Para os responsáveis pela privacidade que estiveram bastante ocupados neste verão com o Entrada em vigor da Lei de Privacidade do Consumidor da Califórnia (CCPA) em 1º de julho., seguido pelo invalidação repentina do Privacy Shield Algumas semanas depois, a Lei Geral de Proteção de Dados brasileira (Lei Geral de Proteção de Dados ou LGPD) entrando em vigor é uma terceira surpresa.
Apesar do decreto do presidente brasileiro Jair Bolsonaro para adiar a entrada em vigor da LGPD para o final do ano — e da aprovação do adiamento pelo Congresso Nacional — a O Senado brasileiro acabou por anular o atraso., colocando a lei em vigor em 10 de setembro.
Como alcançar a conformidade com a LGPD
A LGPD apresenta uma série de desafios práticos para o cumprimento das normas. O primeiro é a necessidade de descoberta mais profunda. As abordagens tradicionais para a descoberta de dados não identificam de forma consistente dados pessoais e dados sensíveis para fins de processamento.
Uma definição ampliada de dados pessoais sob a LGPD exige que as empresas sejam capazes de vincular e vincular automaticamente classificar dados — e compreender como os identificadores se relacionam entre si com base em medidas como a proximidade.
Além disso, os novos direitos de dados da lei criam uma necessidade ainda maior para que as empresas entendam os dados em contexto, de modo a processá-los adequadamente, facilitar os requisitos de retificação e eliminação e ter a capacidade de criar políticas que estejam em consonância com o conjunto rigoroso de bases legais para o processamento dos dados.
Os novos requisitos de retenção da LGPD criam a necessidade de definir limites internos. políticas de retenção de dados que as empresas podem usar imediatamente — incluindo dados coletados por meio de um serviço online — e também conseguem identificar dados duplicados e redundantes, o que amplia no espaço de governança de dados.
Com o BigID, as empresas podem se antecipar a esses desafios por meio de:
- Conhecendo seus dadosCombinar a identificação de dados pessoais e a classificação de dados sensíveis.
- Entender a quem pertencem os dados.: Contextualizar dados com criação de perfis de identidade e indexação de dados que abrangem dados pessoais e dados sensíveis.
- Etiquetagem e rotulagem de dados para fins legais: Assegurar que os dados estão sendo processados de acordo com as bases legais definidas pela lei.
- Minimizar dados duplicados ou sensíveis: Ative a minimização de dados com identificação de duplicados e aplique regras de retenção com base na finalidade divulgada.
- Gerenciando o risco de dados: Descubra, classifique e mapeie as credenciais do usuário para aplicar controles de redução de risco de violação de dados.
- Automatizar o cumprimento dos direitos de acesso a dadosAutomatizar o atendimento manual de solicitações individuais de acesso e exclusão de dados.
- Relatar de quem são os dados que eles possuem.: Habilite fluxos de trabalho de correção e valide se os dados sensíveis estão sendo capturados.
- Detecção de transferências de dados transfronteiriças que violem as políticas estabelecidas.Monitorar violações de acesso, uso e transferência de dados em toda a organização para ação imediata.
As diferenças entre LGPD e GDPR
Âmbito Territorial
Semelhante a como o Regulamento Geral de Proteção de Dados da UE (RGPD) protege os dados dos residentes da UE, LGPD Aplica obrigações de proteção de dados a qualquer empresa — pública ou privada, que opere online ou offline — que processe dados pessoais de residentes brasileiros, independentemente de onde a empresa esteja localizada.
Dados pessoais e dados pessoais sensíveis
As leis usam terminologia semelhante para se referir a “Controladores” e “processadores” de dados e são praticamente idênticas na forma como definem dados pessoais como “informações relacionadas a uma pessoa singular identificada ou identificável”.
Em outras palavras, dados pessoais, tanto segundo o RGPD quanto a LGPD, incluem dados que identificam diretamente um indivíduo ou que tornam um indivíduo identificável. Dados anonimizados não se enquadram expressamente no âmbito de aplicação do RGPD ou da LGPD.
Embora a LGPD também inclua uma definição semelhante de “dados pessoais sensíveis”, como a GDPR, a lei brasileira estabelece um conjunto de requisitos mais rigorosos e reduz o número de bases legais disponíveis para qualquer tratamento desse tipo de dado.
Fundamentos jurídicos para o tratamento de dados pessoais
O RGPD estabelece seis bases legais para o tratamento de dados pessoais não sensíveis — e a LGPD respeita todas elas, além de acrescentar mais quatro, expandindo efetivamente as condições sob as quais o tratamento pode ser autorizado.
As bases legais da LGPD também estipuladas pelo GDPR incluem:
- consentimento dos proprietários dos dados
- cumprir uma obrigação legal
- fazer cumprir regulamentos ou políticas públicas de acordo com a lei.
- Para proteger a vida ou a saúde de alguém.
- se necessário para a execução de um contrato
- para atender aos interesses legítimos do controlador ou de terceiros.
