O que é LGPD?

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Vigência

Setembro de 2020

Sanções

Agosto de 2021

Por que sua empresa deve se adequar a LGPD?

As empresas precisam se adequar à Lei imediatamente, a lei vale para todos os que lidam com dados, portanto, contempla desde os microempreendedores individuais (MEI) até empresas multinacionais que atuam em território brasileiro. Por conta disso qualquer empresa que faz uso de dados precisa estar por dentro da novidade e se adequar. E, mesmo sem tratar os dados, é necessário anunciar aos consumidores a razão pela qual as informações são coletadas - e, além disso, garantir o armazenamento seguro de todas essas informações.

Empresas que tiverem problemas relacionados à quebra de privacidade de dados pessoais (ex: vazamento, utilização indevida) já estão sendo multadas em função de outras leis (ex: Código de Defesa do Consumidor), resoluções e circulares setoriais (ex: BACEN, ANVISA, etc).

A adequação à LGPD ainda é um diferencial e já está se tornando uma exigência de mercado

  • Grandes empresas já tem exigido de seus fornecedores e parceiros que comprovem o atendimento aos requisitos da LGPD.
  • Em algumas RFPs e licitações já existem exigências relacionadas à adequação à LGPD.

Se a sua empresa ainda não se adequou à Lei, inicie o quanto antes.

Motivações

Motivações para a criação da LGPD

Dados são o novo Petróleo” (“Data is the new oil”)

Clive Humby

Essa frase tem sido cada vez mais percebida e repetida ao redor do mundo todo. A análise correta dos dados tem ajudado a alavancar negócios dos mais diversos segmentos da economia e gerar novos empregos (além de também causar a extinção de diversos deles).

A crescente importância do tratamento dos dados tem trazido uma grande preocupação em relação à segurança e adequada utilização dos dados, principalmente no que se refere aos dados pessoais.


Diversos incidentes de vazamentos de dados pessoais tem ocorrido nos últimos anos, como o caso da Cambridge Analytica, onde houve o vazamento de dados pessoais de milhões de usuários do Facebook.


Vários países tem criado leis para regulamentar o tratamento dos dados pessoais, sendo a principal referência atual a GDPR (General Data Protection Regulation), aprovada em 2016 pelo Parlamento Europeu que entrou em vigor em maio de 2018 na União Europeia.

A LGPD tem como objetivo regulamentar o tratamento dos dados no Brasil, tendo como uma de suas principais inspirações a GDPR.

Aplicabilidade

Como aplicar a LGPD

A Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados

I - a operação de tratamento seja realizada no território nacional

II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;

III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Sanções

Sanções previstas na LGPD

Advertência, com indicação de prazo para adoção de medidas corretivas

Multa simples, de até 2% (dois por cento) do faturamento limitada a R$ 50 milhões por infração

Multa diária, observado o limite total

Publicização da infração

Bloqueio dos dados pessoais a que se refere a infração até a sua regularização

Eliminação dos dados pessoais a que se refere a infração

Parâmetros e critérios para aplicação das sanções

gravidade e a natureza das infrações

boa-fé do infrator

vantagem auferida ou pretendida pelo infrator

condição econômica do infrator

Reincidência

grau do dano

adoção de mecanismos e procedimentos internos para tratamento seguro e adequado de dados

adoção de política de boas práticas e governança

pronta adoção de medidas corretivas

proporcionalidade entre a gravidade da falta e a intensidade da sanção

Dados Pessoais

O que são considerados dados pessoais?

Dado Pessoal - informação relacionada a pessoa natural identificada ou identificável.

Dado Pessoal Sensível:

  • convicção religiosa
  • origem racial ou étnica
  • filosófico ou político
  • dado genético ou biométrico
  • quando vinculado a uma pessoa natural
  • dado referente à saúde ou à vida sexual
  • filiação a sindicato ou a organização de caráter religioso

Princípios

Finalidade

Adequação

Necessidade

Livre acesso

Qualidade dos dados

Transparência

Segurança

Prevenção

Não discriminação

Responsabilização e prestação de contas

Requisitos

Requisitos para tratamento dos dados pessoais

Consentimento

Interesses legítimos

Obrigação legal ou regulatória

Órgão de pesquisa

Administração pública

Proteção da vida

Saúde

Proteção de crédito

Processo judicial, administrativo ou arbitral

Contrato

Direitos do Titular

Agentes

Processos Organizacionais

LGPD e os Processos Organizacionais

Adequação de Processos à

Normas e modelos

ISO/IEC 27000

Sistema de Gestão da Segurança da Informação

ISO/IEC 27001 – Requisitos

ISO/IEC 27002 – Código de Prática para controles de Segurança

ISO/IEC 27003 – Diretrizes para implantação

ISO/IEC 27004 - Monitoramento, medição, análise e avaliação

ISO/IEC 27005 – Gestão de Riscos de Segurança da Informação

Control Objectives for Information and related Technology

ABNT NBR ISO/IEC 38500

Governança da TI para a organização

ISO19600

Sistemas de Gestão de Compliance

ABNT NBR ISO31000

Gestão de Riscos – Diretrizes

ABNT NBR ISO/IEC 37001

Sistemas de Gestão Antissuborno

LGPD com a ASR

A ASR pode auxiliá-lo a entender melhor o impacto da Lei Geral de Proteção de Dados Pessoais na sua empresa e orientá-lo no atendimento às suas exigências.

  • Identificação de riscos e definição de planos de mitigação e contingência
  • Definição de políticas, diretrizes, procedimentos, termos, acordos, etc
  • Capacitação e conscientização de colaboradores
  • Diagnóstico Inicial
  • Relatório de Riscos de Segurança da Informação
  • Plano de ações
  • Palestra/ Workshop LGPD
  • Consultoria
  • Definição de processos
  • Conscientização e institucionalização
  • Documentação de políticas, diretrizes e procedimentos
  • Avaliação de Monitoramento

Kick-off

  • Definição de escopo
  • Cronograma macro
  • Conscientização (Palestra LGPD)

Diagnóstico Inicial

Avaliação de riscos de Segurança

  • Atributos: confidencialidade, integridade, disponibilidade
  • Classificação: probabilidade e impacto
  • Critérios: aceitação, mitigação, contingência
  • Priorização

Planejamento

  • Plano de ações
  • Recursos humanos e materiais
  • Cronograma
  • Comunicação
  • Indicadores

Implementação

Definição (consultoria) e formalização (documentação) de processos

  • Políticas e diretrizes
  • Termo de confidencialidade e sigilo
  • Procedimentos
  • Controles

Capacitação

Conscientização (treinamento) nos processos definidos

Avaliação de monitoramento

  • Verificação de evidências
  • Entrevistas com colaboradores
  • Relatório de avaliação de riscos de segurança