• Portal do Governo Brasileiro
  • Atualize sua Barra de Governo
  • Home
  • A LGPD
    O que muda Mapa da proteção LGPD em 2 minutos Glossário LGPD
  • Proteção de dados
    Dados pessoais Dados sensíveis
    Lei nº 13.709, 14/08/2018
    Dados públicos Dados anonimizados
    Lei nº 13.709, 14/08/2018
  • Tratamento dos dados
    Princípios da LGPD Objetivo e abrangência da LGPD
  • Temáticas
    Correlações com a LGPD Gestão pública Governança Legislação Negócios Privacidade Saúde e Educação Segurança Tecnologia Utilidade pública
  • Notícias e Artigos
  • Colabore com o site
    Como colaborar Linha editorial
  • Imprensa
Busca Avançada…
Redefinir Cookies

Notícias e Artigos

Info

ARTIGO

Do micronegócio ao grande e-commerce: é hora de se adequar!

Hélio Cordeiro frisa que, apesar da falsa sensação de tempo pelo intervalo de meses até o vigor da LGPD, as organizações devem agilizar processos de segurança da informação, principalmente aquelas em baixo estágio de maturação de cibersegurança e gestão da informação

Ilustração com dois cofrinhos de guardar moedas, em formato de porco, sendo um cofre menor e o outro maior


31/07/2019

A LGPD – nova lei de proteção de dados pessoais – é um marco para a cibersegurança brasileira. Ao regulamentar o tratamento desses dados, a lei posiciona o Brasil entre os, aproximadamente, 120 países que têm leis específicas para proteção de dados e respeito aos cidadãos. De forma resumida, a Lei Geral de Proteção de Dados Pessoais dispõe sobre princípios, direitos e deveres que deverão ser observados no tratamento de dados pessoais. Portanto, tem relevância para toda a população. Para as organizações, no que tange às regras e adaptações a serem cumpridas e para as pessoas, aos direitos a serem exigidos.

A nova lei foi publicada em 15 de agosto de 2018 e entrará em vigor em agosto de 2020. O intervalo de 24 meses é respectivo ao prazo de preparação e adequação das empresas e entidades afetadas pelas novas obrigatoriedades. Aliás, este prazo foi alterado pela medida provisória nº 869/18, criada em 27 de dezembro de 2018. Talvez você já tenha lido o prazo de 18 meses. Porém, atenção: este prazo era o anterior. Após a MP, a data de vigência foi alterada de fevereiro de 2020 para agosto de 2020.

Como a LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, a regulação impactará empresas e organizações que lidam com informações. Trazendo isso para a realidade, os pedidos de “informe seu CPF” ou “deixe seu nome e e-mail para fazer parte da nossa base de clientes” precisarão cumprir as regras da LGPD. Por estarmos na era da informação e dos dados, é presumível que inúmeras empresas precisem de adequação, dos grandes e-commerces aos micronegócios.

A nova lei de proteção de dados pessoais se destina a quem?

"Os   pedidos   de   'informe   seu   CPF'   ou   'deixe   seu   nome   e   e-mail   para   fazer   parte   da   nossa   base   de   clientes'   precisarão   cumprir   as   regras   da   LGPD"

A definição da lei é de que ela deve ser cumprida por pessoa natural ou jurídica (pública e privada) que faça tratamento dos dados por meio de operações realizadas no Brasil e/ou para pessoa naturalizada no país. A partir deste entendimento, uma característica importante vem à tona. A LGPD vale também fora do Brasil, pois abrange organizações que tratam dados de cidadãos brasileiros. Este aspecto é igual ao GDPR, que é a nova lei de proteção de dados da União Europeia, em vigor desde maio de 2018.

Glossário da LGPD
A compreensão dos tópicos logo mais à frente será facilitada se você já compreender os personagens e as definições básicas da lei.

