Navegando pela LGPD do Brasil: Conformidade simplificada

O que é a LGPD do Brasil?

O LGPD (Lei Geral de Proteção de Dados), sigla em inglês para Lei Geral de Proteção de Dados, é uma regulamentação de privacidade promulgada no Brasil. Ela rege ativamente o processamento de dados pessoais, visando proteger os direitos dos indivíduos e garantir o tratamento adequado de suas informações.

A LGPD estabelece diretrizes claras para organizações e indivíduos que coletam, usam, armazenam ou processam dados pessoais no Brasil. Ela exige que eles obtenham o consentimento explícito dos indivíduos antes da coleta de seus dados e exige práticas transparentes em relação ao processamento de dados.

Quem deve cumprir?

A LGPD (Lei Geral de Proteção de Dados) do Brasil se aplica a diversas entidades e indivíduos envolvidos no tratamento de dados pessoais. A lei estabelece um amplo escopo, e as seguintes partes geralmente são obrigadas a cumprir a LGPD:

• Controladores: Qualquer pessoa física ou jurídica, pública ou privada, que determine as finalidades e os meios de tratamento de dados pessoais se enquadra na categoria de controladores. Os controladores são os principais responsáveis por garantir a conformidade com a LGPD.
• Processadores: Processadores são indivíduos ou organizações que processam dados pessoais em nome do controlador. Eles são obrigados a processar os dados de acordo com as instruções do controlador e a implementar as medidas de segurança necessárias.
• Titulares dos dados: Indivíduos cujos dados pessoais estão sendo processados têm direitos de privacidade garantidos pela LGPD. Eles têm o direito de exercer controle sobre seus dados e garantir seu processamento legal e transparente.
• Responsáveis pela Proteção de Dados (DPOs): Organizações que atendem a determinados critérios, como o processamento de dados em grande escala ou informações pessoais sensíveis, são obrigadas a nomear um Encarregado da Proteção de Dados. O DPO é responsável por supervisionar as atividades de proteção de dados e garantir a conformidade com a LGPD.
• Autoridade Nacional de Proteção de Dados (ANPD): A ANPD é a autoridade reguladora responsável por fiscalizar e aplicar a LGPD. Ela fornece diretrizes, promove a conscientização e impõe sanções em caso de descumprimento da lei.
• Prestadores de serviços: Os prestadores de serviços terceirizados que processam dados pessoais em nome de organizações (controladores) também são obrigados a cumprir a LGPD. Eles devem aderir aos mesmos padrões de privacidade e segurança que os controladores.

A LGPD se aplica tanto a entidades nacionais quanto estrangeiras que processam dados pessoais de indivíduos localizados no Brasil, desde que as atividades de processamento de dados estejam relacionadas à oferta de bens ou serviços a indivíduos no Brasil ou envolvam o processamento de dados coletados no Brasil.

No geral, a LGPD visa estabelecer uma estrutura abrangente para a proteção de dados pessoais, e seus requisitos de conformidade se estendem a diversas entidades envolvidas em atividades de processamento de dados.

O custo da violação

A LGPD impõe obrigações rigorosas a organizações e indivíduos que lidam com dados pessoais, e violações podem resultar em penalidades e consequências legais. A Autoridade Nacional de Proteção de Dados (ANPD) no Brasil é responsável por supervisionar o cumprimento da LGPD e investigar possíveis violações.

A LGPD estabelece diversas sanções que podem ser impostas a organizações ou indivíduos que as infrinjam. As possíveis penalidades incluem:

• Avisos: A Autoridade Nacional de Proteção de Dados (ANPD) pode emitir advertências a entidades que tenham cometido infrações menores ou como medida inicial para incentivar o cumprimento das normas. As advertências servem como uma oportunidade para o infrator retificar suas ações e cumprir a LGPD.
• Multas: A LGPD autoriza a ANPD a impor multas aos infratores. A multa máxima que pode ser imposta é de 2% do faturamento anual do infrator no Brasil, limitada a um total de 50 milhões de reais (BRL). O valor específico da multa depende de diversos fatores, como a natureza e a extensão da infração, o porte da organização e sua capacidade financeira.
• Suspensão do Processamento de Dados: Em casos graves de descumprimento, a ANPD pode determinar a suspensão temporária do tratamento de dados pessoais pelo infrator. Essa medida visa interromper as atividades de tratamento de dados até que a violação seja sanada e o cumprimento das normas seja assegurado.
• Proibição de Processamento de Dados: A ANPD tem autoridade para proibir totalmente o infrator de processar dados pessoais. Essa penalidade pode ser imposta se a violação for grave e representar riscos significativos aos direitos de privacidade dos indivíduos.
• Divulgação pública de violações: A ANPD pode divulgar publicamente a violação e a identidade do infrator após o devido processo legal. Essa medida visa conscientizar e desestimular o descumprimento da LGPD, expondo as ações do infrator.

