados. As multas podem ser do tipo simples(de até 2% do faturamento da empresa, podendo chegar a R$50 milhões por infração) ou podem ser multas diárias, recorrentes até que a situação seja corrigida.
Os parâmetros que serão usados para definir o peso da sanção envolvem:
- Uma avaliação da gravidade e reincidência do incidente
- A boa-fé e a cooperação da empresa
- A demonstração de que existiam mecanismos e procedimentos de segurança
Agora ficou mais fácil de proteger sua empresa, né?
Se você gostou desse conteúdo, continue lendo os artigos do nosso blog!
