A Lei Geral de Proteção de Dados Pessoais (LGPD) foi estabelecida pelo Estado brasileiro para a manipulação, tratamento e armazenamento de dados pessoais por organizações. Todas as empresas que realizam operações de tratamento ou coleta de dados em território nacional, recebem dados (ainda que coletados em outros países) para processamento em território nacional, ou mesmo oferta bens e serviços para indivíduos localizados no Brasil, terão que se adaptar para atender às exigências da LGPD. Antes de se discutir as capacidades das organizações de atenderem aos marcos regulatório estabelecido pela lei, deve-se esclarecer alguns pontos que mostram o porquê da necessidade da Lei.
Economia Digital
Atualmente, com o e-commerce e com toda a influência digital presente diariamente em nossas vidas, a posse das informações pessoais se torna cada vez mais importante para as empresas. Informações dadas em especial nas redes sociais e nos cadastros de organizações possibilitam empresas especializadas a traçarem o perfil do usuário e usar isso da forma mais conveniente a quem estiver disposto a pagá-los.
Prova disso foi o ocorrido entre 2014 e 2018, que a empresa Cambridge Analytica obteve dados de perfis de usuários da rede social Facebook nos Estados Unidos e no Reino Unido, com o objetivo de influenciar eleitores em campanhas políticas. Pela grande comoção mundial causada, às responsabilidades das organizações no tratamento e disponibilização de dados pessoais. Diante disso, em 2016 a União Europeia (UE) criou, o Regulamento Geral de Proteção de Dados (RGPD), sendo aplicada aos países que fazem parte da UE no ano de 2018.
A RGPD, assim, estabelece um conjunto de princípios sobre a proteção de dados e direitos fundamentais como a liberdade e a privacidade. De acordo com os princípios estabelecidos na RGPD, no Brasil foi criada a Lei nº 13.709 de 14 de agosto de 2018, ou Lei Geral de Proteção de Dados Pessoais (LGPD), que busca controlar a forma como as empresas tratam os dados pessoais de seus usuários. A lei busca a adequação a era digital, onde os dados são trafegados e comercializados com o devido consentimento dos titulares das informações, cerceando os princípios da liberdade e privacidade.
A Lei nº 13.709 entrou em vigor em fevereiro de 2020, obrigando as organizações a se adaptarem às regulamentações propostas até a data definida. A adequação exige mudanças em larga escala no tratamento de dados pessoais que envolvem aspectos legais, tecnológicos, processuais e de governança e privacidade. No entanto, ela também representa oportunidades para fazer inovações, obter maior confiança de clientes e consumidores, oferecer maior transparência enquanto ao uso de dados pessoais, melhorar a relação com países que já utilizam a lei de proteção de dados, além de transformar a abordagem de gestão de dados, tudo isso trazendo garantias que a empresa esteja apta para a economia digital.
Princípios de Segurança da Informação
Os princípios da Segurança da Informação (SI) objetivam assegurar a proteção das informações contra acessos não autorizados (confidencialidade), manter a disponibilidade, ser íntegra e autêntica em seus devidos fins (integridade).
Tendo em vista que o banco de dados das empresas, diante da atual economia se torna um ativo considerando a informação como a base da vantagem competitiva. O desenvolvimento de políticas associadas às tecnologias da informação (TI) é uma das melhores maneiras de garantir padrões e procedimentos de TI eficazes, que protegem os recursos de TI organizacionais e controlam o compartilhamento de informações. O fator humano é o principal desafio para a implantação de boas práticas de segurança da informação na organização.
Confidencialidade, integridade e disponibilidade.
Estabelecida pela NBR ISO/IEC 27002 de 2013, a segurança da informação é baseada nos conceitos de confidencialidade, relacionado ao acesso da informação disponibilizada apenas para os usuários legítimos, integridade, que deve ser aplicada de forma a garantir a não adulteração da informação armazenada por um terceiro, e disponibilidade, onde a informações e recursos associados estejam disponíveis de forma imediata, independente da finalidade, conceitos intimamente relacionados ao conceito de SI e se constitui em objetivo a ser atingido para a preservação da informação face aos diversos tipos de ameaças que se apresentam.