É importante ressaltar que a ANPD tem o poder discricionário de determinar a penalidade apropriada com base nas circunstâncias de cada caso. A gravidade da violação, a cooperação da entidade com as autoridades e os esforços para retificar a não conformidade podem ser levados em consideração na determinação das penalidades.

Conheça seus direitos de privacidade

De acordo com a LGPD (Lei Geral de Proteção de Dados) do Brasil, os indivíduos têm diversos direitos de privacidade para proteger seus dados pessoais. Aqui estão os principais direitos de privacidade estabelecidos pela LGPD:

• Direito à Informação: Os indivíduos têm o direito de receber informações claras, transparentes e facilmente compreensíveis sobre as finalidades e métodos de processamento de dados.
• Direito de acesso: Os indivíduos podem solicitar acesso aos seus dados pessoais mantidos por organizações e receber informações detalhadas sobre como seus dados estão sendo processados.
• Direito de Retificação: Os indivíduos têm o direito de solicitar a correção de dados pessoais imprecisos ou desatualizados.
• Direito de exclusão: Os indivíduos podem solicitar a eliminação dos seus dados pessoais quando não forem mais necessários para os fins para os quais foram coletados, quando o consentimento for revogado ou quando o processamento de dados for ilegal.
• Direito à Portabilidade: Os indivíduos podem solicitar seus dados pessoais em um formato estruturado, comumente usado e legível por máquina, permitindo que eles os transmitam a outra organização.
• Direito à Restrição do Processamento: Os indivíduos podem solicitar a suspensão temporária do processamento de seus dados pessoais em determinadas circunstâncias, como quando a precisão dos dados é contestada.
• Direito de Objeção: Os indivíduos têm o direito de se opor ao processamento de seus dados pessoais, especialmente em casos de marketing direto ou processamento baseado em interesses legítimos.
• Direito ao Consentimento: Os indivíduos devem dar consentimento explícito e informadot antes que seus dados pessoais sejam coletados e processados. Eles têm o direito de revogar seu consentimento a qualquer momento.
• Direito à Portabilidade de Dados: Os indivíduos têm o direito de receber seus dados pessoais em um formato estruturado, comumente usado e legível por máquina, e de transmiti-los a outro controlador quando tecnicamente viável.
• Direito à Proteção: Os indivíduos têm o direito de que os seus dados pessoais sejam processados de forma segura e protegidos contra acesso não autorizado, perda ou divulgação.
• Direito à anonimização, bloqueio ou eliminação: Os indivíduos têm o direito de solicitar a anonimização, o bloqueio ou a exclusão de dados desnecessários ou excessivos.
• Direito de Reclamação: Indivíduos podem registrar reclamações junto à Autoridade Nacional de Proteção de Dados ou outras autoridades competentes caso acreditem que seus direitos de privacidade sob a LGPD foram violados.

Esses direitos de privacidade visam capacitar os indivíduos e dar a eles controle sobre seus dados pessoais, promovendo transparência, responsabilidade e proteção da privacidade nas atividades de processamento de dados.

Melhores práticas para atingir a conformidade

As empresas podem tomar medidas proativas para reduzir o risco de violar a LGPD (Lei Geral de Proteção de Dados) e garantir o cumprimento da lei. Aqui estão algumas medidas importantes que podem ser tomadas:

1. Entenda os requisitos da LGPD: As empresas devem se familiarizar completamente com as disposições e requisitos da LGPD. Isso inclui entender a definição de dados pessoais, os requisitos de consentimento, as bases legais para o processamento, os direitos dos titulares dos dados e as obrigações relativas à segurança de dados e à notificação de violações.
2. Realizar uma auditoria de dados: Realizar uma auditoria de dados abrangente para identifique e documente os dados pessoais que sua organização coleta, processa e armazena. Isso inclui a compreensão da finalidade da coleta de dados, a base legal para o processamento, retenção de dados períodos e quaisquer terceiros com quem os dados são compartilhados.
3. Atualizar Políticas de Privacidade e Avisos: Revise e atualize suas políticas de privacidade, avisos e mecanismos de consentimento para alinhá-los aos requisitos da LGPD. Garanta que sejam transparentes, concisos e acessíveis aos titulares dos dados, fornecendo informações claras sobre como seus dados pessoais são coletados, utilizados e protegidos.
4. Implementar processos de direitos dos titulares de dados: Estabelecer processos e procedimentos para atender efetivamente aos direitos dos titulares de dados, como solicitações de acesso, retificação, exclusão e portabilidade de dados. Desenvolver mecanismos para verificar a identidade dos titulares de dados e responder a essas solicitações dentro dos prazos especificados pela LGPD.
5. Obtenha o consentimento adequado: Certifique-se de ter obtido o consentimento válido e explícito dos titulares dos dados antes de processar seus dados pessoais. Implemente mecanismos para registrar e gerenciar o consentimento, permitindo que os indivíduos o retirem, se desejarem.
6. Implementar medidas de segurança: Estabeleça medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, perda ou divulgação. Implemente criptografia, controles de acesso, backups regulares de dados e outras medidas de segurança com base na sensibilidade dos dados processados.
7. Treinar funcionários: Realize treinamentos regulares para educar os funcionários sobre suas responsabilidades perante a LGPD, incluindo práticas de tratamento de dados, protocolos de segurança e como lidar com solicitações de titulares de dados. Promova uma cultura de privacidade e proteção de dados em toda a organização.
8. Realizar a devida diligência do fornecedor: Revisar e atualizar contratos com fornecedores e prestadores de serviços terceirizados para garantir que estejam em conformidade com os requisitos da LGPD. Implementar medidas para garantir que as transferências de dados para terceiros sejam realizadas de forma segura e legal.
9. Estabelecer processos de Avaliação de Impacto à Proteção de Dados (DPIA): Identificar atividades de processamento de dados de alto risco e realizar Avaliações de Impacto à Proteção de Dados (AIPDs) para avaliar e mitigar riscos à privacidade. Implementar as salvaguardas necessárias para lidar com os riscos identificados.
10. Estabelecer um Plano de Resposta a Incidentes: Desenvolver um plano de resposta a incidentes para lidar eficazmente com violações de dados ou incidentes envolvendo dados pessoais. Isso inclui a detecção, contenção, investigação e notificação oportunas de violações de dados às autoridades competentes e aos titulares dos dados afetados.

