quero falar com um especialista

Artigos

Poucos minutos todos os dias para manter você atualizado sobre o que acontece na segurança cibernética de todo o mundo.

Esclarecendo a lei geral de proteção de dados no Brasil

A Lei Geral de Proteção de Dados entrará em vigor em 2020, e as organizações já devem começar a se preparar para isso. Afinal, é uma norma que altera muitos pontos na relação entre empresas e clientes e estabelece uma mudança profunda de paradigma no tratamento de dados pessoais. É importante se planejar bem para evitar prejuízos.

Nesse sentido, as companhias precisarão de medidas protetivas mais robustas para garantir segurança. A fim de aprender mais sobre como se adequar à LGPD e manter a organização funcionando bem depois que a norma começar a ser aplicada, confira este artigo. Boa leitura!

Qual o objetivo da Lei Geral de Proteção de Dados?

Diante dos diversos casos de violações contra a privacidade das pessoas, com manipulação indevida de dados pessoais por parte de companhias, foi proposta, na Europa, uma lei chamada GDPR (General Data Protection Regulation), que entrou em vigor em 25 de maio de 2018, harmonizando, no nível da União Europeia, as leis de proteção de dados que já regulamentavam essas atividades nos seus respectivos estados-membros.

Inspirado no GDPR e nos escândalos de utilização indevida de dados pessoais do Facebook no episódio da Cambridge Analytica, o Congresso Nacional aprovou, em meados do ano passado, a Lei Geral de Proteção de Dados (LGPD), sancionada pelo presidente Michel Temer em 14 de agosto de 2018, que regulamenta a proteção dos dados pessoais no Brasil de uma forma mais estrita.

Como assevera o advogado Felipe Palhares — sócio do Palhares Advogados e especialista em Privacidade e Proteção de Dados, Inovação e Tecnologia —, é evidente que havia leis anteriores para tratar desse assunto, mas de uma forma setorizada, não abrangente. É necessário que cada norma evolua junto à sociedade, já que as relações sociais e as tecnologias disponíveis também mudam. Por isso, uma nova lei, que se adapte aos meandros da situação atual da interação empresa X cliente, é fundamental.

O principal objetivo dessa legislação é conferir regras mais claras ao tratamento de dados pessoais e autonomia ao titular dos dados. Afinal, devido às restrições, o usuário tem o poder de solicitar alterações em suas informações inexatas, incompletas ou desatualizadas que estão disponíveis na base de uma companhia, bem como o de não concedê-las.

Outra relevante finalidade é a criação de maior transparência nas relações com os dados, com o devido esclarecimento de cada ação para os órgãos responsáveis e, claro, para o titular de cada dado.

A LGPD valoriza o consentimento do usuário diante das ações das organizações, embora ele não seja necessário em todos os casos. É preciso que cada movimentação de dados seja registrada, além de garantir ao dono conhecimento sobre a real finalidade do tratamento de dados. Alguns direitos do titular assegurados no texto são:

• o acesso aos seus dados mantidos ou tratados pela empresa;
• a correção de seus dados em caso de incompletude, inexatidão ou desatualização;
• o direito de pedir o bloqueio ou a eliminação dos dados quando a finalidade da coleta indicada inicialmente já se extinguiu;
• a limitação do acesso aos dados necessários somente para a finalidade estabelecida;
• o direito de portabilidade dos dados de um fornecedor para outro (ainda não há regulamentação específica);
• o direito a consultar se e com quem os dados foram compartilhados;
• a revogação do consentimento para o tratamento dos dados pessoais para empresas que utilizaram essa base legal.

Vale ressaltar que parte dessas prescrições já estavam presentes no Código de Defesa do Consumidor, mas ganham uma nova ênfase diante do contexto atual.

Quais os principais pontos modificados?

Dentre as leis que tratavam desse assunto, talvez a mais famosa tenha sido o Marco Civil da Internet, sancionado em 2014 pela ex-presidente Dilma Rousseff. No entanto, a LGPD adiciona novas regras ainda mais abrangentes e específicas, com o propósito mais definido de proteger a privacidade das pessoas.

Um dos principais pontos é a instituição de bases legais para que os dados sejam coletados e armazenados, entre as quais estão: cumprimento de obrigação legal, estudos por órgãos de pesquisa — nesse caso, os dados devem ser anonimizados sempre que possível — quando necessário para a execução de contrato, entre outros.

Ademais, para que companhias utilizem informações de usuários, elas precisarão apresentar finalidade bem definida, necessidade convincente, adequação com relação ao que foi acertado com o titular, adoção de medidas de segurança e prevenção de danos.

A lei define bem o que é dado pessoal, aquele que identifica ou que possa identificar e distinguir qualquer pessoa física, e também o que são dados sensíveis: os relacionados com origem étnica e racial, opinião política, convicção religiosa, entre outros. Esses últimos devem ser tratados de forma especial e serão fiscalizados com mais rigor pelas autoridades, mas seguem, basicamente, os mesmos pontos principais em relação aos princípios que devem ordenar o tratamento de dados, como necessidade de uma finalidade explícita e transparência com o titular dos dados.

A LGPD prevê também a ideia de “privacidade desde a concepção”, que, basicamente, define que as corporações e os órgãos da administração pública devem se preocupar com a privacidade desde o começo da criação de produto e/ou serviço, tratando essa questão como prioritária e de extrema relevância. Isso é interessante pois chama a atenção de todos os membros da empresa, do board aos demais colaboradores, para a importância do respeito aos direitos de todo titular de dados dentro das organizações.