  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
  • Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Aspectos gerais da LGPD

  •  A lei nº 13.709/18 foi sancionada em 14 de agosto de 2018 pelo presidente Michel Temer. Conhecida como LGPD, é oriunda do PLC nº 4.060/12, que foi convertido no PLC nº 53/18. Além disso, altera a lei nº 12.965/16 (Marco Civil da Internet).
  • A regulação da LGPD será realizada pela ANPD (Autoridade Nacional de Proteção de Dados), criada pela medida provisória nº 869/18. A entidade terá a missão de fiscalizar, regulamentar, implementar a lei e definir os critérios da proteção de dados.
  • Segundo o texto da lei, dado pessoal é qualquer informação relacionada à pessoa natural identificada ou identificável.
  • Também segundo a lei, tratamento de dados engloba toda operação realizada com o dado pessoal. Exemplos: coleta, classificação, utilização, reprodução, processamento, armazenamento, eliminação, entre outros.
  • A LGPD define que os titulares têm direito a: confirmação da existência de tratamento dos dados; acesso e correção; anonimização; bloqueio e eliminação; portabilidade; revogação de consentimento; informação sobre os dados compartilhados; clareza sobre a finalidade; o poder de não consentimento e saber sobre as consequências disso; e revisão de decisões automatizadas.
  • Os princípios fundamentais de tratamento são: finalidade, necessidade, transparência, prevenção, segurança, não discriminação, responsabilização e qualidade dos dados.
  • Especificamente sobre o poder público, a lei define que o tratamento de dados pessoais poderá ser realizado “pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres”.
  • As sanções administrativas de suspensão parcial ou total do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e de proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, previstas na lei, foram vetadas e excluídas pelo presidente Michel Temer.

“GDPR brasileira”

A Lei Geral de Proteção de Dados Pessoais do Brasil é informalmente chamada de “GDPR brasileira”. Isso aconteceu porque a lei nacional é bastante inspirada no regulamento europeu. Há ainda a questão temporal, visto que o GDPR entrou em vigor em maio de 2018, apressando os movimentos relacionados à LGPD. É usual associar as duas leis, pois há diversas similaridades. Aproveitando a menção ao GDPR, a leitura da posição do Google sobre o tema é recomendada como referência de valor. E mais, voltando aos pontos de contato das leis, um destaque é a ISO 27001, que padroniza sistemas de gestão da segurança da informação e merece ser estudada.

LGPD e segurança da informação

Concluindo, se considerarmos o quão abrangente é o uso de informações na rotina das empresas, é irrefutável a relevância da nova lei de proteção de dados. Obviamente, a regulação demandará esforço de adequação até agosto de 2020.

A nova lei brasileira pode levar ao entendimento equivocado de que o assunto é incipiente. Entretanto, vale lembrar que a segurança da informação é estudada e implementada há muitos anos. Há no Brasil empresas de consultoria e educação em TI, com capacitações voltadas para gestão de riscos, segurança da informação e continuidade de negócios, e que mantêm parcerias com organizações internacionais como DRI, Exin, PECB e Isaca.

Vale destacar ainda que, neste quesito, o aprendizado europeu é bastante válido. As empresas europeias que retardaram a adoção de medidas de alinhamento ao GDPR, colocaram-se em uma posição de suscetibilidade às sanções e tiveram mais dificuldade de se ajustarem no prazo estabelecido. Portanto, apesar da falsa sensação de tempo pelo intervalo de meses até o vigor da LGPD, as organizações precisam agilizar seus processos de segurança da informação, principalmente aquelas em baixo estágio de maturação de cibersegurança e gestão da informação.

Foto e minicurrículo de Hélio Cordeiro: bacharel em sistemas de informação, com MBA pela FIA, e com certificação CISM. Possui mais de 15 anos de experiência em segurança da informação, em projetos nos EUA, Europa e América Latina. É executivo da Daryus.

 

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

Serpro LGPD
Serpro e LGPD:
segurança e inovação
Serpro Ministério da Fazenda Governo Federal