O que é LGPD?
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Vigência
Setembro de 2020
Sanções
Agosto de 2021
Por que sua empresa deve se adequar a LGPD?
Todas as empresas têm responsabilidade em relação à proteção e tratamento dos dados de seus colaboradores, clientes, fornecedores, independentemente de seu porte ou segmento de atuação. A LGPD traz obrigações quanto ao respeito aos princípios legais, tratamento dos dados, segurança e privacidade, armazenamento e direitos dos titulares de dados (por exemplo: o consentimento do titular dos dados para o compartilhamento e que estes dados pessoais possam ser corrigidos ou apagados).
Outro fator importante, diz respeito à aplicação de sanções/penalidades (aplicáveis a partir de Agosto/2021) às empresas que não se adequarem e tiverem os dados pessoais vazados, roubados ou utilizados indevidamente, ocasionando um grande impacto em sua confiança frente ao mercado e aos clientes.
A adequação à LGPD ainda é um diferencial e já está se tornando uma exigência de mercado
- Grandes empresas já tem exigido de seus fornecedores e parceiros que comprovem o atendimento aos requisitos da LGPD.
- Em algumas RFPs e licitações já existem exigências relacionadas à adequação à LGPD.
Se a sua empresa ainda não se adequou à Lei, inicie o quanto antes.
Motivações
Motivações para a criação da LGPD
“Dados são o novo Petróleo” (“Data is the new oil”) | Autor: “Clive Humby”
Essa frase tem sido cada vez mais percebida e repetida ao redor do mundo todo. A análise correta dos dados tem ajudado a alavancar negócios dos mais diversos segmentos da economia e gerar novos empregos (além de também causar a extinção de diversos deles).
A crescente importância do tratamento dos dados tem trazido uma grande preocupação em relação à segurança e adequada utilização dos dados, principalmente no que se refere aos dados pessoais.
Vários países tem criado leis para regulamentar o tratamento dos dados pessoais, sendo a principal referência atual a GDPR (General Data Protection Regulation), aprovada em 2016 pelo Parlamento Europeu que entrou em vigor em maio de 2018 na União Europeia.
A LGPD tem como objetivo regulamentar o tratamento dos dados no Brasil, tendo como uma de suas principais inspirações a GDPR.
Diversos incidentes de vazamentos de dados pessoais tem ocorrido nos últimos anos, como o caso da Cambridge Analytica, onde houve o vazamento de dados pessoais de milhões de usuários do Facebook.
Fundamentos
Respeito à privacidade
Autodeterminação informativa
Liberdade de expressão, de informação, de comunicação e de opinião
Inviolabilidade da intimidade, da honra e da imagem
Desenvolvimento econômico e tecnológico e a inovação
Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania
Livre iniciativa, a livre concorrência e a defesa do consumidor
Aplicabilidade
Como aplicar a LGPD
A Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados
I - a operação de tratamento seja realizada no território nacional
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Dados Pessoais e Princípios
O que são considerados dados pessoais?
Dado Pessoal - informação relacionada a pessoa natural identificada ou identificável.
Exemplos: nome, RG, CPF, data de nascimento, etc
Dado Pessoal Sensível:
- convicção religiosa
- origem racial ou étnica
- filosófico ou político
- dado genético ou biométrico
- quando vinculado a uma pessoa natural
- dado referente à saúde ou à vida sexual
- filiação a sindicato ou a organização de caráter religioso
Princípios
Finalidade
Adequação
Necessidade
Livre acesso
Qualidade dos dados
Transparência
Segurança
Prevenção
Não discriminação
Responsabilização e prestação de contas
Agentes

Titulares
Pessoas a quem se referem os dados pessoais que são objeto de tratamento

Controlador
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais

Encarregado (DPO - Data Protection Officer)
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD

