Entendendo o impacto e o alcance da LGPD no Brasil

Aproveitando que hoje é comemorado o Dia Internacional da Proteção de Dados Pessoais, a ESET, empresa líder em detecção proativa de ameaças, traz algumas considerações a respeito do cenário da Lei Geral de Proteção de Dados (LGPD) no Brasil. Abaixo, você encontra as respostas de Tony Anscombe, especialista em Segurança da Informação da ESET, a várias dúvidas sobre o impacto e o escopo da LGPD do Brasil e algumas recomendações para empresas que se preparam para a implementação da nova legislação digital, que ocorre em agosto deste ano.

Com amplo conhecimento sobre questões relacionadas à privacidade e as diferentes regulamentações que existem no mundo, Tony abordou reiteradamente a questão da privacidade de dados pessoais e informações do usuário sob diferentes perspectivas, seja como fonte de consulta sobre o GDPR, por meio de artigos em que é possível pensar sobre a possibilidade de uma lei de privacidade global ou selegislar sobre a segurança de dispositivos IoT é uma solução para responder aos desafios de segurança que representam para dispositivos inteligentes. Portanto, desta vez decidimos perguntar sobre a LGPD no Brasil, uma lei que entrou em vigor há alguns meses e sobre a qual existem algumas dúvidas por parte de empresas e consumidores.

Quais são as diferenças mais importantes entre a LGPD e o GDPR?

Embora geralmente haja muitas semelhanças entre as duas, aqui estão algumas das diferenças mais importantes:

- A LGPD não define os tipos de dados da mesma forma que o GDPR, o que significa que a regulamentação é muito ampla e pode ser aplicada a dados vinculados direta ou indiretamente a uma pessoa ou grupo de pessoas.
- O GDPR permite que as empresas utilizem dados anônimos livremente, sem divulgá-los, o que não é o caso da LGPD, pois não há linguagem quanto aos tipos de dados, o que significa que, independentemente do anonimato, a coleta deve ser divulgada.
- A LGPD dá às empresas apenas 15 dias para responder às solicitações de dados dos consumidores, a partir de 30 dias sob o GDPR.
- As multas máximas que a LGPD pode impor são de 2% da receita anual, tendo como máximo o valor de 50 milhões de reais, o que equivale a aproximadamente 50% do valor da multa que o GDPR pode impor.
- A LGPD não tem um prazo definido em que a empresa deve comunicar que foi vítima de violação de dados, atualmente apenas estabelece um “prazo razoável”. O GDPR exige que você faça isso dentro de 72 horas.
- Quem é impactado pela LGPD?

A LGPD atinge empresas de todos os portes, com algumas exceções, como jornalística, artística, acadêmica, de segurança pública e de defesa nacional. O regulamento entra em vigor independentemente de onde as empresas e organizações estejam sediadas quando algumas das seguintes condições são atendidas: os dados são coletados ou processados ​​no Brasil ou os dados são processados ​​com a finalidade de oferecer bens ou serviços a pessoas físicas no Brasil. O uso da palavra “pessoa física” estende o âmbito do regulamento para além dos cidadãos e o torna aplicável a qualquer pessoa que se encontre no território nacional do Brasil, independentemente de sua condição de cidadão.

Um site fora do território brasileiro que as pessoas acessam do Brasil é afetado pela lei?

Se o site coleta dados pessoais de pessoas localizadas no Brasil e o faz com o objetivo de fornecer bens ou serviços, deve cumprir a LGPD.

A lei afeta empresas estrangeiras localizadas no Brasil ou no exterior, mas que tratam dados de pessoas do Brasil?

Sim, qualquer empresa que processe dados de pessoa física localizada no Brasil terá que cumprir os requisitos da LGPD. Isso levanta a questão de como ocorrerá a aplicação da lei, principalmente se a empresa não tiver nenhuma entidade no Brasil, mas é um risco que não vale a pena provar.

Quais são os principais pontos que as empresas devem abordar no processo de implantação de processos para cumprimento da LGPD até agosto de 2021?

Em primeiro lugar, se uma empresa não tiver certeza se deve cumprir a LGPD, deve procurar aconselhamento jurídico. As empresas que devem cumprir a lei precisam seguir o seguinte processo de alto nível:

1. Avaliação: compreender as políticas e procedimentos atuais para a coleta, armazenamento e venda/compartilhamento de dados pessoais.

2. Análise de deficiências: revisar os requisitos da LGPD e compará-los com os resultados da avaliação. Criar uma avaliação delta detalhada entre o estado atual e onde o negócio precisa estar para conformidade.

3. Roteiro para conformidade: desenvolver um roteiro claro com as etapas a seguir para alcançar a conformidade com base na análise de lacunas. Priorizar as ações e tarefas necessárias com base no risco e no nível de esforço exigido.

4. Implementação: desenvolver atualizações e mecanismos para conformidade com os regulamentos, como políticas de privacidade, aceitação e opt-out, atualizações do site, etc. Atualizar as políticas de devida diligência em referência a fornecedores terceirizados para garantir a conformidade. Treinar a equipe sobre a legislação e os requisitos de conformidade.

Quais são os principais desafios das pequenas e médias empresas?