Abordagem da BigID para a conformidade com a LGPD no Brasil

BigID é um plataforma de inteligência de dados para privacidade, segurançae governança que auxilia empresas a cumprir a regulamentação da LGPD (Lei Geral de Proteção de Dados) do Brasil. A BigID pode ajudar das seguintes maneiras:

• Descoberta e inventário de dados: Suíte de Privacidade da BigID descobre e mapeia dados pessoais em todos os sistemas e repositórios de dados da sua organização. Ele verifica e identifica automaticamente os dados pessoais, criando um inventário abrangente dos ativos de dados. Isso permite uma melhor compreensão de quais dados pessoais você possui e onde eles estão localizados — um componente crucial para a conformidade com a LGPD.
• Gestão dos direitos do titular dos dados: Aplicativo de exclusão de dados da BigID Agiliza a gestão dos direitos dos titulares dos dados, como solicitações de acesso, retificação, exclusão e portabilidade de dados. Ajuda a automatizar o processo de tratamento dessas solicitações, garantindo respostas em tempo hábil e em conformidade.
• Gestão de Consentimento: O aplicativo Consent Governance da BigID captura, gerencia e rastreia o consentimento do titular dos dados. Isso permite que sua organização obtenha e documente o consentimento explícito para atividades de tratamento de dados, mantendo um registro auditável do consentimento. Isso atende à exigência da LGPD de consentimento válido e informado.
• Minimização e retenção de dados: Aplicativo de retenção de dados da BigID aplica princípios de minimização de dados, identificando e categorizando dados pessoais desnecessários ou excessivos. Auxilia na definição de períodos adequados de retenção de dados e na implementação de políticas para gerenciar a retenção e o descarte de dados. Isso está em conformidade com as disposições da LGPD sobre minimização e retenção de dados.
• Avaliação de risco de privacidade: O Aplicativo de automação PIA Oferece recursos de avaliação de risco de privacidade para avaliar e gerenciar riscos de privacidade associados a atividades de tratamento de dados pessoais. Ajuda a identificar práticas de tratamento de dados de alto risco, permitindo que as organizações implementem as salvaguardas necessárias e mitiguem riscos. Isso está em conformidade com a exigência da LGPD para a realização de Avaliações de Impacto à Proteção de Dados (AIPDs).
• Preparação e resposta a violações de dados: O aplicativo Breached Data Investigation da BigID auxilia organizações na preparação e resposta a violações de dados. Ele ajuda a detectar e investigar violações de dados, facilitando a resposta rápida a incidentes e a notificação às autoridades competentes e aos titulares dos dados afetados. Esse recurso atende aos requisitos da LGPD para detecção e notificação oportunas de violações.
• Controles automatizados de proteção de dados: O BigID fornece controles automatizados de proteção de dados para aplicar controles de acesso a dados, criptografia de dados e outras medidas de segurança. Ajuda as organizações a implementar salvaguardas técnicas e organizacionais para proteger dados pessoais, o que é crucial para a conformidade com a LGPD.
• Relatórios e análises: O BigID oferece recursos abrangentes de relatórios e análises, fornecendo às organizações insights sobre sua postura em relação à privacidade de dados. Ajuda a gerar relatórios de conformidade, monitorar métricas de privacidade e acompanhar indicadores-chave de desempenho relacionados à conformidade com a LGPD.

Obtenha uma demonstração gratuita 1:1 para saber mais sobre como o BigID pode ajudar sua organização a atingir a conformidade com a LGPD e todas as suas iniciativas de privacidade.

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.