• Sobre
  • Business Units
  • Cases
  • Blog
  • Vagas
Menu
  • Sobre
  • Business Units
  • Cases
  • Blog
  • Vagas
Fale Conosco

Lei Geral de Proteção de Dados: Descubra como a LGPD muda o uso de dados pessoais no Brasil

  • João Saldanha
  • setembro 20, 2018

Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) ainda nem entrou em vigor e já tem gerado uma grande polêmica e incontáveis dúvidas em praticamente todos os setores da economia. Por isso, nesse artigo iremos abordar o que é LGPD além de diversos outros tópicos que cercam o tema.

A lei, de relatoria do Deputado Orlando Silva do PCdoB de São Paulo, é reflexo direto de uma demanda gerada pela sua correspondente europeia, a General Data Protection Regulation, ou GDPR, e visa um importante objetivo: Dar mais segurança e controle aos processos de tratamento de dados pessoais

É o início de uma jornada muito maior em direção à proteção da privacidade, conceito cada vez mais presente e relevante na sociedade contemporânea.

A LGPD constitui, enfim – como se verá ao longo deste artigo – medida necessária já há bastante tempo, mas que ganhou atenção especial após o escândalo de violação de dados protagonizado pela SERPRO (Serviço de Processamento de Dados) no início de 2018.

A Lei Geral de Proteção de Dados é um assunto abrangente, que envolve não apenas detalhes acerca da lei em si, mas também de seus desdobramentos dentro do cotidiano corporativo de cada empresa do Brasil e, por isso, não é possível cobrir todas as suas meticulosidades em um único artigo.

Diante disso a Tripla traz conteúdos específicos sobre a Lei com frequência semanal, além de realizar palestras, workshops e eventos a respeito do tema.

Vamos mostrar o que ela é, como afeta consumidores, titulares e empresas, penalidades para quem a descumprir e muito mais.

Então, se você é um empresário, muita atenção para não infringir a lei assim que a mesma entrar em vigor.

Caso seja um cidadão querendo fazer valer os seus direitos sobre os dados que te pertencem, este artigo também é pra você.

Para começar, o que é LGPD?

A Lei Geral de Proteção de Dados – LGPD, estabelece normas e regulamentos para o processamento de dados pessoais.

Já em seu primeiro artigo, a LGPD estabelece que seu teor é aplicável a qualquer tratamento de dados pessoais, tanto por meio físico quanto digital, por pessoa natural ou jurídica, de direito publico ou privado, deixando clara a sua vasta abrangência sobre a matéria de proteção de dados.

O objeto da lei é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, sempre zelando pela devida proteção aos dados pessoais.

Essa definição inicial já é de suma importância para compreender a lei devidamente, em especial pelo fato de que, apesar de se chamar Lei de Proteção de Dados, o bem jurídico por ela tutelado é a PRIVACIDADE. Inclusive escrevi um artigo sobre a nova concepção de Privacidade que pode agregar muito aos seus conhecimentos acerca do tema, clique aqui para acessá-lo.

A Lei estabelece que ninguém poderá processar dados, e por processamento entenda a coleta, tratamento, uso, armazenamento ou descarte, sem que haja uma devida base legal atribuída à operação. São 10 as bases legais trazidas pela LGPD e que autorizam o tratamento dados pessoais, sendo a mais famosa delas o consentimento.

Heranças da GDPR

Tendo fortes influências da GDPR – General Data Protection Regulation (Regulamentação Geral de Proteção de Dados) da União Europeia, a Lei Geral de Proteção de Dados busca agregar segurança, controle e transparência aos processos de tratamento de dados pessoais.

A referida legislação europeia já está em vigor desde maio de 2018, e neste um ano de vigência já foi possível verificar a gravidade da situação do tratamento de dados anterior ao seu advento, sendo que já foram pagos mais 60 milhões de Euros em multas, nesta data (maio de 2019), e mais de 90 mil denúncias relacionadas a violação de privacidade.

Evidentemente que o processo de adequação é longo e delicado, e por isso a Lei Geral de Proteção de Dados somente entrará em vigor em agosto de 2020, 24 meses após a sua publicação.