A necessidade de cumprir os regulamentos independe do porte da empresa. No caso de uma pequena ou média empresa que enfrente a necessidade de cumprir regulamentos, é provável que você tenha que garantir que a empresa se adapte aos requisitos e que tenha os recursos para realizar as tarefas necessárias para avaliar a necessidade de cumprir o que ela estabelece, ou seja, criar políticas e aplicar processos para cumprir as regulamentações. Muitas pequenas empresas provavelmente não têm os processos e políticas necessários que podem ser exigidos, enquanto as empresas maiores terão equipes dedicadas que já gerenciam esses processos. A falta de recursos qualificados provavelmente será um problema em todas as empresas no Brasil, pois as empresas provavelmente estão dando os passos necessários na corrida para reter e contratar os talentos necessários.

- Qual a principal recomendação para empresas que estão se preparando?
- Designar uma pessoa responsável pela necessidade de cumprir a LGPD, um oficial de proteção de dados. Essa pessoa precisa saber onde estão os dados, por que foram coletados e certificar-se de excluir os dados que não são mais necessários. Deve treinar a empresa quanto à necessidade de cumprir regulamentos, treinar funcionários, controlar o acesso a dados, auditar e documentar avaliações de risco e, o mais importante, deve manter um registro. E também ser a interface com os consumidores que fazem consultas e solicitações.
- Documentar as políticas de segurança e tenha os controles adequados implantados para aplicá-las e para demonstrar a manutenção contínua.
- Implementar controles de acesso, incluindo autenticação de dois fatores e criptografia de dados no armazenamento e em trânsito.
- Certificar-se de executar a criptografia completa do disco em dispositivos de endpoint que tenham acesso aos dados do cliente e que todos os sistemas tenham endpoint ou software de proteção de servidor.
- Certificar-se de que os sistemas de backup e recuperação estejam operacionais para que você possa atender às solicitações dos clientes, independentemente dos problemas operacionais que possam afetá-lo.
- Como a lei afetará os usuários a partir de agosto? Antes dessa data, eles podem relatar?

A lei não se trata apenas de registrar uma reclamação quando algo é considerado incorreto. Os consumidores têm direitos sob a legislação LGPD que podem ser exercidos a qualquer momento, incluindo:

- Confirmação de que os dados pessoais estão sendo processados
- Acesso a dados
- Dados corretos incompletos, imprecisos ou desatualizados
- Solicitar a eliminação, bloqueio ou anonimato dos dados recolhidos desnecessariamente, excessivamente ou em desacordo com o disposto no regulamento
- Solicite a exclusão de dados pessoais, com várias exceções, como dados retidos por razões regulatórias ou legais
- A portabilidade dos dados para outro provedor de serviços ou produtos
- Solicite informações sobre as entidades com as quais os dados foram compartilhados
- Informações sobre as consequências da recusa do consentimento
- A opção de retirar o consentimento

Caso o consumidor tenha motivos para reclamar, antes de agosto de 2021, o descumprimento da LGPD, poderá ajuizar ação cível contra a empresa. Isso pode ser complicado para muitos indivíduos, mas é provável que as organizações de defesa da privacidade defendam a causa dos indivíduos e iniciem litígios em seu nome.

Quais os mecanismos que o usuário terá para denunciar o não cumprimento da lei?

Qualquer reclamação do usuário deve ser sempre direcionada primeiro à empresa em questão. Somente quando uma resposta insatisfatória for estabelecida, ou nenhuma resposta for recebida, deve-se buscar uma ação adicional, seja por meio de ação civil ou regulatória.

A nova autoridade nacional de proteção de dados (ANPD) foi criada por decreto até agosto de 2020 e, como qualquer nova organização, demorará para entrar em vigor. A agência terá 36 funcionários, incluindo seus diretores. Uma das áreas será a da Ouvidoria, que ficará responsável por receber reclamações, dúvidas e sugestões do público em geral. O processo real para registrar uma reclamação, sem dúvida, ficará mais claro à medida que o novo órgão regulador for estabelecido.

O fato de o órgão regulador (Autoridade Nacional de Proteção de Dados ou “ANPD”) não estar operacional pode criar alguma insegurança jurídica?

Uma regulação sem órgão de fiscalização causa insegurança jurídica, o que significa que não há entidade que dê clareza sobre os detalhes reais da regulação e a interpretação das normas. No entanto, uma vez que ações cíveis possam ser movidas contra empresas, os tribunais provavelmente estabelecerão precedentes que proporcionem clareza. No entanto, isso pode criar um problema em que os juízes se sintam com poderes para fazer a fiscalização, tirando o prestígio e a autoridade do órgão regulador.

A partir de agosto de 2021, as penalidades por descumprimento da LGPD passarão a valer. Esperamos que este artigo tenha sido útil para esclarecer alguns pontos em relação à lei e que até essa data as empresas possam cumprir o que o regulamento estabelece e que os usuários saibam mais sobre os direitos que têm com esta lei.

A lei, que está em vigor desde setembro de 2020, tem impacto nas instituições nacionais e entidades estrangeiras com sede no país que manipulam dados pessoais, com o objetivo de regulamentar seus processos. As empresas que não cumprirem a lei estão sujeitas principalmente a multas de alto valor e à suspensão de suas atividades. A ESET conta com especialistas dedicados a investigar exaustivamente seu escopo e requisitos e, por isso, convida os usuários a baixarem, sem nenhum custo, um kit de conteúdos especialmente desenvolvido para apoiá-los nesta adequação: https://www.eset.com/br/lei-geral-de-protecao-de-dados/

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite www.eset.com/br ou siga-nos no LinkedIn, Facebook e Twitter.