Outra característica importante dessa lei é o fato de que abrange todos os setores da economia e é aplicada a todo tipo de organização, mesmo, em alguns casos, as que tenham sede fora do Brasil. Ademais, a lei também estabelece que cada companhia indique um profissional responsável por fiscalizar as ações e por intermediar a comunicação entre ela, o órgão regulador e o titular.

Como impacta as empresas?

Como com toda legislação, é importante acompanhar a norma e observá-la para evitar consequências. E elas vão de multas que podem chegar a R$ 50 milhões por infração — o que é um valor relativamente baixo se comparado com as que podem ser aplicadas na Europa, como lembra o Felipe Palhares — a problemas de reputação.

Se uma empresa é punida pela LGPD, ela perde a confiança e o respeito de seus clientes e prejudica a capacidade de atrair novos. De qualquer forma, a falta de cuidado em respeitar a lei implica perda de dinheiro.

Como estamos falando de um tempo em que as pessoas, no geral, estão mais sensíveis e vigilantes com relação a isso, o impacto é direto e profundo na competitividade. É preciso acompanhar as mudanças e passar a entender o titular de dados como alguém que está mais ciente de seus direitos e dos meios que podem ser utilizados para exigir o cuidado com eles.

Isso amplia a necessidade de soluções mais eficientes para proteção e segurança de dados dentro das companhias. Já que elas lidam com informações pessoais de vários stakeholders, precisam oferecer confiabilidade a eles e aos órgãos fiscalizadores. Isso inclui determinadas ferramentas, como antivírus e firewalls, mas também uma gestão mais cuidadosa que alerte os colaboradores acerca da possibilidade de ataques virtuais e treine-os para garantir hábitos mais seguros.

A responsabilidade sobre as organizações é ainda maior, uma vez que elas precisam ser claras acerca de tudo para os reguladores e, em caso de incidentes inesperados que possam acarretar riscos aos titulares, notificar a Autoridade Nacional de Proteção de Dados e os titulares, informando quanto aos riscos, quais informações foram afetadas, entre outros detalhes. Em alguns casos, pode ser solicitado que haja uma divulgação pública acerca do ocorrido.

A aplicação da lei começará em 2020, como dito. A preparação, contudo, não deve começar muito próxima do prazo, pois isso pode prejudicar a empresa. É importante se ajustar para oferecer segurança aos clientes desde já, a fim de criar uma imagem de credibilidade e respeito e estabelecer relações transparentes e legais com as pessoas.

Como a Aon pode ajudar?

Na preparação, é importante ter empresas parceiras e de confiança que possam ajudar a companhia a não deixar de lado nenhum aspecto relevante na fase de readequação à norma. É difícil encontrar um único fornecedor que consiga auxiliar a companhia em todas as suas áreas de necessidade ao lidar com o risco cibernético, visto que esse é um trabalho multidisciplinar. Leve em consideração parceiros que possam lhe ajudar a fazer a readequação jurídica, bem como a desenvolver um plano de comunicação, uma estratégia de treinamento interno, verificando a infraestrutura etc.

Além de ajudá-lo a se conectar com parceiros estratégicos, a Aon é um parceiro valioso no que tange à transferência de riscos por meio das apólices de riscos cibernéticos e outros seguros correlatos, podendo ajudar a companhia desde a colocação do risco até um momento de sinistro. A apólice de riscos cibernéticos consegue endereçar diversas sanções que são trazidas pela LGPD e pode integrar o plano de resposta ao incidente da companhia, a fim de torná-lo mais eficiente.

Com a ajuda de parceiros devidamente qualificados e experientes, é possível se adaptar às nuances da LGPD, a fim de evitar prejuízos à credibilidade, prevenir possíveis problemas de segurança e não perder os clientes já existentes.

A nova norma que regula a privacidade já é um marco importante na defesa dos direitos das pessoas. Seus pontos são relevantes e devem ser observados com cuidado para que os impactos negativos para sua empresa sejam minimizados. Nesse prisma, o acompanhamento de uma corporação parceira é fundamental para garantir uma boa preparação.

Aprofundou seus conhecimentos sobre a Lei Geral de Proteção de Dados? Saiba mais sobre soluções de mitigação e gerenciamento do risco cibernético. Fale com um dos nossos especialistas e saiba como se proteger.

Agradecemos ao especialista Felipe Palhares — sócio do Palhares Advogados e especialista em Privacidade e Proteção de Dados, Inovação e Tecnologia — por contribuir para a elaboração deste conteúdo.

Anteriores

Fale com a Aon

Nossos especialistas estão prontos para ouvi-los e conversar sobre os Riscos Cibernéticos
e as possíveis soluções que o mercado de seguros pode oferecer.

A Aon e outras empresas do grupo usarão suas informações pessoais para contatá-lo eventualmente sobre produtos, serviços e eventos que acreditamos ser de seu interesse. Toda informação coletada é usada de acordo com nossa Política de Privacidade.

Ao preencher os dados, você autoriza expressamente a Aon a coletar, usar, armazenar, transferir e processar seus dados pessoais conforme previsto em tal Política de Privacidade. Por favor assinale este campo caso NÃO deseje receber estes comunicados.