Em resumo, a LGPD é a lei que vem para exigir a criação de medidas que visem mitigar os riscos de violação de dados pessoais, tanto a nível de segurança de informação quanto a nível de desvio de finalidade ou abuso de direito.

Quais são as empresas afetadas pela LGPD

Agora que entendemos o que é LGPD de fato, podemos seguir e discorrer sobre outros tópicos. Uma das principais dúvidas que pairam na mente do empresariado desde a publicação da LGPD é “Quais empresas são atingidas pela lei?”.

Objetivamente falando, todas as empresas são afetadas pela Lei Geral de Proteção de Dados, independentemente de tamanho ou natureza.

Existe uma perspectiva de que a Autoridade Nacional de Proteção de Dados (ANPD), entidade nacional que atuará como fiscalizadora e referência técnica da matéria, preveja regras específicas para pequenas e médias empresas, start-ups e demais unidade empresárias que possam ser excessivamente prejudicadas por medidas genéricas, mas isto ainda é pendente de concretização.

É fundamental destacar também que não existe uma diferenciação entre empresas privadas ou públicas, ao menos não na aplicabilidade geral, o que faz com que mesmo as estatais brasileiras precisem se adequar aos regramentos.

O mesmo se aplica a empresas estrangeiras que possuam atividade de tratamento de dados no Brasil, não é necessário que sejam sediadas em território nacional, bastando que a operação de tratamento ocorra no Brasil, o tratamento de dados se dê em causa de oferta de bem ou serviço em solo brasileiro ou que os dados objetos do tratamento tenha sido coletados no país.

A intenção é evitar que existam lacunas de aplicabilidade da lei no que tange às atividades internacionais, em especial quanto à possibilidade de se fundar empresa em solo internacional para processar livremente dados pessoais sem intervenção normativa.

Em resumo, a Lei Geral de Proteção de Dados se aplica a qualquer pessoa, independente da natureza, do objeto social, do tamanho ou da territorialidade, desde que a operação de dados se enquadre nas hipóteses previstas em seu art. 3º.

Entendendo o caso de violação de dados pessoais do SERPRO

O Serviço Federal de Processamento de Dados (SERPRO) é a maior empresa pública de prestação de serviços tecnologia da informação do mundo.

Ela foi criada no ano de 1964 com a finalidade de agregar agilidade e modernização aos setores estratégicos da administração pública.

Ela é vinculada ao Ministério da Economia, antigo Ministério da Fazenda, onde cresceu desenvolvendo programas e serviços que permitiram maior controle e transparência sobre a receita e os gastos públicos. Sua consolidação se deu por aprimorar tecnologias usadas por vários órgãos públicos federais, estaduais e municipais, que foram então incorporadas à vida do cidadão brasileiro.

No começo de 2018, um escândalo acometeu a empresa, quando a SERPRO foi acusada de vender dados pessoais, sendo objeto, inclusive, de investigação do Ministério Público do Distrito Federal.

Ao que consta da denúncia, a estatal estaria comercializando dados pessoais de brasileiros inscritos no Cadastro de Pessoas Físicas (CPF), em patente violação à sua privacidade.

Foram encontradas propostas comerciais da SERPRO apontando para a prática da comercialização de dados da base pública, e, de acordo com a investigação, alguns dos contratos de vendas de dados chegavam a 273 mil reais. Uma prática que nunca foi permitida, mas que agora conta com uma legislação focada em tratar do assunto.

Objetivos gerais que a Lei Geral de Proteção de Dados busca alcançar, bem como as vantagens que a lei traz

Dentre os principais objetivos que pautam a criação e aplicação da LGPD podemos enumerar:

  • Fortalecer os institutos do direito à privacidade e à proteção de dados pessoais, isso por meio da exigência de adoção de medidas de controle e transparência para as operações de tratamento de dados pessoais;
  • Promover o desenvolvimento econômico e tecnológico;
  • Trazer segurança jurídica à matéria, centralizando a normatização da proteção de dados e criando critérios objetivos de compliance;
  • Aumentar a confiança da sociedade a respeito do uso e coleta de dados pessoais por parte das empresas públicas e privadas;
  • Facilitar a portabilidade de dados pessoais de titulares, de um serviço para o outro, aumentando assim a competitividade dentro do mercado;
  • Estabelecer regras únicas e harmônicas sobre o uso de dados pessoais, independente do setor da economia em questão;
  • Melhorar a qualidade e a autenticidade dos dados pessoais em circulação;
  • Tornar o Brasil apto a se manter em plena relação econômica com outros países que possuam legislações de proteção de dados e que exijam conformidade equivalente.

