LGPD - Lei Geral de Proteção de Dados pessoais e os processos de TI
Lei 13.709/2018 - Aprovada em agosto de 2018 e, efetivamente, em vigor a partir de agosto de 2020.
Baseada no Regulamento Geral Europeu de Proteção de Dados (GDPR), esta lei foi criada para dar respaldo jurídico
aos cidadãos brasileiros em relação ao tratamento de dados de uma pessoa natural identificada ou identificável.
O artigo 5 diz que “tratamento” é toda operação realizada com dados pessoais, como as que se referem à coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
AGENTES DE TRATAMENTO E AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
Controlador e operador são os agentes de tratamento de dados pessoais, que devem manter o registro das operações de tratamento, quando baseadas em legítimo interesse - artigo 37.
Esses agentes devem adotar medidas de segurança (da concepção até a execução do produto/serviço), protegendo dados pessoais de acessos não autorizados, eventos acidentais ou ilícitos de destruição, perda, alteração, comunicação ou difusão ou qualquer outra ocorrência decorrente de tratamento inadequado ou ilícito - artigo 46.
O artigo 50 recomenda que os agentes de tratamento formulem regras de boas práticas e de governança no estabelecimento da organização, regime de funcionamento, procedimentos, normas de segurança, padrões técnicos, obrigações específicas, mecanismos de supervisão e mitigação de riscos, entre outras medidas relacionadas ao tratamento.
A ANPD - Autoridade Nacional de Proteção de Dados é a entidade que elabora diretrizes para a política nacional de proteção de dados pessoais e da privacidade, além de editar regulamentos e procedimentos, zelar pela proteção desses dados, fiscalizar e aplicar as penalidades previstas.
Padrões técnicos mínimos poderão ser definidos pela autoridade competente.
Sistemas de tratamento de dados pessoais - atender requisitos de segurança, boas práticas e governança e aos princípios da LGPD e normas da autoridade competente - artigo 49.
Dano ao titular, gera responsabilidade civil e criminal solidária entre controlador e operador e o dever de reparar os danos - artigo 42, sem prejuízo das sanções administrativas.
A autoridade competente determina ao controlador o relatório de impacto à proteção de dados pessoais referente às suas operações de tratamento de dados - artigo 38.
>> Relatório - descrição dos dados coletados, metodologia para coleta / garantia da segurança das informações, medidas, salvaguardas e mecanismos de mitigação de risco.
Penalidades
A LGPD estabelece no artigo 52:
-
Advertência;
-
Obrigação de divulgação do incidente;
-
Eliminação de dados pessoais;
-
Multa de até 2% do faturamento da pessoa jurídica de direito privado, excluídos os tributos e limitada, no total, a R$50 milhões por infração.
-
Penalidades não substituem a aplicação de sanções administrativas, civis ou penais previstas em legislação específica - artigo 52, §2º.
Entretanto, além do prejuízo financeiro direto, a exposição por tornar pública a infração, abalo em sua credibilidade por deixar vulneráveis os dados pessoais de seus clientes.
RELAÇÕES COMERCIAIS E DE CONSUMO
A LGPD terá grande impacto nas relações comerciais e de consumo, que exigem a coleta de dados, diante do crescente tratamento de dados pessoais de clientes/consumidores, para traçar perfil e identificar diversas informações, hábitos de consumo e condições financeiras/crédito.
E O IMPACTO DA LGPD NOS PROCESSOS DE TI?
Assuntos relevantes do setor de Tecnologia da Informação e Compliance, sem dúvidas, têm sido a privacidade e a proteção de dados.
É preciso conduzir as questões que envolvem suas bases de dados e demais repositórios de informações, realizando todos os procedimentos de segurança na coleta, armazenamento e no tratamento deles.
Alguns princípios básicos precisam ser levados em conta nos processos a partir desta concepção:
1) Proativo não reativo; preventivo não corretivo: Prever/ antecipar os eventos passíveis de interferência e/ou que comprometam a privacidade.
2) Privacidade: Padrão - prever segurança e proteção, onde o tratamento deve ser trabalhado como exceção e condicionado a rápida autorização do titular. Além disso, deve incorporar as ferramentas de privacidade para reduzir os esforços e o desgaste no cumprimento futuro das regras de proteção. A privacidade passa a ser parte da própria solução e não um adendo.
3) Segurança ponta a ponta: Garantir a segurança das informações desde a captura, até a sua eliminação ou compartilhamento.
4) Visibilidade e transparência: Precisam ser aplicadas desde o início. Os termos e condições de uso e de privacidade devem ser expostos, claramente, pelo agente de tratamento, dando destaque para todas as informações relevantes que envolvam a mitigação ou flexibilização de algum direito.
A IMPORTÂNCIA DA VISIBILIDADE E GERENCIAMENTO DOS DADOS
Sem dúvida, a lei afetará a maneira como os profissionais de TI lidam, coletam e processam os dados.
– Transferência de dados: dados que exigirem transferência deverão ser criptografados e sua criptografia deverá ser irreversível.
Quanto à transferência de dados, há requisitos claros, controles adequados, relativos ao cumprimento das normas de proteção aplicáveis aos dados pessoais, quando estes são transferidos por qualquer meio.
Deve haver uma proteção adicional na transmissão dos dados, seja em nível individual ou agregado, com o uso de processos digitais específicos de TI, tais como criptografia de dados transferidos ou uso de plataformas de transferências FTP (File Transfer Protocol) seguras.
Aspectos Técnicos da transferência de dados quanto a LGPD/ GDPR
Sabemos que o FTP padrão IBM, na transferência de dados pessoais, não atende a conformidade da LGPD/GDPR.
Logo, quais os requisitos básicos para o FTP atender essa conformidade?
-
Utilizar protocolos seguros, SFTP ou FTPS com conjuntos de cifras fortes
-
Criptograr os dados armazenados
-
Requerer sempre a autenticação
-
Auditar e manter um histórico das transferências e acessos
É importante destacar que a adequação à LGPD requer novos investimentos na gestão de TI, tais como treinamento de pessoal, novos processos e requisitos de tecnologia que foram ignorados até então.
A transferência de dados pessoais segura passa a ser um negócio operacional e essencial no processo de TI.