A LGPD vem aí, sua empresa está preparada?

Por Sidnei Fernando da Silveira
Data Protection Officer - Nemetz & Kuhnen Advocacia

A Lei Geral de Proteção de Dados (LGPD) aprovada em agosto de 2018 e com vigência programada para 2020 vem aí, e traz multas de até R$ 50 milhões por infração. A Lei que já estava, há alguns anos em tramitação, teve seu processo de aprovação acelerada. Essa aceleração foi impulsionada pela entrada em vigor da lei Europeia de Proteção de Dados a GDPR. Esta protege, com bastante rigor, os dados de cidadãos europeus e criou um movimento Global para proteção de Dados, que obrigou, inclusive os EUA, a fazerem adaptações em seu sistema legal. Em suma, quem não possuir legislação de proteção de dados, terá cada vez mais dificuldades em fazer negócios com a Europa.

Mas, qual o motivo de estarmos dando tanta importância a questão da proteção de dados? Bem, talvez o exemplo mais emblemático é o vazamento de dados do site “Ashley Madison”, site de relacionamentos extraconjugais que teve dados de 40 milhões de usuários vazados. O vazamento causou suicídios, extorsões, demissões e divórcios em todo o mundo. A lei não combate apenas o vazamento, mas qualquer tipo de discriminação baseada em dados, objetivando sempre a garantia da privacidade. Maurício Ruiz, presidente da Intel do Brasil afirma que: “Os dados são o novo petróleo”. Essa afirmação fica óbvia quando percebemos empresas como a Uber e a Airbnb que possuem os Dados como seu principal ativo.

Analisando esses casos, imagine agora se uma empresa de aplicativo de transporte resolver medir a bateria do celular dos usuários no momento em que uma corrida for solicitada e a partir daí cobrar uma taxa de 80% de adicional nas corridas em que a bateria do celular do solicitante estiver abaixo de 5%. Por motivos óbvios, ninguém recusaria a corrida, porém, claramente estariam violando sua privacidade para obter um dado (Bateria do Celular) de forma a gerar um diferencial competitivo discriminando um grupo de usuários. E essas empresas poderiam fazer isso sem a sua autorização? É esse tipo de comportamento que a Lei tenta combater.

Em virtude disso, a lei exige das organizações, ajustes no seu material online, como por exemplo, a política de armazenagem de dados em arquivos (cookies) para usuários do site ou a publicação de políticas de privacidade. Porém, mais que isso, objetiva empoderar os titulares de dados, ora, os dados fornecidos para empresas prestarem serviços são dados pessoais e os titulares de dados devem, sim, se preocupar com a forma com que estes dados são armazenados e, se podem ser armazenados ou corrigidos.

Quando falamos em Proteção de Dados, cabe nos atentarmos um pouco às novidades em relação aos conceitos de segurança da informação. Quando consideramos a principal norma de Segurança da Informação, a ISO 27.001, o centro de toda gestão de segurança se baseia em um SGSI ou Sistema de Gestão de Segurança da Informação. Para atender a Lei Geral de Proteção de Dados, poderíamos considerar que o ponto central é um DBMS ou Sistema de Gestão de Proteção de Dados. A palavra "sistema" traduz um conjunto de metodologias, estratégias, políticas, procedimentos e ferramentas técnicas.

Como é possível observar, o DBMS é algo parecido com o SGSI, porém baseado em dados. Para criar o DBMS, as organizações precisarão olhar para os seus dados. Tudo começa criando um mapeamento do fluxo de dados dentro da organização. Para cada operação com dados, é preciso buscar uma base legal, que pode ser o consentimento do titular ou outros itens elencados nos artigos 7 e 10 da LGPD. O consentimento é quase sempre o caminho mais difícil, pois, ele precisa ser específico para cada operação, pode ser revogado a qualquer tempo e precisa ser claro (algo que pode ser subjetivo).

Portanto, é primordial que as organizações avaliem as bases legais para o tratamento. A partir daí, é necessária a análise dos riscos envolvidos. Para tratamentos ou operações com dados que envolvam alto risco, é preciso fazer uma análise de riscos específica para o tratamento. Essa análise por tratamento é a Análise de Impacto sobre Proteção de Dados ou Data Protection Impact Assessment (DPIA). Toda essa documentação gerada deve ser mantida sob responsabilidade do Encarregado de Proteção de Dados ou Data Protector Officer (DPO). Esse profissional deve ter conhecimento jurídico e de TI para manter o DBMS, e analisar casos de vazamentos, solicitações de titulares de dados e novos projetos ou demandas que impactam na proteção de dados, já que cada nova operação que envolva risco no tratamento deve ter sua própria DPIA.