Como as empresas podem e devem se preparar para quando a lei entrar em vigor

A Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) entrará em vigor em agosto de 2020, passados os 24 meses de prazo fixados pela Medida Provisória 869/2018.

Assim, as empresas têm até o final de julho do mesmo ano para buscarem a efetiva adequação aos termos da Lei, e é justamente o meio para se atingir a mencionada adequação que tem trazido medo e confusão aos envolvidos.

Quais passos seguir?

Em primeiro lugar, é importante destacar que a jornada é árdua e complexa, mas não é impossível. Tal como qualquer outra medida de expertise variada, é absolutamente necessário que a empresa busque uma boa consultoria, que seja confiável e competente, pois o trabalho a ser exercido é multidisciplinar e deve ser realizado “a quatro mãos”, lado a lado com a empresa.

Uma vez escolhido o consultor de confiança, o primeiro passo é estabelecer a proposta de tratamento de dados pessoais e realizar o mapeamento dos dados dentro da operação, pois somente assim é possível detectar eventuais fragilidades ou irregularidades no processo estabelecido.

Mapeados os dados, deve se proceder à atribuição das respectivas bases legais e localização dos agentes de tratamento que integram a cadeia de dados, definindo suas responsabilidades e revisando os escopos de serviço.

A seguir é feita a arquitetura e desenho dos processos de tratamento de dados pessoais. É nesse momento que devem ficar bem definidos os canais de coleta, os níveis de acesso e o destino final dos dados dentro da operação em tela.

Definidos os processos devem ser verificadas as eventuais convergências normativas a nível internacional, evitando antinomias que possam prejudicar a atividade econômica desenvolvida.

Só depois devem ser elaboradas as políticas de privacidade, internas e externas, por meio das quais será agregada transparência e boas práticas.

Por fim, com todo o desenho elaborado, é possível se detectar eventuais fragilidades ou pontos de exposição que possam ser sanados por medidas preventivas ou responsivas.

Com a nomeação do DPO – Data Protection Officer – ou Encarregado de Dados – os processos estabelecidos passam a integrar as rotinas da empresa e a jornada está concluída.

Quais as penalidades previstas para quem violar a LGPD

A partir do momento em que a Lei Geral de Proteção de Dados entrar em vigor, as empresas que atuam no país precisarão se adequar ao texto na íntegra, ou arcar com severas consequências.

Antes de mais nada é sempre bom ressaltar que a LGPD não pune pelo vazamento de dados em si, mas sim, pela violação da Lei.

Isso significa que é possível sofrer um incidente de privacidade e não ser punido, bastando que a empresa consiga comprovar para a Autoridade Nacional, ou para o magistrado, conforme o caso, que todas as medidas que podiam ser tomadas quanto à segurança das informações foram tomadas, de forma que o incidente era inevitável.

Ocorre que a recíproca também é verdadeira, já que é possível sofrer uma sanção sem que tenha ocorrido qualquer incidente de violação de dados, bastando, para tanto, que uma fiscalização ostensiva detecte irregularidades nos procedimentos ou no nível de segurança empenhados.

No caso das multas, a sanção mais famosa pelo caso de descumprimento da Lei Geral de Proteção de Dados, às empresas penalizadas terão de pagar até 2% do faturamento da empresa no exercício anterior, limitados a R$ 50 milhões de reais, POR INFRAÇÃO.

Além das punições diretamente previstas na lei, há que se considerar ainda as incontáveis ações judiciais que podem ser enfrentadas no caso de incidentes e, claro, o profundo dano à imagem da empresa, que não apenas perderá clientes como será deixada de fora de negócios, tanto no setor público quanto no privado.

O que isso significa é que com a entrada em vigor da LGPD as operações de tratamento de dados se tornam processos de risco que, caso deixados a ermo, pode resultar prejuízos incalculáveis.

