Você está na página 1de 27

GUIA COMPLETO

SOBRE A LEI GERAL DE PROTEÇÃO


DE DADOS (LGPD) PARA EMPRESAS

Apoio:
POR QUE VOCÊ E A SUA EMPRESA DEVEM
SE PREOCUPAR COM SEGURANÇA DIGITAL?

A falta de privacidade e a preocupação com a segurança de dados na nuvem é um assunto bastante discutido nos últimos
tempos - principalmente nos ambientes corporativos. Para se ter uma ideia, segundo a Breach Level, apenas no primeiro
semestre de 2018, 4,6 bilhões de arquivos foram acessados indevidamente ou furtados em todo o mundo.

O Brasil, por exemplo, é o 3° país no ranking de crimes cibernéticos e o 2° em sequestro de dados e, após diversos e
sucessivos escândalos de manipulação de dados e vazamentos dos quais tornaram-se rapidamente públicos, atingindo
milhares de usuários, algumas medidas foram necessárias. Para contornar essa situação caótica, foi criada, aprovada a
sanção da Lei Geral de Proteção de Dados (Lei 13.853/2019) - uma proposta similar aos modelos que já estão presentes
em mais de 120 países.

Após essas mudanças, você saberia nos dizer como a sua organização será impactada?

Se esse assunto ainda parece confuso para você, não se preocupe, estamos aqui para esclarecer todas as dúvidas.
Neste e-book, vamos falar no detalhe sobre todos os aspectos da Lei 13.853/2019 e suas implicações.

Boa leitura!
O QUE VOCÊ VAI VER POR AQUI:

Sobre a LGPD 04

Impacto para as organizações 08

Em que condições uma empresa está autorizada a tratar dados? 15

Segurança da Informação & Lei Geral de Proteção de Dados 21


1
SOBRE A LGPD
ASPECTOS GERAIS
A Lei Geral de Proteção de Dados (LGPD) é uma nova
legislação que entrará em vigor em agosto de 2020
no Brasil para estabelecer normas relacionadas ao
tratamento de dados de pessoa física nas suas mais
variadas aplicações e ambientes.
O QUE É
LGPD? Seguindo as bases do regulamento geral de proteção
de dados europeu (GDPR), a LGPD mudará a forma de
funcionamento e operação das organizações, e
estabelece regras de coleta, armazenamento,
tratamento e compartilhamento de dados pessoais,
tornando a proteção de dados ainda mais relevante.

05
PARA QUEM SE APLICA
A Lei é válida para qualquer pessoa natural
ou jurídica, de direito público ou privado,
Quem são os principais atores no
que realize o tratamento de dados pessoais,
tratamento de dados pessoais?
online e/ou offline, no Brasil - independente
de qual seja o país sede em que os dados No ponto de vista da LGPD, 1 TITULAR
há cinco atores mais 2 CONTROLADOR
estejam localizados.
importantes no tratamento
3 OPERADOR
de dados pessoais:
4 ENCARREGADO
5 AUTORIDADE NACIONAL
DE PROTEÇÃO DE DADOS
(ANPD)

06
Os 10 PRINCÍPIOS DA LGPD
A Lei elenca dez princípios que as organizações devem seguir
quanto ao tratamento de dados e são eles:

FINALIDADE ADEQUAÇÃO NECESSIDADE LIVRE ACESSO QUALIDADE DOS DADOS

O tratamento dos dados Compatibilidade com a Limitação do tratamento Garantia de acesso ao Garantia da exatidão,
deve ter propósito legítimo, finalidade informada mínimo necessário para a tratamento e à clareza, relevância e
específico, explícito e ao titular. realização de suas integralidade de atualização dos dados.
informado ao titular. finalidades. seus dados.

RESPONSABILIZAÇÃO E
TRANSPARÊNCIA SEGURANÇA PREVENÇÃO NÃO DISCRIMINAÇÃO
PRESTAÇÃO DE CONTAS
Garantia aos titulares, Medidas técnicas e Adoção de medidas para Impossibilidade do Evidenciar a adoção de
de informações claras, administrativas aptas a prevenção de incidentes tratamento dos dados medidas e controles
precisas e facilmente proteger os dados de danos para tratamento para fins discriminatórios, eficazes ao cumprimento
acessíveis. pessoais. de dados pessoais. ilícitos ou abusivos. das normas de proteção de
dados pessoais.

