Em 14 de agosto de 2018, foi aprovada uma ampla lei geral de proteção de dados, a LGPD, que visa alinhar a legislação já existente com a nova norma internacional estabelecida pelo Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
Embora já existissem no Brasil mais de 40 normas legislativas que governam, diretamente e indiretamente, a proteção da privacidade e dados pessoais em nÃvel federal, elas eram algumas vezes muito conflitantes ou muito ambÃguas. A LGPD irá substituir e suplementar essas normas já existentes, regulando o uso de dados pessoais por setores públicos e privados.
A nova legislação entrará em vigor em 15 de agosto de 2020, 24 meses depois de ser aprovada. O perÃodo de espera inicial até a execução efetiva da lei era de 18 meses, mas depois este prazo foi estendido para mais 6 meses, através de uma ordem executiva do ex-presidente Michel Temer.
A LGPD deve muitos de seus requisitos aos precedentes estabelecidos pelo GDPR. Isso inclui a necessidade de agentes de proteção de dados, a avaliação do impacto da proteção de dados e notificações de vazamentos de dados, e tem, em seu cerne, os princÃpios de privacidade por design e por padrão lançados pela GDPR. As grandes semelhanças entre as duas leis podem significar também um desejo do Brasil de buscar uma decisão de adequação da Comissão da União Europeia que, se positiva, liberalizaria as transferências internacionais entre o paÃs sul-americano e o bloco europeu.
Para quem a LGPD se aplica?
A LGPD se aplica a todos os indivÃduos e entidades jurÃdicas, públicas e privadas, que realizam atividades de processamento de dados pessoais que acontecem ou estão relacionadas a indivÃduos localizados no Brasil, visam fornecer bens ou serviços no paÃs ou envolvem dados pessoais coletados no Brasil.
Como a GDPR, a LGPD tem alcance internacional, o que significa que ela protege dados de indivÃduos no Brasil não importando onde o portador dos dados esteja. Todas as empresas que servem o mercado brasileiro, tendo escritórios no paÃs ou não, estão sujeitas à LGDP.
A aplicabilidade da LGPD é ampla. Incluindo indivÃduos que processam dados pessoais para fins econômicos, a lei claramente tem como objetivo regulamentar não somente grandes empresas, mas toda e qualquer entidade coletando e processando dados, desde pequenos empreendedores à s corporações multinacionais.
A nova lei não se aplica a processamentos de dados realizados para fins estritamente pessoais por indivÃduos, para fins exclusivamente jornalÃsticos, artÃsticos, literários ou acadêmicos, ou para a segurança nacional, defesa nacional, segurança pública ou atividades de investigação criminal ou punição.
O que são dados pessoais, de acordo com a LGPD?
Os dados pessoais protegidos pela LGPD são definidos muito amplamente como informações relacionadas a um indivÃduo identificado ou identificável. Isso significa que não se aplica somente a dados que podem explicitamente identificar uma pessoa, mas também dados que podem inferir a identificação da mesma.
Dados sensÃveis que necessitam de camadas adicionais de proteção incluem dados relacionados à raça ou origem étnica, visões religiosas, polÃticas ou filosóficas e afiliações, bem como dados de saúde, sexuais, biométricos ou genéticos.
Embora os dados anônimos estejam fora do escopo das regulamentações, como o GDPR e o CCPA, os dados anônimos da LGPD serão considerados dados pessoais quando estes forem usados para a criação de perfil comportamental.
Obrigações das empresas com a LGPD
Organizações que se enquadrem no escopo da LGPD devem, primeiramente, apontar um serviço de proteção de dados que será responsável por orientá-las para as melhores práticas, receber reclamações e comunicar com a Autoridade Nacional de Proteção de Dados (ANDP).
As organizações são obrigadas a adotar medidas técnicas e administrativas para proteger dados pessoais de acessos não autorizados e destruição acidental ou ilegal, perda, alteração, comunicação ou disseminação. Elas devem implementar um programa de segurança da informação, conduzir Avaliações de Impacto de Proteção de Dados (em inglês, DPIA) e desenvolver um plano de resposta e remediação de incidentes.