A autenticidade na identificação do usuário de um sistema computacional deve ser pessoal, única e associada a três princípios: algo que o usuário sabe, algo que o usuário é, e algo que o usuário tem. A utilização de pelo menos dois desses princípios podem garantir um nível de autenticidade maior, prevenindo falhas em SI (Roratto & Dias, 2014).
Normas e Políticas de segurança da informação
A política de segurança da informação tem como objetivo orientar e coordenar as ações na organização de acordo com suas regras de negócios, leis e regulamentações. A política de SI é vista como um guia de procedimentos de proteção de dados da organização e como devem ser utilizados. Para tanto, deve ser envolvida de uma boa gestão e envolvimento da diretoria da empresa, de forma que atinja todos os níveis hierárquicos da empresa sobre sua utilização e conscientização.
Vale acrescentar que a empresa deve fazer uso de planos de contingência para assegurar que todo o pessoal responsável direto pelas mudanças tenha competência necessária para executar as tarefas estabelecidas.
Sob o aspecto técnico da SI, é possível dividi-lo em dois, a segurança física e a segurança lógica, e ambas possuem papel importante para garantir a proteção dos ativos da organização. A primeira, tem como foco impedir o acesso não autorizado em áreas críticas da organização. Enquanto a segurança lógica está voltada para o modo como os softwares são usados, configurados, desenvolvidos e executados. A segurança lógica está tanto associada a software quanto aos ativos de rede e suas configurações lógicas.
Nesse momento a gestão da segurança da informação deve se preocupar com a minimização de riscos associados a um incidente. Podem-se exemplificar incidentes na área de SI, como: dados incorretos armazenados num sistema, inundação que danifica equipamentos em uma central de dados (data center) ou o pagamento indevido em decorrência de erro na inclusão de dados no sistema financeiro de uma organização, entre outros.
Para que se concretize é importante uma aplicação eficiente da gestão dos riscos, desse modo o controle deve ser o primeiro passo para que a organização minimize as chances de incidentes em SI. Nesse sentido, treinamento constante, políticas internas e externas à organização e canais de comunicação são práticas que podem reduzir o impacto de incidentes em SI.
Regulamento Geral de Proteção de Dados (RGPD)
Um princípio fundamental na atual economia digital considera que todos tem direito sobre os próprios dados e a garantia de proteção dos mesmos, estabelecido pelo regulamento da UE 2016/679. Nesse sentido, a União Europeia criou o Regulamento Geral de Proteção de Dados (RGPD) para proteger a manipulação de dados pessoais por empresas de diversos segmentos de mercado e é fundamentado nos princípios do consentimento.
Para que o consentimento seja válido, deverá existir uma declaração escrita, ou em formato eletrônico, ou uma declaração oral registrada pelo titular do dado. A partir desse momento a RGPD exige que os dados pessoais adquiridos sejam tratados de forma legal, equitativa e transparente.
Assim, a empresa deverá ter um responsável pelo tratamento dos dados pessoais, que ficará responsável por se adequar ao regulamento e responder por eventuais incidentes em SI às autoridades de controle. No caso de os titulares dos dados identificarem que seus direitos foram violados, as autoridades de controle serão acionadas e, se confirmada a violação, esse organismo poderá solicitar que a empresa indenize o titular.
A intenção da RGPD não é impedir a exploração de dados pessoais, mas assegurar que essa exploração seja feita de acordo com a aprovação dos titulares dos dados. Essas práticas possuem um impacto direto nas atividades de negócios e consideráveis efeitos nos Sistemas Gerenciadores de Banco de Dados (SGBDs) das organizações.
