RESUMINDO A LEI BRASILEIRA:

No dia 14 de Agosto de 2018 foi sancionada a nova Lei Geral de Proteção de Dados Pessoais que regulamenta o uso, a proteção e a transferência de dados pessoais.

Embora as obrigações legais e as penalidades passem a vigorar a partir de Fevereiro de 2020, muitas companhias já tiveram que se adequar à GDPR (Regulação Geral de Proteção de Dados) – vigente na União Europeia desde maio de 2018 e se preparam para transição à uma economia de dados regulada.

A QUEM SE APLICA A LGPD?

A LGPD se aplica às empresas que têm estabelecimento no Brasil, oferecem serviços ao mercado/ consumidor brasileiro e coletam/ tratam dados de pessoas localizadas no país.

Quais áreas empresariais são impactadas pela LGPD?

  • Marketing
  • Desenvolvimento de software e TI
  • Gerenciamento de Produtos
  • Jurídico
  • Compliance
  • Recursos Humanos
  • Serviços e Logística
  • Análise de Dados

Na prática, cada organização terá que estabelecer critérios para cada pedaço da informação sobre as pessoas (funcionários, clientes, prospects, etc.) e restringir a exposição e o risco ao que é necessário para a prestação do serviço.

Segundo a LGPD, dado pessoal é qualquer informação que possa levar à identificação de uma pessoa, de maneira direta ou indireta. Ex.: dados cadastrais, dados de localização, identificadores eletrônicos, hábitos de consumo, preferências, etc.

Operações como transferência de dados, deslocamento de carga entre data centers, ou prestação de serviços globais tendem a ficar restritas a países com legislações equiparáveis. A lei brasileira tem alguns critérios ligeiramente diferentes de proteção e é mais precisa em itens como definição de “dados anônimos”. Mas os princípios de finalidade, consentimento, responsabilidades e penalidades prevalecem.

Vários mecanismos da Lei de Proteção de Dados complementam ou ratificam regras já existentes, como o Marco Civil da Internet ou regulações globais como o PCI.

Em termos de tecnologia e abordagens de segurança de dados, há muito o que ser aproveitado nas empresas de setores sujeitos a alguma regulação. Mas o marco legal também reforça a atenção de parceiros, clientes e consumidores à forma com que seus dados são tratados.

Dados pessoais, sensíveis e anônimos

Conforme a lei são objeto de proteção “os dados processados ou coletados em território nacional, ou que sirvam para a oferta de bens e serviços no mercado brasileiro”.

O conceito de “dado sensível” é bem abrangente e inclui metadados como: endereço IP, localização, além de informações claramente pessoais.

Possivelmente devido à contribuição das associações profissionais, o texto traz forte proteção do direito individual, sem engessar a tecnologia nem os modelos de negócios baseados em ciência de dados.

Em relação a dados “anônimos”, a lei impõe a garantia de que não possam ser revertidos, para identificação do dado original, com “os meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Ou seja, a personalização de serviços, as análises estatísticas e outras formas de alavancar os dados não precisam ser descartadas, desde que as informações não sejam pessoalmente identificáveis.

Novos procedimentos de coleta, transferência e governança dos dados

Os princípios de Finalidade e Consentimento norteiam tanto a GDPR quanto a lei brasileira. Em resumo, torna-se ilegal o uso ou a transferência de dados pessoais para fins que não forem expressamente autorizados pelo cidadão. “O consentimento deverá se referir a finalidades determinadas, sendo nulas as autorizações genéricas para o tratamento de dados pessoais”, explicita o inciso 4º do artigo 8. “O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado”, diz o inciso seguinte.

Dados em nuvem e transferências internacionais

A lei não entra em detalhes sobre localização e soberania de dados. O próprio artigo 3º, que tipifica os dados sob proteção, deixa claro que a aplicação é “independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”.

Os artigos que tratam da transferência internacional de dados são relativamente flexíveis, desde que cumpridas as regras de finalidade e consentimento, não há restrições gerais ao armazenamento ou tratamento fora do país. Entretanto, deixam a cargo do “órgão competente” ratificar legislações nacionais, códigos de conduta de corporações globais e outros critérios para regular as transferências internacionais.

Normalmente, há três critérios de definição de soberania de dados:

– físico (onde o dado está armazenado);

– por jurisdição (o poder da autoridade nacional sobre o site em que está o dado); e

– soberania lógica (quem encripta, acessa e gerencia).

É fato que a GDPR e leis semelhantes estimulam os provedores globais a investir em data centers locais, mas as regras baseadas em localização física tendem ao desuso.

Em resumo, a tendência do auditor ou dos certificadores de compliance é olhar a proteção da informação em si mesma. Independentemente de estar no servidor da empresa, na nuvem ou trafegando pela rede. O que importa é assegurar que o dado só possa ser visualizado, transferido ou alterado conforme as diretrizes da lei.

Responsabilidade dos provedores, dos proprietários dos dados

As leis de proteção de dados não entram em detalhes sobre infraestrutura e arquitetura tecnológica, até porque comprometeria sua longevidade. As questões de segurança e compliance, assim como a distribuição de responsabilidades, são peculiares em cada caso.

Prejuízos potenciais e riscos internos

Além de responder pelos danos de vazamentos ou uso indevido de dados, entre as penalidades previstas da LGPD, está uma multa de até 2% da receita bruta anual da organização.

É obrigatória a notificação de incidentes de vazamento ou violação ao “órgão competente”, que determinará ou não a comunicação pública aos titulares dos dados e outras partes interessadas. Contudo, admite uma atenuação de eventuais sanções, caso a organização tenha demonstrado intenção com boas práticas e planos de ação auditados, de minimizar os danos.

A abrangência da LGPD ao longo das organizações vai estender a questão dos dados a diversos níveis. A clareza em relação aos riscos também não é mais restrita aos tecnólogos. Certamente, descuidos ainda hoje comuns, como exposição de dados críticos aos ataques mais primários, muito em breve vão inviabilizar os negócios. Uma das contrapartidas previsíveis desse amadurecimento das empresas, infelizmente, deve ser a proliferação de tentativas de aliciamento de funcionários ou usuários com acessos privilegiados.