O Brasil aprovou a sua lei geral de proteção de dados pouco tempo depois da União Europeia colocar a dela em vigor. Isso não é coincidência, uma vez que a nossa lei é amplamente inspirada na deles. A lei europeia, GDPR, foi aprovada em 2016 e só entrou em vigor 2 anos depois. No Brasil acontecerá o mesmo, teremos um tempo para assimilar todas as mudanças até que elas entrem em vigor de fato.
E será esse o assunto deste post. Falaremos sobre a lei geral de proteção de dados brasileira para preparar melhor os profissionais e empresas para o que está por vir. Abordaremos o que é a lei, o que muda para os cidadãos e os efeitos dela para usuários de TI e seus clientes. Ficou interessado? Então boa leitura!
Entenda a lei geral de proteção de dados brasileira
A lei geral de proteção de dados, ou LGPD, é uma lei que veio para substituir a lei do marco civil da internet criada em 2014. Ela garante os princípios do marco civil e amplia eles para diferentes esferas, além da internet, onde a informação do usuário é tratada.
A LGPD foi aprovada em julho de 2018 em caráter de urgência, devido ao escândalo de vazamentos de dados do Facebook que interferiram nas eleições presidenciais dos Estados Unidos. A lei estava em discussão havia 8 anos, mas para evitar que um cenário semelhante acontecesse no Brasil, os deputados e senadores correram com o trâmite no plenário.
A lei trata de dados pessoais dos brasileiros, seja ele online ou offline, no formato físico ou digital. A LGPD tem como objetivo proteger os dados dos cidadãos e aumentar a transparência de coleta, uso e retenção deles. Ela visa combater práticas de mau uso de dados, como lojas que pegam informações de pessoas oferecendo em troca descontos em produtos e que acabam, muitas vezes, revendidos para terceiros.
O que muda na prática
A lei implementa vários direitos e deveres no que tange à proteção dos usuários. Nesse sentido há uma maior responsabilidade de quem possuir os dados. Ela é válida tanto para os cidadãos que fornecem os dados, quanto para as empresas que retêm e tratam eles. A seguir veremos os principais pontos da LGPD.
Consentimento
Os cidadãos são os titulares de seus próprios dados. Ou seja, só eles podem consentir para que outras pessoas e empresas coletem e usem suas informações. Por exemplo, a situação de revenda de dados pessoais para terceiros não será mais possível sem o consentimento do titular.
A autorização deverá ser dada de forma transparente e direta por parte dos usuários que dirão para quais finalidades os dados serão usados. Caso o usuário deseje, no futuro, as permissões de uso de seus dados poderão ser revogadas a qualquer momento.
Mais obrigações para as empresas
A LGPD especifica claramente os direitos e deveres dos envolvidos com a informação. Enquanto os usuários têm direitos sobre seus dados, as empresas têm deveres a cumprir quando estão de posse deles.
Ã? dever da empresa quanto aos dados:
- mantê-los atualizados;
- corrigir qualquer dado que esteja incorreto;
- exclui-los em casos de revogação de autorização do titular;
- realizar a portabilidade para terceiros em caso de autorização do titular.
Definição clara de papéis
A lei geral de proteção de dados define os papéis de controlador, operador e encarregado. O controlador é o responsável por tomar as decisões de tratamento. Ou seja, é o responsável pela coleta e posse dos dados de terceiros.
Já o operador é o responsável que usa os dados para uma finalidade específica. Seja gerar um gráfico, fazer uma propaganda, entre outros. Nem sempre o controlador é o operador e vice-versa. A distinção é feita para separar as responsabilidades de cada etapa durante o manuseio de informação de outros titulares.
Há também o encarregado que é o intermediário entre o controlador, operador, titular e agência reguladora dos dados. Ele é uma pessoa responsável por gerenciar o cumprimento dos deveres das empresas. Ã? o encarregado que receberá reclamações, orientará os funcionários, prestará atendimento aos titulares, entre outras atividades de gerência.
Comunicados em caso de vazamentos
Os titulares e a agência reguladora devem ser comunicados em caso de vazamento ou exposição de seus dados por pessoas não autorizadas, como ataques de ransomware por exemplo. As empresas devem informar a natureza do vazamento, tipo de dados que foram expostos, riscos aos titulares e quais medidas serão tomadas para solucionar o problema.
Penalidades em lei para descumprimento
As empresas que descumprirem a lei podem ser multadas em até 50 milhões de reais, além de terem suas atividades suspensas ou até mesmo proibidas dependendo da gravidade da situação.
Os efeitos da lei para empresas de TI e seus clientes
As empresas de TI serão as mais afetadas devido à natureza de uso que compõem os sistemas. As empresas terão dois anos para se adequarem. Elas precisarão sofrer uma mudança de políticas com regras transparentes e uma estrutura sólida de responsabilização em caso de vazamento. Alguns efeitos que as empresas terão que se preocupar:
- os dados de clientes e colaboradores precisam ser identificados em todos os locais de acesso;
- deve haver uma política de dados que lide com controle de acesso, segurança, criptografia, retenção e privacidade dos titulares;
- os titulares que revogarem permissão de uso de suas informações devem ter tudo removido da empresa, como em banco de dados, redes sociais, sites corporativos, etc;
- dados duplicados ou em excesso devem ser eliminados;
- os dados devem ser auditados e conferidos, seja pela própria empresa ou por terceiros;
- deve haver análises de riscos de vazamentos e análise acelerada de causas e motivos em caso de vazamentos de dados de usuários.
Os efeitos serão sentidos pela satisfação do cliente que terá mais transparência e controle de informações que são suas por direito.
A lei de proteção de dados brasileira traz um avanço muito grande para o país. Ela coloca o Brasil no mesmo patamar de outros países que já aprovaram leis similares e que andam na vanguarda dos direitos de seus cidadãos.
Isso, de certa forma, ajuda a consolidar os sistemas de TI para atender tanto à s exigências externas de privacidade quanto as internas. Quem ganha com tudo isso são os usuários que terão serviços de qualidade ao mesmo tempo que possuem controle de seus dados.
Ficou mais informado sobre a lei geral de proteção de dados? Então não deixe de conferir como gerir processos de TI forma mais eficaz na sua empresa. Até a próxima!
