Em agosto deste ano, o Brasil deu um novo e importante passo no que se refere à proteção e privacidade de informações pessoais, tendo o Senado Federal sancionando a lei 13.709/18 – Lei Geral de Proteção de Dados (LGPD), pelo então presidente Michel Temer. Inspirada por leis de outros países, e em especial na regulamentação europeia GDPR (General Data Protection Regulation), a eficácia plena da lei, que tramitava no Congresso Nacional desde 2010 pela PL 53/2018, se dará a partir de fevereiro de 2020.

A LGPD gere uma espécie de regulamentação para uso e transferência de dados pessoais no Brasil, nos setores privado e público, e visa assegurar maior clareza e estabilidade jurídica a fim de garantir direitos individuais e fomentar o desenvolvimento econômico e tecnológico, tanto no Brasil quanto no mercado internacional.

Vale ressaltar que órgãos públicos e empresas de pequeno, médio e grande porte terão que implementar sistemas de compliance efetivos para prevenir, detectar e corrigir violações de dados, dentro de um período de 18 meses, adequando-se às regulamentações descritas. Passado o período, a lei terá eficácia plena em todo o território nacional e aplicação geral para todas as áreas que dependem de informações pessoais de terceiros.

Serão impactadas pela nova lei todas empresas que coletam e tratam quaisquer dados pessoais, sejam eles digitais ou não. De acordo com a nova lei, entende-se por dado pessoal qualquer informação que permita a identificação de um indivíduo e toda operação realizada com esses dados.

Somente será permitida a exportação de dados, seja para outros países ou órgãos internacionais, que partirem do mesmo princípio e grau de proteção que a LGPD ou mediante condições de garantias legais referentes à legislação de proteção de dados brasileira.

As empresas não poderão mais coletar dados pessoais sem consentimento do cliente e sua utilização não poderá ser feita de forma indiscriminada, sendo necessário informar de maneira clara e detalhada o motivo pelo qual os dados serão armazenados e qual a finalidade da atividade que os envolvem. As empresas ficam impedidas, ainda, de usá-los na oferta de publicidade direcionada ou venda de informações para terceiros sem autorização.

O cliente poderá a qualquer momento exigir que seus dados sejam apagados ou pedir a revogação da autorização para uso de suas informações, e caso tenham a oposição ao tratamento dos seus dados, caberá à empresa cumprir a requisição ou apresentar por meios legais as razões de não fazê-lo.

Com a LGPD, a empresa passa a ser responsável pela segurança dos dados que coleta, transmite, processa e armazena. Antes da lei, se o custodiante da informação não aplicasse sistemas de segurança sobre os dados e isso acarretasse em subtração de informações, a empresa não sofria punição e o consumidor sequer teria ciência de que seus dados privados foram vazados.

Após a lei entrar em vigor, a empresa terá que provar, por meio legais, apresentando o chamado Relatório de Impacto à Proteção de Dados Pessoais, o qual contém análises e informações, como a descrição dos tipos de dados coletados, o fundamento da coleta e a metodologia utilizada para garantir a segurança das informações, e quais medidas e mecanismos aplicados para estruturar sistemas de segurança, a fim de assegura uma estrutura preparada para garantir a proteção e privacidade dos dados.

Com a lei, foram criados os chamados Agentes de Tratamento de dados pessoais para ficarem responsáveis sobre tal tarefa, podendo ser uma pessoa física ou jurídica, de direito público ou privado.

Caso a empresa seja vítima de algum incidente de segurança, seja acidental ou criminoso, ela será obrigada a notificar todos os clientes e sofrerá sanções, como multa de 2% sobre o faturamento do último ano, podendo chegar a R$ 50 milhões por infração, ou então até o bloqueio dos dados pessoais tratados, por prazo necessário à regularização.

O prazo para adequação é bastante curto, tendo em vista que um projeto bem estruturado para essa nova implementação dá-se, em média, ao longo de um ano. As empresas devem ter um olhar atento sobre a importância do novo marco digital e planejarem investimentos e adequação dentro do prazo, sob o risco de perderem competitividade e, fatalmente, novos negócios.

Por Gabriela Marcelino – Estagiária de Segurança da Informação da Security4IT