Guia
completo LGPD
A Lei Geral de Proteção de Dados (LGPD) é uma legislação criada para proteger dados pessoais e sensíveis. Seu principal objetivo é regulamentar a coleta e o armazenamento de informações pelas empresas, garantindo transparência e obtenção de consentimento do titular dos dados, de modo a assegurar os direitos de privacidade e liberdade. Composta por 8 capítulos e 54 artigos, a LGPD foi aprovada em agosto de 2018 e entrou em vigor em 15 de agosto de 2020.
Para compreender de forma clara a LGPD, é fundamental entender o conceito de dados pessoais e dados pessoais sensíveis, uma vez que a lei ampliou essa definição.
Dados pessoais: São informações relacionadas a uma pessoa identificada ou identificável. Isso inclui, por exemplo, nome, endereço, e-mail, número de telefone, CPF, entre outros dados que possam identificar ou tornar identificável uma pessoa física.
Dados pessoais sensíveis: São informações que revelam aspectos mais íntimos ou particulares de uma pessoa, tais como origem racial ou étnica, convicções religiosas, filosóficas ou políticas, dados genéticos, biométricos, relativos à saúde ou à vida sexual, orientação sexual, entre outros, que merecem especial proteção devido ao seu potencial de causar discriminação ou preconceito.
Ela define o tratamento ou as ações que serão realizadas com dados pessoais de forma que o titular compreenda como seus dados estão sendo tratados. A lei se assemelha à Regulamentação Geral de Proteção de Dados (GDPR), aprovada na Europa em 2016 e instituída em 2018, porém a LGPD se aplica apenas ao território nacional. Quer entender as diferenças entre essas leis? Confira a tabela abaixo!
| Tratamento de Dados Sensíveis | Proíbe o tratamento de dados sensíveis com algumas exceções. | Protege os dados sensíveis, mas permite o uso de dados anonimamente ou a pseudonimização dos dados em casos específicos. |
| Tempo de reporte de violações | Empresas devem reportar a violação de dados em um prazo de 72 horas. | Empresas devem reportar a violação de dados depois de um período "razoável". |
| Uso compartilhado de dados | Não é autorizado o uso compartilhado de dados. | Pode ocorrer desde que seja para atender finalidades específicas de políticas, órgãos ou entidades públicas. |
| Relação entre controlador e operador | A relação entre controlador e operador deve ser estabelecida através de um contrato jurídico. | Não é necessário um vínculo jurídico ou formal entre controlador e operador. |
| Tratamento de dados de menores | O consentimento do tratamento de dados pode ser feito pelo menor a partir dos 16 anos de idade. | É obrigatório o consentimento dos pais ou responsáveis para dados de quaisquer pessoa menor de 18 anos. |
| Penalidades | Até 4% do faturamento global da empresa ou 20 milhões de euros. | Existem algumas opções: Até 2% do valor de receita de vendas da empresa ou até 50 milhões de reais, suspensão da atividade de coleta de dados, ou ampla divulgação da infração para a imprensa. |
| DPO | Não é obrigatório o uso de um Data Protection Office para que os dados sejam analisados e tenham conformidade garantida. | É obrigatório que as empresas tenham um DPO para garantir conformidade com a lei, através de um suporte ou de uma empresa terceirizada. |
Com a implementação da LGPD, as empresas precisaram designar seu DPO (Data Protection Officer), ou seja, o encarregado responsável pelas medidas de segurança voltadas para a proteção de dados. Além dele, há outros papéis importantes, como o controlador e os agentes de tratamento. Vamos entender melhor esses conceitos:
Profissional designado pela empresa para atuar como ponto de contato entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O DPO é responsável por garantir a conformidade com a LGPD e por promover boas práticas de proteção de dados dentro da organização.
Pessoa física ou jurídica, de direito público ou privado, responsável por tomar as decisões referentes ao tratamento de dados pessoais. O controlador define as finalidades, os meios e os procedimentos de tratamento de dados, enquanto respeita os direitos dos titulares.
São as pessoas físicas ou jurídicas, de direito público ou privado, que realizam o tratamento de dados pessoais em nome do controlador. Os agentes de tratamento devem atuar de acordo com as instruções do controlador e com as normas estabelecidas pela LGPD.
A ANPD é fundamental para garantir a implementação eficaz da lei. No próximo tópico, vamos explorar mais a fundo o surgimento da LGPD e o papel fundamental desempenhado pela ANPD nesse contexto.
