LGPD & GPDR (Legal & Technologies)
A Lei Geral de Proteção de Dados Pessoais (“LGPD”) foi promulgada no último dia 14 de agosto, estabelecendo um marco legal para a proteção da privacidade e dos dados pessoais no Brasil. A nova Lei prevê proteção específica à privacidade e aos dados pessoais dos cidadãos, determinando como as empresas, organizações e poder público deverão coletar, usar, processar e armazenar esses dados no desempenho de suas atividades.
Assim como a General Data Protection Regulation – GDPR, que entrou em vigor na União Europeia em 25 de maio deste ano e inspirou a redação da nova Lei, a LGPD representa uma mudança radical sobre a forma como a privacidade é tratada no Brasil. Isso porque a LGPD confere às pessoas físicas, chamadas de titulares de dados, maior controle e autonomia sobre seus dados pessoais, os quais somente poderão ser coletados, usados, processados e armazenados nos estritos limites das normas previstas na nova Lei, as quais estão em linha com os mais avançados padrões internacionais sobre o tema.
A LGPD entrará em vigor após 18 meses de sua promulgação, o que ocorrerá somente em 2020, de modo que as empresas e organizações públicas e privadas terão um prazo razoável para se adequarem às novas regras.
Resumidamente a IT Alliance junto com seus especialistas da área jurídica e de Processos identificou que a LGPD traz as seguintes inovações:
- Estabelece 10 hipóteses legais que autorizam o tratamento de dados, tais como o consentimento do titular, interesses legítimos do controlador (i.e., aquele a quem compete as decisões referentes ao tratamento de dados pessoais), para o cumprimento de obrigação legal ou regulatória, quando necessário para a execução de um contrato, dentre outras hipóteses;
- Critérios mais rígidos para o tratamento de dados pessoais sensíveis, definidos como sobre origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Estabelece princípios que deverão nortear as atividades de tratamento, tais como o da finalidade, que estabelece que os dados pessoais somente poderão ser tratados para propósitos legítimos, específicos, explícitos e informados ao titular, sem a possibilidade de tratamento posterior de maneira incompatível com essas finalidades;
- Direitos dos titulares de dados deverão ser observados, tais como o direito de acesso aos dados, de retificação, cancelamento ou exclusão dos dados, direito de oposição ao tratamento com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da Lei, direito de revogar o consentimento fornecido, os direitos de informação e de explicação sobre a utilização de seus dados, direito à portabilidade dos dados pessoais, dentre outros;
- Estabelece regras específicas para o tratamento de dados pessoais de crianças e adolescentes;
- Estabelece critérios bastante rígidos para a transferência internacional de dados pessoais;
- Cria a figura do “Encarregado de Proteção de Dados” (ou Data Protection Officer – DPO), que deverá ser nomeado pelas empresas, em determinadas circunstâncias, para ser o responsável por garantir a conformidade com a LGPD e com os atos administrativos da autoridade de proteção de dados. Pode ser um diretor, um gerente, um funcionário, ou até mesmo um escritório terceirizado, bastando que tenha autonomia para exercer suas funções;
- Estabelece um regime de responsabilização do controlador e operador de dados pessoais, o que exigirá uma definição muito clara, nos contratos firmados entre ambos, sobre as atividades a serem desempenhadas por cada um deles;
- Impõe a adoção de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
- Impõe uma obrigação de privacy by design ao estabelecer que as medidas de segurança visando à proteção de dados pessoais deverão ser observadas desde a fase de concepção do produto ou do serviço até sua execução.
- Incentiva os controladores e operadores a formular regras de boas práticas e de governança relacionados ao tratamento de dados;
- Estabelece a obrigatoriedade de comunicação, em prazo razoável, à autoridade de proteção de dados e aos titulares de dados, sobre a ocorrência de incidentes de segurança da informação que possam acarretar risco ou dano relevante aos titulares de dados pessoais;
- Previsão de sanções administrativas a serem impostas aos agentes de tratamento por eventuais infrações às normas da LGPD, incluindo multa de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitadas, no total a R$ 50.000.000,00 por infração.
Nossas Soluções
Com isso a IT Alliance oferece e disponibiliza para seus clientes os seguintes serviços e/ou soluções que permita ao cliente:
Proteção do dado fim-a-fim
Proteja dados confidenciais usando as principais soluções para oferecer conformidade de privacidade com usabilidade dos dados.
Descoberta, classificação e proteção de dados
Conheça seus dados, proteja o que é mais importante e use maneira segura com privacidade por padrão.
Tokenização/
Mascaramento
Substitua os dados reais por valores nulos ou por um valor alfanumérico gerado aleatoriamente.
Analise de Riscos e Detecção de Incidentes
Métodos e técnicas que aplicado a uma atividade identifica e avalia qualitativa e quantitativamente os riscos.
Armazenamento e segurança de dados
Contamos com mecanismos de segurança eficazes que conseguem construir o nível de proteção necessário.