LGPD - Future Technologies

16 novembro 2018

adm.future

0

Categories: Blog, Notícias

LGPD: 10 dúvidas sobre a nova Lei

A Lei Geral de Proteção de Dados (LGPD) foi sancionada pela Presidência da República em agosto e suas novas regras afetarão todas as atividades que envolvam a utilização de dados pessoais em empresas brasileiras, que têm até 2020 para se adequarem. As regras buscam proteger os dados contra as vulnerabilidades e vazamento.

Veja abaixo algumas dúvidas frequentes sobre o assunto, respondidas por Vitor Corá, especialista em cibersegurança na Trend Micro, e Gabriela Crevilari, advogada do escritório Assis e Mendes.

Quem fiscalizará se as empresas estão em conformidade com a lei e efetivamente protegendo os dados?

O controle sobre a proteção de dados será exercido pela Autoridade Nacional de Proteção de Dados que será criada para este fim. A partir do momento em que for criada, é que saberemos mais sobre diretrizes quanto a fiscalização e formas de controle.

Como será comprovado que a empresa garante a proteção dos dados?

É necessário que as empresas, por meio de assessorias especialistas em proteção de dados, estude quais são os dados que coleta e armazena e com quem compartilha para, então, definir estratégias de segurança, nos quais poderão futuramente serem considerados os meios de comprovação da garantia sobre a proteção de dados sob seu controle.

Como fica o relacionamento com parceiros?

É necessário que atualizem os contratos, com cláusulas específicas sobre a proteção de dados com parceiros em que seja necessário o compartilhamento de dados.

Apenas o contrato firmado entre as partes garantirá que elas seguem a lei?

Não. O contrato firmado entre as partes será apenas um dos instrumentos para a comprovação de atendimento à lei. É importante que as empresas que realizarem o tratamento de dados se preocupem em investir em dispositivos de segurança para que minimize as possíveis penalidades impostas pela lei.

Caso ocorra, como comprovar que a empresa sabia do vazamento de dados?

Quando estiver sob investigação, a empresa deverá comprovar os métodos de segurança que utilizou. Assim, apenas após a apuração, é que haverá a decisão sobre a aplicação de penalidades ou não.

Assim como na Europa, haverá a necessidade de um funcionário terceiro para checar se a empresa está seguindo as novas regras?

Sim. Assim como no Regulamento Europeu, a LGPD brasileira demanda da figura do Encarregado pela Proteção de Dados. A Lei não determina sobre o tamanho das empresas que devem atender esta exigência, cabendo até o momento para todas as empresas que realizarem o tratamento de dados.

E caso um vazamento ocorra de uma empresa estatal?

O artigo 3º da LGPD diz que a Lei será aplicada a qualquer operação de tratamento realizada por pessoa física ou por pessoa jurídica de direito público ou privado. Desta forma, a LGDP delimitou um capítulo (art. 23 ao 30) exclusivo que definem as regras para o tratamento de dados pelo poder público.

Em caso de vazamento dos dados, a Legislação prevê a publicação do ocorrido via canais de mídia? A empresa terá um prazo para corrigir a falha?

Este ponto é uma espécie de penalidade prevista pela lei e que dependerá da decisão do órgão investigador, inclusive quanto ao prazo de correção.

O simples cadastro de funcionários de uma empresa também é um exemplo de informação que deverá ser cuidada sobre a LGPD?

Sim. Todo documento que contenha dados pessoais deverá ser protegido em conformidade com o que diz a LGPD.

Como deve seguir a relação entre a empresa e o cliente quando a finalidade de uso dos dados consentido mudar?

Nesta hipótese, a empresa deverá informar o cliente sobre a nova finalidade dos dados anteriormente coletados, devendo a empresa, ainda, recolher o consentimento do cliente para as novas finalidades.

Quer colocar sua empresa em conformidade com a LGPD? Conte com a Future! Clique aqui e entre em contato conosco!

Fonte: IT Forum 365.