07
2
IMPACTO PARA
AS ORGANIZAÇÕES
QUAIS
Você deve estar se perguntando quais são
ORGANIZAÇÕES os modelos de negócios que devem estar de
DEVEM SE acordo com a LGPD. A resposta é simples:

ADEQUAR organizações de todos os setores e tamanhos


tratam dados pessoais, por isso, a Lei é válida
DE ACORDO para todas elas.
COM A LGPD?

09
CONTROLE DE DADOS PELOS TITULARES

Em linhas gerais, os titulares de dados passarão a ter maior controle sobre todo o processamento dos seus dados
pessoais - do que decorrem diversas obrigações para controladores (a quem competem as decisões sobre o
tratamento dos dados) e operadores (aqueles que tratam os dados de acordo com o estipulado pelos controladores).

Com as mudanças propostas, os titulares de dados pessoais passam a ter os seguintes direitos:

1. Confirmação da existência de tratamento de dados;


2. Acesso aos dados;
3. Correção de informações incompletas ou desatualizadas;
4. Direito a anonimização, portabilidade e eliminação dos dados;
5. Conhecimento sobre possíveis compartilhamentos;
6. Direito a esclarecimentos sobre as consequências de não fornecer dados;
7. Direito a revogar o consentimento das informações.

10
PRINCÍPIOS DA
FINALIDADE
Está lembrado dos princípios que falamos no tópico anterior?
Um dos mais relevantes é o da finalidade, por meio do qual
os dados deverão ser utilizados apenas para as finalidades
Segundo a LEI, o que é considerado tratamento de dados?
específicas para as quais foram coletados e devidamente
informadas aos titulares. Tratamento (art. 5o, X): toda operação realizada com dados
pessoais, como as que se referem a coleta, produção, recepção,
Somado à isso, também ressaltamos o princípio da necessidade classificação, utilização, acesso, reprodução, transmissão,
da coleta o qual significa que somente devem ser coletados distribuição, processamento, arquivamento, armazenamento,
os dados mínimos necessários para que se possa atingir a eliminação, avaliação ou controle da informação, modificação,
finalidade. Há também a retenção mínima que determina a comunicação, transferência, difusão ou extração.
imediata exclusão dos dados após atingida a finalidade pela
qual as informações foram coletadas.

11
As empresas deverão contar em seu quadro de funcionários com a figura
do Encarregado, que será o responsável pelo relacionamento com os
titulares dos dados, a comunicação com a ANPD, adoção de providências
QUEM É O em incidentes de privacidade e a disseminação das práticas relacionadas

RESPONSÁVEL
à proteção de dados pessoais.

PELA Além disso, também foi criada a Autoridade Nacional de Proteção de


Dados (ANPD) vinculada ao Ministério da Justiça. Entre as competências

FISCALIZAÇÃO da ANPD estão zelar pela proteção dos dados pessoais, elaborar diretrizes
para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e

DA LGPD? aplicar sanções em caso de tratamento de dados realizado de forma


irregular. A ANPD terá natureza transitória e poderá ser transformada em
autarquia vinculada à Presidência da República após dois anos, ficando
a critério do Governo essa decisão.

12
QUAIS AS CONSEQUÊNCIAS PARA AS
EMPRESAS QUE NÃO SE ADEQUAREM A LGPD?
Para as empresas que não se adequarem, a LGPD prevê diversas formas de punições.
Dentre as penas previstas estão:

1 Advertências com indicação de prazos para adoção de medidas corretivas; - Multa simples de até 2% do faturamento
da empresa no seu último exercício (excluindo os tributos) e limitada até o valor de R$ 50.000.000,00 por infração;

2 Multa diária (observando o limite anterior);

3
Publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a
que se refere a infração até a sua regularização;

4 Eliminação dos dados pessoais a que se refere infração.

13
QUAIS AS CONSEQUÊNCIAS PARA AS
EMPRESAS QUE NÃO SE ADEQUAREM A LGPD?
Vale lembrar que as sanções serão aplicadas somente após procedimento administrativo
que possibilite a oportunidade de defesa e considerando os seguintes parâmetros:

Gravidade e a natureza das infrações e dos Cooperação do infrator;


direitos pessoais afetados;
A adoção demonstrada de mecanismos e
Boa-fé do infrator; procedimentos internos capazes de minimizar
o dano, voltados ao tratamento seguro e
Vantagem auferida ou pretendida pelo adequado de dados.
infrator;
Adoção de política de boas práticas e
Condição econômica do infrator; governança;

Reincidência; A pronta adoção de medidas corretivas e a


proporcionalidade entre a gravidade da falta
Grau do dano; e a intensidade da sanção.

14
3
EM QUAIS CONDIÇÕES
UMA EMPRESA ESTÁ
AUTORIZADA A
TRATAR DADOS?
Organizações, públicas e privadas, assim como a sua empresa, só poderão coletar
dados pessoais se tiverem consentimento do titular, segundo a LGPD.

A solicitação deverá ser feita de maneira clara, passando aos seus consumidores
exatamente aquilo que será coletado, para quais fins e se haverá compartilhamento

COLETA E dessas informações. Caso os dados coletados possuam o envolvimento de menores


de idade, as informações relacionadas a essa coleta só poderão ser liberadas por

TRATAMENTO DE meio do consentimento dos pais ou responsáveis legais.

DADOS SEGUNDO Se houver mudança na finalidade ou, até mesmo, no repasse dos dados a
terceiros, você e a sua equipe, em nome da sua empresa, deverão solicitar um

A LGPD novo consentimento aos seus clientes.

O usuário também poderá, sempre que desejar, revogar a autorização existente,


assim como pedir também acesso, exclusão, portabilidade, complementação ou
correção dos dados. E, se o uso das informações do seu consumidor levar a uma
decisão automatizada indesejada, é direito dele pedir uma revisão humana do
procedimento.

16
DADOS PESSOAIS

Segundo a Lei, dado pessoal é uma informação relacionada a pessoa natural identicada ou identicável.
Podem ser citados como exemplo: data de nascimento, profissão, dados de GPS, dados de cadastros em geral,
nacionalidade, gostos, interesses e entre tantos outros.

Na prática, são dados que podem ser usados em diferentes áreas e atividades de uma empresa tais como:

MARKETING / COMERCIAL: ATENDIMENTO AO CLIENTE (SAC):


captação de leads; informações cadastrais.
prospecção de clientes.

RECURSOS HUMANOS: DESENVOLVIMENTO:


captação de dados no processo captação de dados
admissional, informações sobre a biométricos, informações
usabilidade dos convênios médicos de geolocalização.
pelos colaboradores; informações de
consumo em convênios e benefícios.

17
COLETA E TRATAMENTO DE DADOS
SEGUNDO A LGPD
1º. Consentimento pelo titular;

2º. Cumprimento de obrigação legal ou regulatória;

Para realizar a coleta e 3º. Execução de políticas públicas pela administração pública;

tratamento de dados, as 4º. Estudos por órgão de pesquisa;


empresas são obrigadas a
5º. Execução de documentos contratuais / Diligências Pré-contratuais;
comprovar, ao menos, um
dos seguintes motivos para 6º. Exercício Regulares de Direitos;

o seu tratamento: 7º. Proteção da vida ou bem-estar físico do titular;

8º. Tutela da saúde;

9º. Legítimo interesse do controlador;

10º. Proteção do crédito.

18
Através da LGPD, foi criada a classificação de “dados
DADOS SENSÍVEIS: sensíveis” vinculados a uma pessoa natural.
COLETA E
TRATAMENTO DE Essa categoria diz respeito a informações como
convicção religiosa, opinião política, origem racial
DADOS SEGUNDO ou étnica, dados referentes à saúde ou à vida sexual,
A LGPD filiação a sindicatos, dados genéticos ou biométricos.