Em 2012, o debate sobre a proteção de dados ganhou destaque na Europa devido ao aumento relevante de cibercrimes. Com a evolução dos métodos dos hackers, tornou-se essencial estabelecer uma base legal sólida.
Em 2018, a GDPR foi implementada em toda a Europa para lidar com essas questões. Porém, em 2016, aqui no Brasil, essa questão já era discutida através de debates e reuniões. Em 2020, a LGPD foi finalmente implementada para fortalecer a proteção de dados no país.
Com a sua implementação, surgiu a necessidade de criar um órgão responsável por verificar o cumprimento da lei e promover a cultura de proteção de dados, a ANPD - Autoridade Nacional de Proteção de Dados.
Seu objetivo é estabelecer um ambiente normativo para a proteção de dados e estruturar medidas para enfrentar os desafios relacionados a esse tema. A ANPD também é responsável por fiscalizar o tratamento de dados pessoais, receber reclamações dos titulares, e aplicar sanções em caso de violações à LGPD.
Por ser uma lei brasileira, ela se aplica a qualquer dado coletado em território nacional, com a finalidade de fornecer bens ou serviços ou tratar dados de indivíduos. Para que a coleta seja considerada "em território nacional", o titular dos dados deve estar no Brasil no momento em que fornece as informações.
No entanto, ela não se aplica a dados coletados para fins particulares e não econômicos, fora do território nacional, que não sejam objeto de comunicação ou que tenham objetivos jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do Estado ou envolvidos em atividades de investigação e repressão de infrações penais.
É importante ressaltar que a lei é válida para empresas de todos os tamanhos. Se a sua empresa já possui dados coletados ou realizados antes da vigência da LGPD, esses dados também se enquadram na legislação e devem ser revisados e classificados de acordo com as normas de consentimento do usuário.
O descumprimento da lei certamente resultará em sanções. Mas antes de apresentá-las, destacamos alguns artigos importantes que ajudarão a
compreender melhor a amplitude da legislação:
Art. 6. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios de finalidade (I), adequação (II), necessidade (III), livre acesso (IV), qualidade dos dados (V), transparência (VI), segurança (VII), prevenção (VIII), não-discriminação (IX) e responsabilização (X)."
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. [...]
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.[...]
Advertência com indicação de prazo para adoção de medidas corretivas.
Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.
Eliminação dos dados pessoais a que se refere a infração.
Multa diária, observado o limite total de R$ 50 milhões por infração.
Multa simples, de até 2% do faturamento da empresa no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração.
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Bloqueio dos dados pessoais a que se refere a infração até a sua regularização.
Comunicar publicamente a infração após devidamente apurada e confirmada a sua ocorrência.
NOTA: É importante mencionar que a LGPD prevê que o acusado tenha o direito de defesa e que as punições ocorram somente após avaliação dos fatos. A legislação também estabelece o princípio da "regulamentação da dosimetria da pena", ou seja, a aplicação das sanções de forma proporcional à gravidade da infração, considerando fatores como a natureza e a gravidade da infração, o dano causado, a vantagem auferida pelo infrator, a reincidência, entre outros.
Desde 2020, a Lei Geral de Proteção de Dados (LGPD) tem levado muitas empresas a adotarem uma abordagem mais holística em relação à proteção de dados. Traçando uma linha do tempo até os dias atuais, um acontecimento em particular que em breve será atrelado aos artigos já estabelecidos é o Marco Legal da Inteligência Artificial.
Ainda em tramitação como projeto de lei (n°2338/2023), a proposta visa assegurar a proteção dos usuários impactados pelas Inteligências Artificiais (IAs). O governo pretende supervisionar e fiscalizar questões relacionadas à Inteligência Artificial para promover um desenvolvimento tecnológico seguro.
Com a sua crescente popularização, torna-se cada vez mais necessário estabelecer regulamentações para essa tecnologia avançada. Apesar dos diversos benefícios já evidentes, há também preocupações, uma vez que cibercriminosos também podem se aproveitar dessas tecnologias.
O projeto de lei propõe algumas ações como:
Empresas que utilizam Inteligência Artificial como ferramenta podem estar sujeitas a fiscalizações, especialmente aquelas que desenvolvem ferramentas voltadas para segurança cibernética utilizando os recursos da Inteligência Artificial e Machine Learning. O objetivo é assegurar que essas ferramentas sejam utilizadas de maneira segura e responsável.