Operador
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador

ANPD
Autoridade Nacional de Proteção de Dados Pessoais
Órgão da administração pública federal, integrante da Presidência da República , que tem como responsabilidades: zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções
Direitos do Titular
Acesso
Correção
Anonimização, bloqueio ou eliminação de dados desnecessários
Portabilidade
Eliminação
Revogação do consentimento
Informação de possibilidade de não consentimento e consequências
Informação de compartilhamento
Confirmação de tratamento
Requisitos/Bases Legais
Requisitos para tratamento dos dados pessoais
Consentimento
Interesses legítimos
Obrigação legal ou regulatória
Órgão de pesquisa
Administração pública
Proteção da vida
Saúde
Proteção de crédito
Processo judicial, administrativo ou arbitral
Contrato
Sanções/Penalidades
Sanções previstas na LGPD
Advertência, com indicação de prazo para adoção de medidas corretivas
Multa simples, de até 2% (dois por cento) do faturamento limitada a R$ 50 milhões por infração
Multa diária, observado o limite total
Publicização da infração
Bloqueio dos dados pessoais a que se refere a infração até a sua regularização
Eliminação dos dados pessoais a que se refere a infração
Parâmetros e critérios para aplicação das sanções
gravidade e a natureza das infrações
boa-fé do infrator
vantagem auferida ou pretendida pelo infrator
condição econômica do infrator
Reincidência
grau do dano
adoção de mecanismos e procedimentos internos para tratamento seguro e adequado de dados
adoção de política de boas práticas e governança
pronta adoção de medidas corretivas
proporcionalidade entre a gravidade da falta e a intensidade da sanção
LGPD com a ASR
A ASR pode auxiliá-lo a entender melhor o impacto da Lei Geral de Proteção de Dados Pessoais na sua empresa e orientá-lo no atendimento às suas exigências.
- Identificação de riscos e definição de planos de mitigação e contingência
- Definição de políticas, diretrizes, procedimentos, termos, acordos, etc
- Capacitação e conscientização de colaboradores
- Diagnóstico Inicial
- Relatório de Riscos de Segurança da Informação
- Plano de ações
- Palestra/ Workshop LGPD
- Consultoria
- Definição de processos
- Conscientização e institucionalização
- Documentação de políticas, diretrizes e procedimentos
- Avaliação de Monitoramento
As normas ISO/IEC 27001 e ISO/IEC 27701 são excelentes referências para estabelecimento de processos organizacionais alinhados aos principais requisitos da LGPD.
- ISO/IEC 27001- Sistemas de Gestão da Segurança da Informação
- ISO/IEC 27701 - Extensão da ISO/IEC 27001 e ISO/IEC 27002 para Gestão da Privacidade da Informação
LGPD e ISO27001
A LGPD exige que as organizações adotem medidas técnicas e organizacionais para o correto tratamento e proteção dos dados pessoais processados.
O SGSI tem a finalidade de manter a confidencialidade, a integridade e a disponibilidade de informações e combater possíveis ameaças e riscos.
Como a certificação ISO27001 pode ajudar a sua empresa a se adequar a LGPD?
Proteção dos dados pessoais tratados
Privacidade e segurança das informações
Garantia dos direitos dos titulares de dados
Melhoria contínua
Avaliação de riscos
Minimização do risco de vazamento de dados.
Reconhecimento no mercado
Confiança e satisfação dos clientes e parceiros
Processo de organização e crescimento da empresa
Kick-off
- Definição de escopo
- Cronograma macro
- Conscientização (Palestra LGPD)
Diagnóstico Inicial
Avaliação de riscos de Segurança
- Atributos: confidencialidade, integridade, disponibilidade
- Classificação: probabilidade e impacto
- Critérios: aceitação, mitigação, contingência
- Priorização
Planejamento
- Plano de ações
- Recursos humanos e materiais
- Cronograma
- Comunicação
- Indicadores




Implementação
Definição (consultoria) e formalização (documentação) de processos
- Políticas e diretrizes
- Termo de confidencialidade e sigilo
- Procedimentos
- Controles
Capacitação
Conscientização (treinamento) nos processos definidos
Avaliação de monitoramento
- Verificação de evidências
- Entrevistas com colaboradores
- Relatório de avaliação de riscos de segurança

Normas e modelos
ISO/IEC 27000
Sistema de Gestão da Segurança da Informação
ISO/IEC 27001 – Requisitos
ISO/IEC 27002 – Código de Prática para controles de Segurança
ISO/IEC 27003 – Diretrizes para implantação
ISO/IEC 27004 - Monitoramento, medição, análise e avaliação
ISO/IEC 27005 – Gestão de Riscos de Segurança da Informação