Nesse sentido, há cinco efeitos do RGPD nos SGBD, a saber:
- Gestão de riscos: deve-se avaliar o risco de exposição às sanções e penalidades relacionadas com o RGPD;
- Titular e controle dos direitos dos dados: os SGBD devem ser projetados com os titulares dos dados no núcleo do modelo, inclusive em termos de transações econômicas;
- Consistência de propósito: o consentimento informado prévio deve ser específico e uma empresa não pode usar os dados coletados além da finalidade anunciada no momento em que o envolvido deu o consentimento; as organizações terão que prever o uso dos dados e preparar formulações claras;
- Transferência de dados para terceiros: as organizações deverão, claramente, mapear, gerir, monitorar e controlar a forma como processam e partilham dados; as empresas deverão adaptar os processos internos a essas funções adicionais;
- Transferência transfronteiriça: os SGBD deverão levar em conta a territorialidade do processamento e transferência de dados. Isso exigirá que as sociedades globais separem e segreguem o processamento de dados provenientes de residentes europeus de processos de dados em países que não são reconhecidos como “países adequados”.
O regulamento criado pela UE pode ser considerado um marco para a proteção dos dados pessoais, sendo utilizado como base para a adequação das legislações de vários países, inclusive o Brasil. Discute-se a seguir a proposição brasileira para a proteção de dados pessoais.
Lei Geral de Proteção de Dados Pessoais (LGPD) Brasileira
Com base no RGPD da União Europeia, foi aprovada no Brasil no dia 14 de agosto de 2018 a Lei nº 13.709, que dispõe:
Sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. (Medida Provisória n° 869, p.1)
A LGPD foi fundamentada nos princípios do respeito à privacidade, liberdade de expressão, de informação, de comunicação e de opinião; não violação da intimidade, honra e imagem, livre iniciativa, livre concorrência e defesa do consumidor e, principalmente, os direitos humanos. A LGPD não se aplica ao tratamento de dados pessoais realizado por pessoa natural com fins exclusivamente particular e não econômicos; realizados para fins exclusivamente jornalísticos, artísticos ou acadêmicos; segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.
A LGPD brasileira também é aplicado o princípio do consentimento. O titular dos dados pessoais tem o direito de obter da organização a relação dos seus dados armazenados. Também pode solicitar correções em dados incompletos ou desatualizados; bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a legislação vigente; portabilidade dos dados com a devida aprovação; e a revogação de consentimento.
Assim, os responsáveis pelo tratamento de dados juntamente com as empresas deverão estabelecer novas condições para a organização em relação ao seu regimento de funcionamento, procedimentos, incluindo termos para reclamação e petições dos titulares dos dados, além de implementações de normas de segurança, padrões técnicos, obrigações específicas para os envolvidos no tratamento de dados, ações educativas para seus empregados e supervisão de riscos do negócio e outros aspectos relacionados ao tratamento de dados pessoais.
A lei entra em vigor após decorridos 18 (dezoito) meses de sua publicação oficial em fevereiro de 2020. O não cumprimento da lei coloca as empresas sujeitas a punições administrativas. Essas punições vão desde advertência até multa associada ao faturamento da organização. Caso seja advertida, a organização terá um prazo para se adequar. As punições iniciam com multas em valor fixo pré-determinado até multas diárias, relativa a 2% do faturamento da empresa, limitada ao total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Contudo, foi vetada a criação da Autoridade de Controle que seria responsável para fiscalizar o cumprimento da lei. Assim reconhecida como Autoridade Nacional de Proteção de Dados (ANPD) e será composta por 21 membros.
Portanto, as companhias necessitarão de consideráveis modificações nos seus processos internos de coleta e armazenamento de dados, além de profundas alterações na gestão em segurança da informação. Os escassos recursos tecnológicos podem ser um limitador para adequação à lei, assim como o desconhecimento das melhores práticas em segurança da informação.
Nesse sentido, recomenda-se que as seguintes mudanças sejam aplicadas como passos iniciais para adequação à LGPD:
- Criação de uma política de segurança da informação conforme a regra de negócio da organização;
- Plano de formação com treinamento para os funcionários; definição do responsável pelo tratamento de dados;
- Mudanças no sistema de gestão empresarial (Enterprise Resource Planning ou ERP) para adequação aos direitos dos titulares dos dados;
- Se possível, utilização de consultorias externas para auxiliar a organização na adequação à LGPD.
O Brasil deu um passo importante para a proteção e privacidade dos dados pessoais, assim, adequando-se às práticas de países desenvolvidos.
Tainah Benevides
Institucional
Fone.: +55 85 3055-3058
Cel.: +55 85 98820-9128