Os impactos da LGPD: 10 pontos para entender a nova lei de proteção aos dados no Brasil

LGPD é a sigla para Lei Geral de Proteção de Dados, sancionada pelo presidente Michel Temer com o objetivo de aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações. O documento altera o Marco Civil da Internet e chega em uma época propícia, marcada por grandes vazamentos de informações e escândalos que envolvem justamente o uso indevido de informações pessoais.

A partir de agora, as empresas têm 18 meses para se adaptarem à lei. O não cumprimento dessas obrigações pode acarretar, por exemplo, em multas altíssimas que chegam a R$ 50 milhões por infração. Ainda que essa prática coloque o Brasil no grupo dos países considerados adequados na proteção à privacidade dos cidadãos, a expectativa é que os próximos meses serão de dificuldade e planejamento dentro das corporações. Confira 10 pontos para entender mais a LGPD.

1. Objetivos

A principal meta é garantir a privacidade dos dados pessoais das pessoas e permitir um maior controle sobre eles. Além disso, a lei cria regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, ajuda a promover o desenvolvimento tecnológico na sociedade e a própria defesa do consumidor.

2. Motivações da LGPD

Há um grande debate no setor desde 2010 sobre a proteção dos dados. Entre os fatores que levaram à aprovação do projeto de lei brasileira foi o GDPR, regulamento aprovado pela União Europeia em maio de 2018. Como este documento tem aplicabilidade extraterritorial, muitas empresas brasileiras já tiveram que se adequar para esta nova realidade.

3. Principais pontos

A lei é aplicada a todos os setores da economia, possuindo aplicação extraterritorial. Assim, toda empresa que tiver negócios no País deve se adequar a ela. Outros pontos são: consentimento do usuário para coletar informações pessoais; os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados; criação da Autoridade Nacional de Proteção aos Dados (ANPD); e a notificação obrigatória de qualquer incidente.

4. Data Protection Officer

A partir de agora, as organizações devem estabelecer um Comitê de Segurança da Informação para analisar os procedimentos internos. Dentro deste órgão haverá um profissional exclusivo para a proteção dos dados e responsável pelo cumprimento da nova lei.

5. Avaliação da maturidade dos processos e Impacto de Riscos

É o levantamento de quais situações devem ser corrigidas pela empresa para a garantia de que a LGPD seja cumprida em todos os departamentos.

6. Redução da exposição ao risco

Aqui, é a etapa de implementação das medidas para proteger os dados pessoais na base da empresa. Elas podem ser de segurança, técnicas e administrativas, que evitam, combatem ou minimizam a perda ou indisponibilidade de ativos de informação devido a ameaças que atuam sobre algumas vulnerabilidades.

7. Adoção do Privacy by Design

Aborda a proteção desde a concepção do produto ou sistema, sendo incorporada diretamente às estruturas tecnológicas, ao modelo de negócio e à infraestrutura física. Assim, a privacidade está presente na própria arquitetura, permitindo que o próprio usuário seja capaz de preservar e gerenciar a coleta e o tratamento de seus dados pessoais.

8. Cumprimento dos subcontratantes

A LGPD estende-se também aos subcontratantes de uma empresa, como fornecedores e parceiros de tecnologia. Eles também ficam sujeitos às obrigações e podem realizar pagamentos de indenização, por exemplo.

9. Multas

A nova lei prevê sanções para quem não tiver boas práticas. Elas englobam advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias.

10. Parceiro especializado

Lidar com esta situação enquanto tenta administrar o negócio não é fácil. Um parceiro especializado pode auxiliar nesse período de transição, possibilitando um maior conhecimento e aplicação de medidas eficientes para o cumprimento da lei.

A Future pode ajudar a sua empresa a se adequar a LGPD. Clique aqui e entre em contato conosco!

Fonte: 33 Giga.