19
Houver o consentimento do titular
para finalidades específicas.

Será permitido trabalhar com dados


sensíveis sem o consentimento do
O tratamento de dados titular se for indispensável para:
sensíveis só poderá
Cumprimento de obrigações legais;
acontecer se:
Tratamento compartilhado pela administração pública
que esteja previsto em Lei ou Regulamentos;

Realização de estudos por órgãos de pesquisa;

Exercício regular de direitos em contratos ou processos


judiciais e administrativos;
Proteção da vida do titular ou terceiros;
Procedimentos realizados por profissionais ou entidades
da área da saúde;
Garantia de prevenção à fraude e a segurança do titular
em sistemas de cadastros eletrônicos.

20
4
SEGURANÇA DA
INFORMAÇÃO &
LEI GERAL DE
PROTEÇÃO DE DADOS
Com o aumento dos cibercrimes, os ataques maliciosos estão trazendo diversos prejuízos para todos os tipos de
negócios com os vazamentos de dados. Em busca de controles mais eficazes, a preocupação com a utilização de
boas práticas de segurança da informação tornou-se essencial para resolver esta questão.

Para apoiar e cumprir os princípios da Lei Geral de Proteção de Dados Pessoais (Lei 13.853/2019), listamos aqui os
requisitos da Norma ABNT ISO/IEC 27001 - a qual traz controles atestados e utilizados em muitos países.

O artigo 46 da LGPD prevê que as empresas que


trabalham com tratamento de dados devem adotar
medidas de segurança, técnicas e administrativas
para proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas.

QUAIS AS AÇÕES PREVENTIVAS QUE A SUA EMPRESA


ESTÁ TOMANDO?

22
LEI GERAL DE PROTEÇÃO DE DADOS
ABNT NBR ISO/IEC 27001
PESSOAIS (13.853/2019)

Medidas de segurança, técnicas e administrativas A.12.1. Responsabilidade e procedimentos operacionais

A.9. Controle de Acesso

A.7.2.2. Conscientização, educação e treinamento de segurança da informação

A.8.2.1. Classificação da informação


Acessos não autorizados
A.11. Segurança física e do ambiente

A.12.3.1. Cópias de segurança das informações

A.14.2. Segurança em processos de desenvolvimento seguro

A.5.1.1. Políticas para segurança da informação

A.12. Gestão de vulnerabilidades técnicas


Situações acidentais ou ilícitas de destruição
A.16. Gestão de incidentes de segurança da informação

A.17.1. Continuidade da segurança da informação

Informação 6.1. Gestão de Riscos Segurança Informação

A.9. Controle de Acesso

Destruição, perda, alteração, comunicação A.12.3. Cópias de Segurança

A.17.1. Continuidade da segurança da informação

23
Em caso de incidente de segurança que possa trazer
danos aos titulares das informações, segundo o artigo 48
da LGPD, a organização deverá comunicar à autoridade
nacional e ao titular da ocorrência.

LEI GERAL DE PROTEÇÃO DE DADOS


ABNT NBR ISO/IEC 27001
PESSOAIS (13.853/2019)

16.1.2. Notificação de eventos de segurança da informação


O controlador deverá comunicar à autoridade nacional
16.1.3. Notificando fragilidades de segurança da informação

24
AGORA ESTÁ NA
HORA DE COLOCAR
EM PRÁTICA
Adotar métodos corretos, eficientes, e aplicá-los com regularidade
podem resultar na economia de custos ainda maiores para o seu negócio.
Suas vantagens para o futuro são diversos e podem evitar prejuízos
muito severos.

É importante entender que segurança e gestão de vulnerabilidade são


investimentos e cuidados mais do que necessários.

Agora que você já sabe o que é LGPD, comece a agir o mais rápido possível.
Só assim para você ter uma gestão de dados mais segura e eficiente, e ao
mesmo tempo, com clientes mais fiéis e resultados cada vez melhores.

26
QUER SABER MAIS SOBRE ESSE ASSUNTO?
Entre em contato conosco!

ecotrust@ecoit.com.br contato@amadoebana.com.br
(11) 4305 1868 (11) 4375 0045

Este E-Book foi atualizado em Setembro de 2019.

Baixe o E-Book atualizado aqui. Webinar sobre LGPD: clique para se inscrever!