Mantenha-se sempre atualizado sobre as notícias do setor e conte se ainda quer saber mais sobre a LGPD

Aqui na Tripla temos um grande compromisso com a informação, e não poupamos esforços para tratar cada detalhe da Lei Geral de Proteção de Dados (LGPD), porém, a matéria é demasiada complexa para se limitar em tópicos, ou mesmo em uma rápida série de conteúdos.

Por esta razão, se você deseja saber mais sobre a LGPD, ou manter-se atualizado sobre as principais notícias e temas que envolvem tecnologia, dados e segurança na rede, faça o seguinte:

Assine o nosso newsletter, preenchendo o formulário abaixo, e garanta sua notificação sempre que um conteúdo novo e exclusivo for publicado no nosso blog.

E não se preocupe, aqui na Tripla nos levamos os seus dados pessoais a sério, eles não serão compartilhados ou utilizados para qualquer outra finalidade, e, caso queira seu descadastramento, ele pode ser solicitado a qualquer momento.

Não deixe também de fazer o download do nosso infográfico “LGPD – Conheça o caminho para conformidade”. Descubra como entrar em conformidade com a Lei Geral de Proteção de Dados e como a Tripla pode te ajudar em todo esse processo. Clique aqui e acesse.

Conte com a gente!


 

 

[wp-review id=””]

Checklist: Planejamento estratégico de TI e Segurança em 2025

Participe da comunidade de tecnologia da Tripla

Siga a Tripla nas redes

Linkedin Instagram Youtube Facebook
Categorias
  • Artigo de opinião
  • Assuntos em alta
  • blog
  • Cibersegurança
  • Cloud
  • Cloud & Data Center
  • Cloudflare
  • Conectividade
  • Gestão de TI
  • Hive
  • Home Office
  • Infraestrutura de TI
  • Inteligência Artificial
  • ISO 27001
  • ISP
  • LGPD
  • Licenciamento de Software
  • Microsoft
  • Network
  • News
  • Outros
  • Privacidade e Compliance
  • Rede
  • Segurança da informação
  • Tripla Na Mídia

Quer saber como nossas soluções podem beneficiar sua empresa? Converse com nossos especialistas!

falar com um consultor

Participe da comunidade
de tecnologia da Tripla

Facebook Instagram Linkedin Youtube
Localização
Rua dos Timbiras, 1532 - 4º andar Lourdes, Belo Horizonte, Minas Gerais
Telefone
+55 31 3370.2600
Contato
[email protected]
Proteção de Dados Pessoais
[email protected]
Políticas
Política de Privacidade
Código de Ética e Conduta
Política de segurança da informação
Conteúdo
Blog
Vídeos
Cloud & Data Center
Consultoria de Resiliência Cibernéticas
Modern Work
Tripla Cloud Service
Privacidade e compliance
Tripla Cloud Service
DPO como serviço
Gestão de Fornecedores
INSTITUCIONAL
Sobre
Carreiras
Casos de Sucesso
Segurança da Informação
Cyber Watch
Serviços Gerenciados de Segurança - MSS
Secure Access Service Edge - SASE
Network
Soluções SD_WAN Inteligentes
NOC 24x7
Conectividade sem fio WIFI 6 e 7
Copyright © 2020 Tripla
Tripla
Gerenciar o consentimento
Para fornecer as melhores experiências, usamos tecnologias como cookies para armazenar e/ou acessar informações do dispositivo. O consentimento para essas tecnologias nos permitirá processar dados como comportamento de navegação ou IDs exclusivos neste site. Não consentir ou retirar o consentimento pode afetar negativamente certos recursos e funções.
Funcional Sempre ativo
O armazenamento ou acesso técnico é estritamente necessário para a finalidade legítima de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador, ou com a finalidade exclusiva de efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenar preferências que não são solicitadas pelo assinante ou usuário.
Estatísticas
O armazenamento ou acesso técnico que é usado exclusivamente para fins estatísticos. O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anônimos. Sem uma intimação, conformidade voluntária por parte de seu provedor de serviços de Internet ou registros adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de usuário para enviar publicidade ou para rastrear o usuário em um site ou em vários sites para fins de marketing semelhantes.
Gerenciar opções Gerenciar serviços Manage {vendor_count} vendors Leia mais sobre esses propósitos
Ver preferências
{title} {title} {title}

Fale com um de nossos consultores