As novas bases legais estipuladas pela LGPD incluem:
- Para fins de pesquisa, os dados fornecidos são anonimizados.
- para proteção de crédito
- para fins de assistência médica por profissionais e entidades de saúde
- Para fazer valer os direitos em processos judiciais ou administrativos.
Prazos para retenção de dados
Assim como no GDPR, as empresas só podem reter dados pessoais enquanto uma dessas bases legais que permitem seu processamento estiver em vigor.
Se uma empresa opera no Brasil e oferece serviços online, precisa cumprir as obrigações de retenção de dados previstas na Lei da Internet. Isso significa que as empresas devem manter os registros de acesso a aplicativos de internet — incluindo o endereço IP do usuário — armazenados por um período de seis meses em um ambiente seguro.
Direitos do titular dos dados da LGPD
A LGPD oferece uma série de direitos dos titulares dos dados Com relação aos seus dados pessoais, os controladores de dados são legalmente responsáveis por garantir aos titulares dos dados a possibilidade de exercerem esses direitos, e os processadores de dados também podem receber uma solicitação dos titulares dos dados para garantir o exercício de seus direitos.
Os direitos do titular dos dados sobre seus dados pessoais incluem o direito a:
- Confirmar a existência de dados pessoais sendo processados.
- acessar os dados pessoais
- retificar dados incompletos, imprecisos ou desatualizados
- eliminar dados pessoais desnecessários, excessivos ou que não estejam em conformidade com as normas.
- Solicitamos expressamente que os dados sejam portáteis para outro serviço ou provedor.
- Apagar quaisquer dados pessoais processados com base no consentimento do titular dos dados.
- Seja informado sobre terceiros com quem os dados são compartilhados.
- Ser informado sobre a possibilidade de recusar o consentimento — e as consequências dessa recusa.
- retirar o consentimento
- Solicitar uma revisão da tomada de decisão automatizada.
Na UE, de acordo com o RGPD, as empresas devem responder aos pedidos de acesso aos dados pessoais (DSARs) no prazo de um mês, com algumas exceções para pedidos mais complexos, mas o prazo da LGPD é metade disso, de 15 dias. A LGPD também exige imediato resposta a outros pedidos do titular dos dados, além do acesso.
Transferências transfronteiriças
A lei também inclui restrições à transferência transfronteiriça de dados para países terceiros que garantam um nível adequado de proteção. Até o momento, não há clareza sobre quais países estão incluídos ou quais salvaguardas apropriadas — como Cláusulas Contratuais Padrão ou regras corporativas vinculativas — nas quais as empresas podem confiar.
A premissa é que, como a LGPD é amplamente inspirada no GDPR, é provável que os países da União Europeia sejam considerados adequados.
Data e agência de aplicação da lei do LGPD, ANPD
Embora as disposições da LGPD referentes a penalidades só entrem em vigor em 1º de agosto de 2021, os brasileiros têm o direito de buscar reparação caso considerem ter sofrido danos em decorrência de uma violação da lei. Assim como nos EUA, o Brasil é considerado um país litigioso — entre advogados de demandantes e mais de 900 promotores, provavelmente veremos muitas ações cíveis movidas tanto por particulares quanto pelo público.
O presidente Bolsonaro já aprovou uma estrutura regulatória e um marco para o estabelecimento de um Autoridade Brasileira de Proteção de Dados (a “ANPD”), que tem a função de supervisionar as medidas de proteção de dados pessoais, desenvolver diretrizes relevantes e investigar e aplicar a lei.
Encarregados da Proteção de Dados
O papel dos encarregados da proteção de dados (DPOs) sob o RGPD é mais rigoroso do que sob a LGPD. Enquanto o RGPD especifica certas condições sob as quais as organizações devem nomear um DPO, a LGPD não contém tal especificação, estipulando de forma mais ampla que “o controlador deve nomear um encarregado para ficar responsável pelo tratamento dos dados”.
Isso sugere que, embora as organizações sujeitas à LGPD sejam obrigadas a nomear um DPO, suas diversas funções e a relativa independência em relação ao escritório de privacidade não estão claras. Espera-se que esclarecimentos surjam à medida que a ANPD desenvolva mais diretrizes e controles; resta saber se isso ocorrerá.
Penalidades por violação do LGPD
A LGPD acarreta pesadas sanções, além da responsabilidade civil, como multas de até 2% do faturamento bruto da empresa no Brasil no exercício fiscal anterior, suspensão temporária da capacidade da empresa de utilizar dados pessoais, suspensão parcial ou total do banco de dados e suspensão das atividades comerciais.
Consequentemente, qualquer organização que processe dados pessoais de residentes brasileiros deve garantir que esteja em conformidade com as leis aplicáveis. conformidade com a LGPD e preste muita atenção a quaisquer orientações emitidas pelos órgãos reguladores nos próximos meses.
Veja como o BigID pode ajudar. Você garante a conformidade da sua organização com a LGPD para que você possa, como diz o ditado brasileiro, fique tranquilo.
Autor