No caso de um vazamento de dados que possa resultar um relevante risco ou dano aos titulares dos dados, a organização deverá notificar a ANDP dentro de um prazo razoável, a ser especificado posteriormente pela autoridade. Se ordenado pela ANDP, a empresa deve então notificar os titulares dos dados prejudicados pelo incidente de segurança, alertar a mÃdia ou tomar providências para minimizar os efeitos do incidente.
Os titulares dos dados devem ser informados para que propósito seus dados estão sendo coletados. Eles também têm o direito de requerer que seus dados sejam corrigidos, deletados ou fornecidos a eles em um formato fácil de ser lido, com a finalidade de serem transferidos para uma empresa diferente. As organizações devem garantir que tenham polÃticas e procedimentos internos para responder a todas essas solicitações.
As empresas também devem apagar os dados depois que estes não sejam mais necessários para o propósito original para que foram coletados, a menos que os titulares destes tenham expressamente permitido a empresa a reter os dados.
A Autoridade Nacional de Proteção de Dados (ANPD) brasileira
O texto original da LGPD incluÃa provisões para a criação de uma Autoridade Nacional de Proteção de Dados, um órgão público independente que seria responsável por executar a nova lei e oferecer orientações e normas complementares.
Contudo, após o sancionamento da lei, o então presidente Michel Temer vetou vários artigos da conta, incluindo os que regem o estabelecimento da ANPD e o ConcÃlio Nacional de Proteção de Dados Pessoais e da Privacidade, uma instituição similar ao Conselho de Proteção de Dados da União Europeia. O ex-presidente justificou a decisão dele referindo-se ao fato de que não cabe à prerrogativa do Congresso Nacional criar órgãos reguladores, a iniciativa deve vir do poder executivo do governo.
O estabelecimento da ANPD foi uma das últimas ordens executivas emitidas pelo ex-presidente Michel Temer antes do fim de seu mandato e foi publicada em 28 de dezembro 2018. A nova ANPD terá uma estrutura multinÃvel e será chefiada por 5 diretores, a serem apontados pelo atual presidente.
O ConcÃlio Nacional de Proteção de Dados Pessoais e da Privacidade também foi criado para servir como um órgão consultivo para a ANDP e para ajudar a conduzir a polÃtica de dados no Brasil. Será constituÃda por 23 membros, 11 de diferentes partes do governo brasileiro e 12 de empresas privadas, universidades e da sociedade civil.
Transferências internacionais
Dados pessoais coletados no Brasil somente podem ser transferidos para fora do paÃs sob regras especÃficas, parecidas com as vigentes na GDPR. Os dados só podem ser transferidos para paÃses que forneçam um nÃvel de proteção de dados comparável ao da LGPD, embora a lei não detalhe como e por quem este nÃvel será determinado.
Transferências também podem ser permitidas para organizações em paÃses terceiros que são vinculados por contrato por meio de cláusulas contratuais-padrão ou polÃticas corporativas globais que demonstram um nÃvel de proteção de dados alinhado com a LGPD.
As restrições de transferências internacionais não se aplicam a cooperação legal internacional entre agências do governo ou se os titulares dos dados tiverem dado consentimento prévio para a transferência.
As penalidades
Quando se tratam das penalidades, a LGPD toma uma página do livro da GDPR e não se acovardou em impor sérias sanções para o não cumprimento da lei. As empresas estão sujeitas a pagar até 2% de sua receita total no Brasil no ano anterior à multa ou até R$50.000.000,00, o que for maior.
Endpoint Protector
Apesar da lei ainda não estar em vigor, o risco de vazamento de dados já existe e os prejuÃzos de um vazamento são consideráveis. Se você é um empreendedor que se enquadra na lei, não deixe para depois as melhorias de segurança de seu negócio. O Endpoint Protector é o serviço de proteção de dados da CoSoSys, e você pode conhecê-lo melhor em nosso site: https://bit.ly/2LMAEqu.
Texto original: https://www.endpointprotector.com/blog/about-brazils-new-data-protection-law/