O uso de Inteligências Artificiais para tomadas de decisão, como contratação ou concessão de crédito, por exemplo, implica em uma responsabilidade ainda maior. Caso ocorra algum problema, o Marco Legal das Inteligências Artificiais deverá atribuir responsabilidades aos desenvolvedores dessas tecnologias.
Isso significa que as empresas terão que adotar medidas adicionais para proteger a privacidade e os direitos dos titulares de dados, levando em consideração as peculiaridades do uso de IA no tratamento de dados pessoais.
Dado que as Inteligências Artificiais possuem a capacidade de coletar, analisar e interpretar grandes volumes de dados, a privacidade dessas informações torna-se um aspecto fundamental para prevenir vazamentos.
O Marco Legal das Inteligências Artificiais deverá estabelecer padrões para garantir a coleta de dados de forma segura, assegurando que as informações sejam devidamente protegidas e que os titulares tenham clareza sobre os propósitos de uso desses dados. Esse alinhamento com a LGPD é essencial para a proteção dos direitos dos titulares dos dados.
Os desenvolvedores de Inteligências Artificiais precisarão ser mais transparentes sobre como suas tecnologias são desenvolvidas e operam. Atualmente, há um conhecimento limitado sobre o funcionamento desses algoritmos, portanto, essa informação deverá ser comunicada com maior clareza e transparência.
O Marco Legal da Inteligência Artificial impacta a LGPD ao estabelecer padrões e regulamentações específicas para o uso de Inteligência Artificial no tratamento de dados pessoais.
Isso significa que as empresas terão que adotar medidas adicionais para proteger a privacidade e os direitos dos titulares de dados, levando em consideração as peculiaridades do uso de IA no tratamento de dados pessoais.
Para se adequar a Lei Geral de Proteção de Dados, há algumas medidas que devem ser tomadas dentro da sua organização. Se por acaso a sua empresa já estiver em conformidade com a GDPR, a boa notícia é que irá levar pouquíssimo tempo para adaptar as medidas para a LGPD. E mesmo se sua empresa ainda não estiver dentro dos padrões de conformidade, não é complicado se adaptar. Confira aqui os passos que devem ser seguidos:
Qualifique seu banco de dados de acordo com as normas da LGPD, classificando e identificando os dados já existentes.
Redefina seus procedimentos de coleta de dados, considerando as normas de consentimento do usuário.
Nomeie um administrador de proteção de dados interno ou de terceiros para cuidar da conformidade de seus dados e tenha uma equipe de avaliação contínua para cuidar da violações e processamento, que deve ser um DPO (Data Protection Center).
Reforce toda a segurança de TI através de ferramentas que podem evitar vulnerabilidades desconhecidas, ameaças internas e outros ataques cibernéticos em sua rede.
Saúde
Educação
Setor
financeiro
Os hospitais e clínicas devem adotar medidas rigorosas para garantir a segurança e privacidade dos dados dos pacientes, dado o volume de informações sensíveis que lidam diariamente. É importante designar os responsáveis pelo tratamento dessas informações e implementar protocolos de segurança robustos.
A proteção de dados é ainda mais crucial no setor de saúde, pois um vazamento de informações pode ter sérias repercussões para os pacientes e para a reputação da instituição.
Embora a paralisação total de um hospital devido a um vazamento de dados seja improvável, as multas e penalidades podem impactar negativamente suas operações. Por isso, é essencial investir em tecnologias de segurança da informação, como criptografia e autenticação multifatorial, para proteger os prontuários eletrônicos contra acessos não autorizados. Essas medidas ajudam a garantir a conformidade com a LGPD e proteger a integridade e privacidade dos dados dos pacientes.
As instituições de ensino devem estar em conformidade com a LGPD, implementando medidas eficazes para proteger os dados pessoais de milhares de alunos, pais, professores e funcionários. Esses dados abrangem uma variedade de informações que precisam ser protegidas adequadamente. Quando se trata de instituições de ensino para crianças, a criticidade da proteção de dados aumenta consideravelmente, especialmente devido aos diversos crimes cibernéticos e de segurança que infelizmente ocorrem.
É fundamental garantir que a coleta e o tratamento de dados na educação sejam realizados com transparência e com o consentimento dos envolvidos, respeitando os direitos de privacidade. A segurança dos dados é primordial para proteger não apenas a integridade das informações, mas também a confiança e o bem-estar dos alunos, pais, professores e demais envolvidos.
