Apresentando a Lei de Proteção de Dados Pessoais – LGPD

Na era de ouro da tecnologia, nosso ativo mais valioso são os dados. Negligenciar a implementação de medidas eficazes de segurança de dados deixa os dados vulneráveis ​​a roubo e manipulação. É por isso que muitos países estão criando novas leis de proteção de dados com base nas condições econômicas, nos vários níveis de ameaças à segurança e nos parâmetros legais.

O que é a LGPD? Por que isso é necessário?

A Lei Geral de Proteção de Dados (LGPD) é uma lei brasileira de proteção de dados que entrou em vigor em 18 de setembro deste ano. Esta lei exigirá que as empresas manuseiem os dados pessoais dos cidadãos brasileiros com cuidado. A LGPD exigirá que as empresas implementem medidas de segurança adequadas para garantir a segurança dos dados dos consumidores brasileiros ou arriscar multas pesadas.

Dados, uso indevido e repercussões

De acordo com o LGPD:

  • Dados pessoais são definidos como os dados que podem identificar uma pessoa.
  • Todos os outros tipos de dados são categorizados como dados anônimos.
  • Quando os dados são usados ​​para uma finalidade diferente daquela declarada durante sua coleta inicial, eles são chamados de uso indevido dos dados.

Pessoas insatisfeitas ou mal intencionadas geralmente usam mal os dados pessoais. Por exemplo, considere o caso de um aplicativo de compartilhamento de viagens. Os clientes fornecem suas informações de localização à empresa de aplicativos de compartilhamento de viagens, para que possam ir facilmente de um lugar para outro. Esta informação é confidencial; ninguém além do motorista e do passageiro deve ter essa informação.

E se um insider malicioso usasse essas informações de localização para rastrear o paradeiro do passageiro? Esse uso indevido de dados pode levar a perseguição ou assédio. Em outras situações, o uso indevido de dados pode causar roubo de identidade e divulgação ilegal de dados a terceiros indesejados. As repercussões do uso indevido de dados podem ser abrangentes e prejudiciais: perda de receita, danos à reputação, distúrbios econômicos, paralisação operacional e ações judiciais de ação coletiva.

Processando dados pessoais

A LGPD é escrito com base em um conjunto específico de critérios e se aplica a qualquer empresa ou indivíduo que colete ou processe os dados pessoais de cidadãos brasileiros. Os dados pessoais podem ser processados ​​apenas nos seguintes eventos:

  1. Com o consentimento do titular dos dados (uma pessoa cujos dados pessoais estão sendo coletados, mantidos ou processados);
  2. Para o controlador (uma pessoa ou empresa que determina a finalidade e os meios de processamento de dados pessoais) cumprir uma obrigação estatutária ou regulamentar;
  3. Para processamento e uso compartilhado de dados necessários para a execução de políticas públicas pela administração pública;
  4. Para estudos tecnológicos;
  5. Para a execução de acordos ou procedimentos dos quais o titular dos dados é parte;
  6. Pelo exercício de direitos em processos judiciais;
  7. Para a proteção da vida ou da segurança física do titular dos dados;
  8. Para a proteção da saúde;
  9. Pelo serviço de interesses legítimos do responsável pelo tratamento;
  10. Para a proteção do crédito.

A legislação brasileira fornece mais autorização legal para o processamento de dados pessoais, o que torna a interpretação da lei flexível. Em 2012, o Brasil aprovou o nº 12.414 / 2011, ou Lei do Histórico de Crédito Positivo. Esse conjunto de regras ajudou a estabelecer agências de crédito positivas, que são agências de coleta de dados que coletam informações de contas de vários credores e fornecem essas informações à agência relatora que anteriormente rastreava apenas os relatórios negativos sobre as pontuações de crédito de indivíduos ou empresas. A LGPD é a primeira lei a considerar a proteção das pontuações de crédito.

A LGPD requer consentimento em situações que envolvem dados pessoais. De acordo com a cláusula de interesses legítimos da LGPD, os dados podem ser usados ​​para outros fins que não os para os quais os dados foram originalmente coletados. Esta cláusula exige que a organização implemente medidas para proteger os dados contra a natureza onipotente do big data, inteligência artificial e aprendizado de máquina.  

