Para os responsáveis pela privacidade que estiveram ocupados neste verão com a Aplicação da Lei de Privacidade do Consumidor da Califórnia (CCPA) em 1º de julho, seguido pelo invalidação repentina do Escudo de Privacidade algumas semanas depois, a Lei Geral de Proteção de Dados (Lei Geral de Proteção de Dados ou LGPD) entrando em vigor é uma terceira surpresa.
Apesar do decreto do presidente Jair Bolsonaro ter adiado a entrada em vigor da LGPD para o final do ano — e da aprovação do adiamento pelo Congresso Nacional — a Senado brasileiro finalmente anulou o atraso, colocando a lei em vigor em 10 de setembro.
Como alcançar a conformidade com a LGPD
A LGPD apresenta uma série de desafios práticos para a conformidade. O primeiro é a necessidade de descoberta mais profunda. As abordagens tradicionais para descoberta de dados não identificam consistentemente dados pessoais e dados confidenciais para fins de processamento.
Uma definição ampliada de dados pessoais sob a LGPD exige que as empresas sejam capazes de vincular e classificar dados — e entender como os identificadores estão relacionados entre si com base em medidas como proximidade.
Além disso, os novos direitos de dados da lei criam uma necessidade mais profunda para que as empresas entendam os dados em contexto para que possam processá-los adequadamente, facilitar os requisitos de retificação e exclusão e ter a capacidade de criar políticas que estejam em sintonia com o conjunto rigoroso de bases legais para o processamento de dados.
Os novos requisitos de retenção sob a LGPD criam a necessidade de definir políticas de retenção de dados que as empresas podem tomar medidas imediatas — incluindo dados coletados por meio de um serviço online — ao mesmo tempo em que conseguem identificar dados duplicados e redundantes, o que se estende no espaço de governança de dados.
Com o BigID, as empresas podem superar esses desafios:
- Conhecendo seus dados: Combinar a identificação de dados pessoais e a classificação de dados sensíveis.
- Entendendo de quem são os dados: Contextualize dados com criação de perfil de identidade e indexação de dados que abrangem dados pessoais e confidenciais.
- Marcação e rotulagem de dados para fins legais: Garantir que os dados estejam sendo processados de acordo com as bases legais definidas pela lei.
- Minimizar dados duplicados ou sensíveis: Habilite a minimização de dados com identificação duplicada e aplique regras de retenção com base em uma finalidade divulgada.
- Gerenciando risco de dados: Descubra, classifique e mapeie credenciais de usuários para aplicar controles para redução de risco de violação.
- Automatizando o cumprimento dos direitos de acesso aos dados: Automatize o atendimento manual de solicitações individuais de acesso e exclusão de dados.
- Relatando de quem são os dados que eles possuem: Habilite fluxos de trabalho de correção e valide se os dados confidenciais estão sendo capturados.
- Detecção de transferências de dados transfronteiriças fora das políticas: Rastreie violações de acesso, uso e transferência de dados em toda a organização para tomar medidas imediatas.
As diferenças entre LGPD e GDPR
Âmbito Territorial
Semelhante a como o Regulamento Geral de Proteção de Dados da UE (GDPR) protege os dados dos residentes da UE, LGPD aplica obrigações de proteção de dados a qualquer empresa — pública ou privada, operando online e offline — que processe dados pessoais de residentes brasileiros, independentemente de onde a empresa esteja localizada.
Dados Pessoais e Dados Pessoais Sensíveis
As leis usam terminologia semelhante para se referir a “controladores” e “processadores” de dados, e são quase idênticos na forma como definem dados pessoais como “informações relacionadas a uma pessoa física identificada ou identificável”.
Em outras palavras, dados pessoais, tanto no âmbito do GDPR quanto da LGPD, incluem dados que identificam diretamente um indivíduo ou que o tornam identificável. Dados anonimizados não se enquadram expressamente no escopo do GDPR ou da LGPD.
Embora a LGPD também inclua uma definição semelhante de “dados pessoais sensíveis”, como o GDPR, a lei brasileira estabelece um conjunto mais rigoroso de requisitos e reduz o número de bases legais disponíveis para qualquer processamento desse tipo de dado.
Fundamentos legais para o processamento de dados pessoais
O GDPR estabelece seis bases legais para o processamento de dados pessoais não sensíveis — e a LGPD mantém todas elas, além de adicionar mais quatro, expandindo efetivamente as condições sob as quais o processamento pode ser autorizado.
