A segurança da informação é uma das maiores preocupações das empresas atualmente. E quando falamos empresas, estamos realmente nos referindo a todas elas: grandes ou pequenas organizações, de comércio ou de serviço, independentemente do setor de atuação. Um dos motivos para isso é a aprovação, em 2018, da Lei Geral de Proteção dos Dados, a LGPD.
Você provavelmente já ouviu falar da LGPD, e a verdade é que ela também afeta seu negócio. Por isso, pensando em te ajudar, fizemos este artigo introdutório com os principais pontos que a lei levantou para que saiba o que precisa fazer para estar em conformidade com ela! Acompanhe conosco!
O que é a Lei Geral de Proteção de Dados Pessoais?
A Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709 de agosto de 2018) é o novo marco legal brasileiro que defende os direitos dos cidadãos em relação a como as empresas coletam, armazenam e usam seus próprios dados pessoais. A lei estabelece as regras que as organizações devem seguir ao tratar dados pessoais, sejam de clientes, funcionários ou fornecedores da empresa.
A lei foi aprovada em agosto de 2018, mas entrou em vigor somente dois anos depois, em agosto de 2020. O principal ponto da LGPD é que ela estabelece que a empresa deve coletar o consentimento do titular dos dados antes de utilizá-los e deve ser transparente quanto ao uso que fará das informações. Isso inclui, inclusive, os dados de cookies coletados quando um usuário acessa o site da empresa — você já deve ter percebido uma solicitação para aceitar os cookies quando entra em algum site.
Além disso, a nova lei determina que os dados só podem continuar armazenados pelo tempo necessário para o uso conforme a finalidade definida pela empresa. Ou seja, assim que o uso dos dados cumprir sua finalidade, eles devem ser apagados dos servidores da organização.
Para regularizar e padronizar o tratamento dos dados, a LGPD definiu alguns conceitos-chave. São eles:
- Dado pessoal: é a informação relacionada a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa, como nomes, números, códigos de identificação, endereços;
- Tratamento: é toda a operação realizada com o dado pessoal.
- Controlador: é o CNPJ que tem competência para tomar decisões referentes ao tratamento de dados pessoais;
- Operador: é quem realiza o tratamento de dados pessoais em nome do controlador.
Vale observar que a LGPD estabelece que as empresas (controladoras) também são responsáveis pelo que seus fornecedores contratados (operadores) fazem com os dados dos seus clientes ou funcionários.
Lei Geral de Proteção de Dados Pessoais: os direitos do titular dos dados
A LGPD define quatro direitos aos cidadãos titulares dos dados: o direito de ser notificado, direito ao acesso, direito de ser esquecido e direito de portabilidade. Veja abaixo o que diz cada um desses direitos e o que você deve fazer para assegurá-los.
1. Direito de notificação
A LGPD determina que o titular deve ser notificado quando de uma violação que comprometa seus dados pessoais. Essa notificação também deve ser feita às autoridades responsáveis (no caso, à ANPD, a Agência Nacional de Proteção dos Dados). Isso exige que as empresas tenham no local medidas de segurança da informação que as permita identificar com agilidade uma violação e mitigar os impactos negativos resultantes.
2. Direito ao acesso
Aos titulares também é dado o direito de ter acesso aos dados armazenados pela empresa, a qualquer momento, sob solicitação prévia. Ou seja, caso um usuário solicite à organização, esta deve confirmar ou não o tratamento dos dados, e enviar uma cópia dos dados que estão sendo tratados ao usuário. Para as organizações, isso significa ter um controle exímio dos dados que possui e de onde estão armazenados.
3. Direito de ser esquecido
O direito de ser esquecido dá ao titular o poder de solicitar que seus dados sejam deletados dos servidores da empresa a qualquer momento. Todas as atividades que envolvam o processamento dos dados daquele titular devem ser interrompidas caso seja solicitado por ele. Mais uma vez, é preciso um controle exemplar dos dados para que a solicitação possa ser atendida em tempo hábil.
4. Portabilidade
Por último, o titular tem o direito de solicitar a portabilidade dos seus dados, ou seja, de pedir a transferência das informações a outro fornecedor de serviços ou produtos. Essa solicitação também deve ser atendida em tempo hábil e de maneira transparente pelo controlador.
Quais as penalidades em caso de infração?
A LGPD estabelece penalidades pesadas em caso de infração por parte dos controladores e operadores. Organizações infratoras podem ser multadas em 2% do seu faturamento anual ou até R$ 50 milhões (o que for maior). A multa é aplicada para infrações graves, como não coletar o consentimento para o tratamento dos dados. Para infrações leves, a LGPD estabelece as seguintes penalidades:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Publicização da infração após apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais correspondentes à infração até a sua regularização;
- Eliminação dos dados pessoais correspondentes à infração.
Ou seja, as penalidades e multas podem prejudicar muito a empresa. Por isso, é essencial, independentemente do seu porte ou setor, investir na segurança dos dados e adotar medidas que estejam em conformidade com a lei.
Nos próximos posts, faremos um passo a passo com as medidas que você deve adotar para estar em conformidade e abordaremos as principais medidas de segurança da informação que seu negócio deve ter para evitar ser vítima de um ataque! Fique de olho no nosso blog!
