Abril 23, 2015
By Admin
A Lei Geral de Proteção de Dados Pessoais – lei 13.709/18 – disciplina a forma como informações são coletadas e tratadas, em meios digitais e físicos, tais como dados pessoais de cadastro ou textos e fotos publicados em redes sociais.
QUEM DEVE CUMPRIR A LGPD?
A LGPD aplica-se a qualquer empresa, pública ou privada, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: (I) o tratamento seja realizado em território nacional; (II) tenha por objetivo a oferta ou o fornecimento de bens ou serviços no território nacional; (III) os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.
PRAZO PARA SE ADEQUAR À LEI GERAL DE PROTEÇÃO DE DADOS:
20 DE AGOSTO DE 2020 (alterado pela Medida Provisória nº 869 de 27 de dezembro de 2018).
OBRIGAÇÕES:
Gestão de consentimento (art. 7): Mais do que definir cláusulas, contratos e acordos que devem reger a autorização, deve-se desenhar e implantar soluções tecnológicas e processos para organizar, armazenar e rastrear a concessão exclusão daquele que deu o consentimento.
Direito ao acesso (art. 17 a 22): Os titulares dos dados terão uma série de direitos, entre eles o acesso a todo processamento dos seus dados. Para tanto, deve-se implantar soluções para organizar a solicitação e garantir a rastreabilidade em todas as etapas do processamento.
Capacidade de apagar dados pessoais (art. 17 a 22): As organizações devem ter a capacidade de apagar ou segregar os dados quando não forem mais necessários. Devem ser implementadas soluções que garantam esta eliminação em todas as bases de dados e sistemas, inclusive em backups.
Portabilidade dos dados (art. 18): A portabilidade dos dados está intimamente relacionada ao direito ao acesso, mas é mais sensível ao negócio. Deve-se garantir desde a segurança da extração de dados dos titulares até formas seguras de transmissão para a outra organização.
Proteção por design e por padrão (art. 46): Deve-se implementar as melhores práticas de proteção de dados por omissão. Novos processos de desenvolvimento de projetos, aplicativos e sistemas devem contemplar este novo paradigma na segurança das informações. (Pseudo) Anonimação (vários artigos): O processo de anonimização exige processos e tecnologias de mascaramento de dados, assim como uma nova postura na estruturação e segregação das bases de dados dos vários sistemas das organizações.
Registros de atividades de processamento (art. 37): Todos os processamentos de dados pessoais devem ser registrados, demandando a implantação de soluções de rastreabilidade de dados, ao mesmo tempo que devem garantir a privacidade.
Conformidade continua e encarregado (art. 41 e 50): Deve-se adotar medidas de governança do programa, com papéis, responsabilidades, políticas e gestão contínua clara, definidos e baseados em risco (risk-based), e que sejam auditados por agente interno e externo.
Notificação de violação (art. 48): As organizações são obrigadas a identificar a extensão de uma violação e a informar ao titular. É importante a criação de um processo de análise do incidente, da sua extensão e a criação de um plano de gestão de crises.
Avaliação de impacto de privacidade de dados (art. 38): Deve-se realizar avaliações contínuas de todos projetos e serviços que processam dados pessoais. Assim, deve-se adotar técnicas, metodologias e soluções de avaliação e gestão de riscos estabelecida no mercado.
Transferências internacionais de dados (art. 33): Toda transferência internacional de dados deve garantir um nível de proteção adequada. Desta forma, deve-se avaliar não só os aspectos jurídicos mas também o nível de proteção do ambiente para o qual serão transferidos.
- Identificação e Inventário : Estabelecer inventário formal das operações de processamento de dados e sistemas;
- Avaliação de Maturidade : Identificar lacunas e desenvolver um roteiro para alcançar a conformidade à LGPD;
- Correção dos Gaps: Suportar a remediação das lacunas e alcançar o cumprimento da LGPD;
- Validação de Conformidade: Monitorar a conformidade com a LGPD;
- Governança: Monitorar KPIs, gerenciar processos e interfaces com órgãos reguladores.