As bases legais da LGPD também estipuladas pelo GDPR incluem:
- consentimento dos proprietários dos dados
- para cumprir uma obrigação legal
- para fazer cumprir regulamentos ou políticas públicas sob lei
- para proteger a vida ou a saúde de alguém
- se necessário para a execução de um contrato
- para atender a interesses legítimos do controlador ou de terceiros
As novas bases legais estipuladas pela LGPD incluem:
- para fins de pesquisa, desde que os dados sejam anonimizados
- para proteção de crédito
- para fins de assistência médica por profissionais e entidades de saúde
- para fazer valer direitos em processos judiciais ou administrativos
Prazos para retenção de dados
Semelhante ao GDPR, as empresas só podem reter dados pessoais enquanto uma dessas bases legais que permitem seu processamento estiver em vigor.
Se uma empresa opera no Brasil e oferece serviços online, ela precisa cumprir as obrigações de retenção de dados estabelecidas na Lei da Internet. Isso significa que as empresas devem manter os registros de acesso a aplicações de internet — incluindo o endereço IP do usuário — armazenados por um período de seis meses em um ambiente seguro.
Direitos do Titular dos Dados LGPD
A LGPD prevê uma série de direitos dos titulares dos dados no que diz respeito aos seus dados pessoais. Os controladores de dados são legalmente responsáveis por garantir aos titulares a capacidade de exercer esses direitos, e os processadores de dados também podem receber uma solicitação dos titulares dos dados para garantir o exercício de seus direitos.
Os direitos do titular dos dados sobre seus dados pessoais incluem o direito de:
- confirmar a existência de dados pessoais que estão sendo processados
- acessar os dados pessoais
- retificar dados incompletos, imprecisos ou desatualizados
- eliminar dados pessoais desnecessários, excessivos ou não conformes
- solicitar expressamente que os dados sejam portáteis para outro serviço ou provedor
- apagar quaisquer dados pessoais processados com o consentimento do titular dos dados
- ser informado sobre terceiros com quem os dados são compartilhados
- ser informado sobre a possibilidade de recusar o consentimento — e as consequências dessa recusa
- retirar o consentimento
- solicitar uma revisão da tomada de decisão automatizada
Na UE, de acordo com o GDPR, as empresas devem responder às solicitações de acesso de titulares de dados (DSARs) no prazo de um mês, com algumas tolerâncias para solicitações mais complexas. No entanto, o prazo da LGPD é a metade desse prazo, ou seja, 15 dias. A LGPD também exige imediato resposta a outras solicitações do titular dos dados, além do acesso.
Transferências Transfronteiriças
A lei também inclui restrições à transferência transfronteiriça de dados para países terceiros que garantam um nível adequado de proteção. Até o momento, não há clareza sobre quais países incluem ou quais salvaguardas apropriadas — como Cláusulas contratuais padrão ou regras corporativas vinculativas — nas quais as empresas podem confiar.
A suposição é que, como a LGPD é amplamente inspirada no GDPR, é provável que países da União Europeia sejam considerados adequados.
Data e Agência de Aplicação da LGPD, ANPD
Embora as disposições da LGPD que tratam de penalidades só entrem em vigor em 1º de agosto de 2021, os brasileiros têm o direito de buscar reparação caso se considerem prejudicados por uma violação da lei. Assim como os EUA, o Brasil é considerado uma sociedade litigiosa — entre advogados de defesa e mais de 900 promotores, provavelmente veremos muitas ações cíveis movidas em nome de litigantes privados e do público.
O presidente Bolsonaro já aprovou uma estrutura e um marco regulatório para o estabelecimento de uma Autoridade Brasileira de Proteção de Dados (a “ANPD”), que tem como tarefa supervisionar medidas de proteção de dados pessoais, desenvolver diretrizes relevantes e investigar e aplicar a lei.
Responsáveis pela Proteção de Dados
O papel dos encarregados da proteção de dados (DPOs) no GDPR é mais rigoroso do que na LGPD. Embora o GDPR especifique certas condições sob as quais as organizações devem nomear um DPO, a LGPD não contém tal especificação, estipulando de forma mais ampla que "o controlador deverá nomear um encarregado do tratamento de dados".
Isso sugere que, embora as organizações sujeitas à LGPD sejam obrigadas a nomear um DPO, suas diversas funções e relativa independência em relação ao escritório de privacidade não estão claras. Espera-se que haja esclarecimentos à medida que a ANPD desenvolva mais diretrizes e controles, mas isso ainda precisa ser visto.
Penalidades por violação da LGPD
A LGPD acarreta pesadas penalidades de execução, além da responsabilidade civil, como multas de até 2% do faturamento bruto da empresa no Brasil no ano fiscal anterior, suspensão temporária da capacidade da empresa de usar dados pessoais, suspensão parcial ou total do banco de dados e suspensão das atividades comerciais.
Consequentemente, qualquer organização que processe dados pessoais de residentes brasileiros deve garantir que eles estejam conformidade com a LGPD e preste muita atenção a qualquer orientação emitida pelos reguladores nos próximos meses.
Veja como o BigID pode ajudar você garante a conformidade da sua organização com a LGPD para que você possa, como diz o ditado brasileiro, fique tranquilo.
Autor