Europa já tem mais de 500 investigações GDPR abertas

Menos de cinco meses depois da entrada em vigor do Regulamento Geral de Proteção de Dados (GDPR) na Europa, o conselho que supervisiona a aplicação da legislação tem mais de 500 investigações abertas. Foi o que revelou hoje a presidente do Conselho Europeu de Proteção de Dados, Andrea Jelinek, durante uma audiência sobre privacidade no congresso norte-americano.

“O conselho já está trabalhando em bastantes casos”, indicou a presidente, que esteve na audiência para falar da experiência europeia numa altura em que se discute a introdução de legislação semelhante nos Estados Unidos.

De acordo com a responsável, estão correndo 272 casos de identificação da autoridade primária de supervisão, 243 casos de assistência mútua (de acordo com o artigo 61º do GDPR), e 23 casos de monitorização de impacto. Em termos de queixas dos consumidores, que dispararam nos últimos meses, Jelinek disse que a maioria se refere a questões de “consentimento.” Os dados são referentes ao período entre 25 de maio e 1 de outubro.

O supervisor Giovanni Buttarelli tinha dito à Reuters no dia anterior que as primeiras multas serão aplicadas no final do ano e vão afetar empresas e administrações públicas. Hoje, no congresso americano, Andrea Jelinek revelou que o regulador irlandês, Data Protection Commission, “já está investigando” o novo caso de violação de dados pessoais da rede social Google+, que ficou conhecido esta semana. No entanto, as investigações que estão correndo contra Google, Facebook, WhatsApp e Instagram ainda não serão decididas, dado o estado preliminar dos processos.

“A maioria das empresas estava se preparando bem antes da entrada em vigor”, disse Jelinek aos congressistas norte-americanos. “Tiveram mais de dois anos. O dia 25 de maio não foi o fim da preparação, mas o princípio.”

Isto porque vários legisladores levantaram dúvidas quanto ao método da Comissão Europeia, que optou por um regulamento obrigatório em vez de uma diretiva. Mas Jelinek lembrou que já havia um enquadramento de proteção de dados desde os anos 90. “O GDPR não foi uma revolução, mas a evolução de uma lei que já existia”, sublinhou.

Luta entre Califórnia e governo federal

A audiência do Comitê para o Comércio, Ciência e Transportes foi dedicada a esgrimir argumentos entre duas fações opostas, depois de a Califórnia ter passado a legislação de proteção de dados mais rigorosa do país, CCPA (California Consumer Protection Act). A lei vai entrar em vigor no início de 2020 mas está sendo muito contestada pelas grandes empresas que serão afetadas, incluindo as gigantes de Silicon Valley. O apertar do cerco relativo à privacidade e consentimento dos consumidores só afetará empresas com receitas anuais a partir de 25 milhões de dólares, uma medida que foi desenhada para não liquidar startups e pequenas empresas.

O problema é que a Câmara de Comércio do congresso não quer esta lei e pretende aprovar uma legislação ao nível federal, que imponha as mesmas regras para todos os Estados – exatamente como foi feito na União Europeia com o GDPR. Os críticos de tal ideia defendem que uma lei federal será mais fraca que as medidas aprovadas pela CCPA e que o tipo de empresas sediadas em cada Estado difere muito. É na Califórnia que se encontram as grandes empresas que lidam com maiores volumes de dados sensíveis dos consumidores.

A audiência teve ainda o testemunho de Alastair Mactaggart, presidente da organização Californians for Consumer Privacy, Laura Moy, diretora executiva e professora adjunta de Direito no Georgetown Law Center on Privacy & Technology e Nuala O’Connor, presidente do Center for Democracy & Technology.

Na audiência foram referidos várias vezes os casos recentes de vazamento de dados do Facebook e Google como mais uma prova de que isto não pode continuar sendo deixado a critério das grandes empresas. Mas Nuala O’Connor lembrou um fato que obriga a pensar de forma mais abrangente neste tema. “A Cambridge Analytica era uma pequena startup”, referiu. “Não se pode desvalorizar o impacto até de pequenas empresas com acesso a conjuntos grandes e sensíveis de dados.”

Fonte: Dinheiro Vivo.