O setor financeiro desempenha um papel fundamental na proteção das informações financeiras de milhões de clientes. Nesse contexto, as regulamentações para instituições financeiras são rigorosas, incluindo não apenas a LGPD, mas também normas específicas como a ISO27001, uma certificação voltada para a proteção de dados.
É importante que as transações financeiras dos clientes sejam seguras, íntegras e confidenciais. Para isso, as instituições financeiras utilizam tecnologias avançadas de segurança da informação, como criptografia e autenticação multifatorial, a fim de proteger os dados contra acessos não autorizados e fraudes.
Elas também devem implementar políticas e procedimentos adequados para garantir a segurança dos dados e a conformidade com as leis de proteção de dados. Essas medidas são pilares para preservar a confiança dos clientes no setor financeiro.
Destacamos algumas áreas importantes e de grande impacto na vida de todos. No entanto, independentemente do tamanho ou segmento do negócio, assim que você começa a lidar com informações pessoais de terceiros, é imprescindível estar em conformidade com a LGPD e garantir a proteção adequada desses dados.
Atender aos requisitos da lei exige muito trabalho e organização. Para empresas com um grande volume de informações pessoais, é praticamente impossível fazê-lo manualmente. Portanto, a necessidade de ferramentas que auxiliem no tratamento desses dados é crucial.
Uma solução SIEM completa com recurso de UEBA (User and Entity Behavior Analytics) para gerenciar e monitorar logs em tempo real. Além de detectar ameaças, ela analisa o comportamento dos usuários e toma medidas corretivas ao identificar anomalias.
Uma ferramenta de gerenciamento unificado para ambientes do Office 365 que oferece recursos para gerenciar usuários, grupos, licenças, políticas de segurança e auditoria.
Uma solução de gerenciamento de endpoints que permite gerenciar e proteger endpoints, aplicar políticas de segurança, implantar patches e detectar ameaças.
Uma ferramenta de auditoria e geração de relatórios para Active Directory, servidores de arquivos e servidores Windows que fornece insights em tempo real sobre atividades de usuários e alterações de configuração.
Uma solução de segurança de dados que oferece monitoramento de dados confidenciais, detecção de ameaças, prevenção contra vazamento de dados e conformidade com regulamentações.
Uma solução de gerenciamento de senhas privilegiadas que ajuda a gerenciar, armazenar e auditar o uso de senhas privilegiadas de forma segura.
Uma solução de gerenciamento de identidade e acesso que simplifica tarefas como gerenciamento de contas de usuário, provisionamento e desativação de contas, e atribuição de permissões no Active Directory.
Uma solução abrangente de gerenciamento de acesso privilegiado (PAM) que ajuda a gerenciar, monitorar e auditar o acesso privilegiado em toda a organização.
Sim, todas as empresas que coletam, armazenam ou processam dados pessoais de indivíduos no Brasil, independentemente do seu porte ou segmento, precisam se adequar à LGPD. Isso inclui empresas públicas e privadas, além de organizações sem fins lucrativos.
Para determinar as soluções adequadas, é importante realizar uma avaliação das necessidades específicas da sua empresa em relação à proteção de dados. Ferramentas como Log360, ADAudit Plus, EventLog Analyzer e outras mencionadas anteriormente podem ser úteis, dependendo dos requisitos e do ambiente da sua empresa. Converse com um de nossos especialistas para entender melhor suas necessidades! Envie um e-mail para latam-sales@manageengine.com.
Em caso de vazamento de dados, a empresa pode enfrentar diversas consequências, incluindo multas gravíssimas, danos à reputação, perda de confiança dos clientes e ações judiciais. É fundamental notificar a ANPD e os titulares dos dados afetados e tomar medidas para mitigar os danos e evitar novos vazamentos.
Sim, mesmo que sua empresa tenha sede em outro país, mas colete dados de indivíduos no Brasil, ela precisa se adequar à LGPD. A lei se aplica a todas as operações de tratamento de dados realizadas no território brasileiro, independentemente da localização da empresa responsável pelos dados.
Fale com um de nossos especialistas no e-mail:
latam-sales@manageengine.com
Isenção de responsabilidade: A ManageEngine ressalta que o conteúdo desta página é informativo e não deve ser considerado como aconselhamento jurídico. Para obter conformidade com a LGPD é preciso uma combinação de soluções, processos, pessoas e tecnologias. As soluções citadas são algumas ferramentas de gerenciamento de TI que podem contribuir com os requisitos mencionados da lei. Não oferecemos garantias expressas, implícitas ou estatutárias em relação às informações contidas neste material.