Uma máquina pode interpretar mal a cláusula de consentimento da LGPD por causa da margem de proteção oferecida para a pontuação de crédito e acabar processando dados, mesmo que o titular não tenha dado seu consentimento. No entanto, a cláusula de consentimento deve ser interpretada restritivamente; as organizações devem limitar o uso de criação de perfil e tomada de decisão automatizada.

Direitos do titular dos dados

A LGPD fornece os seguintes direitos aos titulares dos dados:

  1. O direito de solicitar ao controlador acesso aos dados e confirmação do processamento dos dados.
  2. O direito de solicitar ao controlador dados corretos incompletos, imprecisos ou desatualizados.
  3. Se os dados precisarem ser anonimizados, bloqueados ou eliminados devido ao descumprimento da lei, os titulares dos dados poderão solicitar ao responsável pelo tratamento que faça isso por eles.
  4. Os titulares dos dados podem transferir seus dados de um controlador para outro, se necessário.
  5. Os titulares dos dados podem solicitar que o controlador exclua seus dados pessoais, a menos que os dados sejam para:
    • A conformidade do controlador com um estatuto ou regulamento
    • Estudos de um órgão de pesquisa
    • Transferir para terceiros
    • É proibido o uso exclusivo pelo controlador e o acesso a terceiros.
  6. Se o controlador tiver compartilhado dados com uma entidade pública ou privada, o titular dos dados poderá solicitar essas informações.
  7. O titular dos dados também pode revogar seu consentimento para o processamento de dados, a menos que o uso de seus dados se enquadre em uma das circunstâncias indicadas no ponto 5.

Relatório de violação de dados

Segundo a LGPD, as violações devem ser relatadas dentro de um “período de tempo razoável”. A Autoridade Nacional de Proteção de Dados (ANPD), a autoridade brasileira de proteção de dados, ainda não definiu o prazo para notificar as autoridades sobre uma violação, mas exige que o aviso de violação de dados contenha o seguinte:

  • Descrição da natureza dos dados afetados;
  • Informações sobre o titular dos dados envolvidos;
  • Indicação das medidas de segurança envolvidas;
  • Riscos relacionados ao incidente;
  • Razões para o atraso na comunicação;
  • As medidas que foram ou serão tomadas para reverter ou atenuar os efeitos da violação.

Multas

Multas pesadas serão cobradas das empresas que violarem os requisitos da LGPD. As multas máximas por violação podem corresponder a dois por cento da receita da empresa no Brasil durante o ano fiscal anterior, o que não inclui impostos. As autoridades de proteção de dados podem aplicar multas de até 50 milhões de reais (US $ 10,4 milhões).

Planejamento de proteção de dados

O objetivo da LGPD é a proteção de dados. Existem algumas áreas nas quais você precisa se concentrar para implementar uma segurança de dados eficaz. Você precisa determinar a natureza e o local dos dados em seus servidores, e esses dados devem ser monitorados regularmente quanto a violações de políticas. As alterações feitas nos usuários, permissões e grupos devem ser registradas e auditadas para evitar riscos à segurança.

A conformidade com a LGPD pode parecer uma tarefa assustadora, mas existem produtos que podem ajudar. O AD360 da ManageEngine ajuda a controlar as identidades na sua rede e oferece a opção de criar relatórios personalizados para auditorias de segurança LGPD. Já oLog360 é uma solução abrangente de SIEM, que ajuda a detectar acesso não autorizado a dados e incidentes de segurança, descobrir dados pessoais e arquivar dados de log com segurança. Essa solução também vem com uma opção para configurar o relatório de auditoria LGPD que ajuda a atender os requisitos de segurança de TI.

Nós da ACSoftware estamos oferecendo um diagnóstico tecnológico GRATUITO, em ambientes de segurança de dados de empresas que precisam adequar seus negócios aos requisitos da Lei Geral de Proteção de Dados.

Desta forma, os gestores poderão ter uma visão holística dos pontos críticos de seus ativos e colocar em prática a governança de dados para evitar as punições previstas.

Quer saber como cumprir todos os requisitos da LGPD com as nossas soluções? Clique aqui e saiba como a ManageEngine e nós da ACSoftware podemos te ajudar. Lembrando que a ACSoftware tem a maior quantidade de especialistas em ManageEngine/LGPD do mercado, inclusive com forte parceria com grandes escritórios de advocacia especializados na área.

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.

Deixe um comentário

Blog ACSoftware - ManageEngine