Como é possível notar, o processo de adequação à lei é relativamente complexo. As organizações terão que ser responsáveis com questões de privacidade na internet e proteção dos dados de seus clientes. Esse processo envolve algo que normalmente as organizações não fazem, que é analisar seus próprios dados. Oportunidades podem surgir dessa análise. Um dado que estava lá e pode ser usado em uma campanha de marketing ou no lançamento de um novo produto. Ou ainda, um dado que gera um diferencial competitivo que a organização tinha e nem mesmo sabia.

Como toda grande mudança de paradigma, a lei gera oportunidades e ameaças. Quem sair na frente e se adequar rapidamente, terá um diferencial competitivo e um oceano azul de oportunidades. Por outro lado, quem deixar para a última hora, vai correr o risco de receber altas multas e sofrer um dano na sua imagem. Além disso, uma adequação feita às pressas e sem a mudança de cultura da organização é só “um monte de documentos” que dificilmente será mantido pela equipe. Correndo um alto risco do retrabalho para uma nova campanha de adequação.

O leitor deve estar se perguntando, mas qual a Data de Vigência da Lei? Essa é uma dúvida interessante. A Medida Provisória (MP) nº 869 alterou a entrada em vigor da Lei de 15 de fevereiro de 2020 para 15 de agosto de 2020. Entretanto, a Medida ainda não foi aprovada pela Câmara dos Deputados e pelo Senado. E caso a aprovação não ocorra até 04 de junho, volta a vigorar o texto original da Lei, ou seja, A Lei volta a vigorar a partir de 15 de fevereiro de 2020.

E aí, sua organização está preparada?



Sobre o autor:


Sidnei Fernando da Silveira, advogado, graduado em Sistemas da Informação, especialista em Direito Digital, gerente do núcleo de Direito Digital na Nemetz & Kuhnen Advocacia, com 20 anos de experiência em Segurança da Informação e Entusiasta da Lei Geral de Proteção de Dados, da GDPR, do Modelo PCI DSS e das Normas ISO 27.001, 22.301, 29.134, 19.600 e 37.001.


Sobre a Nemetz & Kuhnen Advocacia

Nemetz & Kuhnen Advocacia, novo cliente Fácil | Espaider, é uma sociedade de advogados fundada em 1984, na cidade de Blumenau/SC, que atua em todo o território nacional, bem como, no exterior, em atividades judiciais e extrajudiciais, especialmente nos setores empresarial, de saúde, esportivo, tributário, trabalhista, dentre outros.

O escritório fornece um serviço completo de adequação à LGPD, que vai desde o levantamento da situação atual até o fornecimento do serviço de atualização constante dos controles e terceirização da responsabilidade legal por proteção de dados (DPO). Os mesmos possuem um núcleo específico de Direito Digital, com uma equipe altamente qualificada e certificada, internacionalmente, em proteção de dados. Toda adequação é baseada nas principais normas de mercado e no modelo amplamente utilizado na Europa.

Fonte: www.nkadvocacia.com.br

Publicado em: 28/05/2019 11:14:49

Facebook Twitter Google Plus LinkedIn Whatsapp

Notícias

Arraial da Edusoft 2019

Arraial da Edusoft 2019

A festa junina, incentivada pela empresa, foi produzida pelos próprios colaboradores, e teve direito a guloseimas típicas, bandeirinhas, correio elegante, concurso de miss e mister caipira e até casamento!

Ex-alunas da inclusão digital relatam conquistas profissionais

Ex-alunas da inclusão digital relatam conquistas profissionais

Eluana Lotero Weber é surda e hoje integra equipe da marketing da HBSIS

PagueVeloz e Bludata contratam desenvolvedores em Blumenau

PagueVeloz e Bludata contratam desenvolvedores em Blumenau

Empresas oferecem horários flexíveis entre outros benefícios

Espaider e Resolubilidade

Espaider e Resolubilidade

Escritórios e departamentos jurídicos enfrentam diferentes níveis de complexidade. O cliente do Espaider pode iniciar com versões mais simples e ampliar suas funcionalidades sem trocar de sistema e sem mexer no banco de dados

Aulas de tecnologia para pessoas com deficiência terão início dia 15

Aulas de tecnologia para pessoas com deficiência terão início dia 15

Programa tem apoio do Seprosc e empresas de tecnologia

Datainfo é aprovada na avaliação CMMI-DEV NÍVEL 3

Datainfo é aprovada na avaliação CMMI-DEV NÍVEL 3

No fim do primeiro semestre deste ano, a Datainfo Soluções de TI conquistou um excelente resultado o 3º nível da avaliação CMMI-DEV.

GOVBR está entre as melhores empresas para se trabalhar

GOVBR está entre as melhores empresas para se trabalhar

Great Place to Work destaca empresa blumenauense de tecnologia

Projeto Inovar

Projeto Inovar

Seprosc proporciona mais um benefício para o seu associado

Receba as novidades em seu e-mail!



Agenda Seprosc

Agenda Eventos