Nesse breve artigo, tento descomplicar a LGPD. Em 17 slides falamos de dados pessoais (inclusive os sensíveis), agentes responsáveis (controlador e operador), titular de dados pessoais, do DPO, da ANPD, multas e sanções, além de dicas para estar em conformidade com a Lei Geral de Proteção de Dados.
2. Brasil em posição de igualdade aos países que já possuem suas leis de
proteção de dados pessoais (GDPR na Europa, por exemplo);
Crescimento no número de investimentos no Brasil;
Crescimento no número de negócios internacionais;
Maior segurança jurídica para titulares de dados pessoais;
Maior controle sobre o fluxo dos processos nas empresas;
A importância da Lei de Proteção de Dados para o Brasil!
3. Quem deve estar em conformidade?
Todas as pessoas ou empresas que coletam, armazenam ou tratam
dados de pessoas físicas brasileiras;
O que diz a lei: “Art. 3º Esta Lei aplica-se a qualquer operação de
tratamento realizada por pessoa natural ou por pessoa jurídica de
direito público ou privado, independentemente do meio, do país de sua
sede ou do país onde estejam localizados os dados...”
4. LGPD – Sancionada Vs. Vigor
• Apesar de ter sido sancionada em 2018, a LGPD (Lei Geral de Proteção de Dados) só entrará em
vigor em 16 agosto de 2020.
• Prorrogação por dois anos?
O Deputado Carlos Bezerra (MDB-MT), tenta em um PL (Projeto de Lei) apresentado em
30/10/2019 a prorrogação da LGPD para 2022.
• Qual o entendimento?
Entendemos que não será prorrogada devido aos negócios honrados pelo Governo brasileiro com
empresas internacionais onde já se tem a lei de proteção de dados em vigor. Além do que, seria
um grande atraso prorrogar uma lei que só irá beneficiar as empresas brasileiras, sendo bem visto
pelos países que já tem uma lei de proteção de dados em vigor.
5. Dado Pessoal X Dado Pessoal Sensível
• Dado Pessoal
Dados relacionados a pessoa natural, que identifica ou que pode tornar a pessoa identificável;
Como está na lei: “Art. 5º I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável”;
Exemplo: Nome Completo, Sexo, Número de Documentos, Data de Nascimento;
• Dado Pessoal Sensível
Dados que podem de alguma forma causar agrupamentos de pessoas, ou até mais específicos, como dados de saúde;
Como está na lei: “Art. 5º II – dado pessoal sensível: sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato
ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a
uma pessoa natural”;
Exemplo: Foto, Etnia, Opção Sexual, Dados de Saúde;
Observação: A lei não trata os dados pessoais financeiros como dados sensíveis. Mas no entendimento geral, observamos um grande
impulsionamento que faz com que as empresas o tratem dessa forma.
6. Quem são os Agentes Responsáveis?
• Controlador
O DONO ou RESPONSÁVEL pelos dados pessoais. Ele quem da a ordem ao Operador para realizar o “Tratamento dos Dados Pessoais”;
Como está na lei: “Art. 5º VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais”;
• Operador
Realiza o Tratamento dos Dados Pessoais, sob a ordem do Controlador;
Como está na lei: “Art. 5º VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados
pessoais em nome do controlador”;
• Exemplo:
A empresa X (Controlador) contrata o CallCenter Y (Operador), o operador só poderá tratar ou coletar os dados pessoais para executar os
serviços que dizem respeito a finalidade do Controlador.
Além disso, o Controlador tem a obrigação de “vigiar” o Operador e se certificar que os dados pessoais só são usados para a finalidade de cada
processo.
7. Quem é o Titular do Dado Pessoal?
• O Titular dos Dados pessoais é você!
Como está na lei: “Art. 5º V – titular: pessoa natural a quem se
referem os dados pessoais que são objeto de tratamento”;
8. DPO – Quem é?
• DPO (Data Protection Officer)
Responsável pelo aconselhamento sobre o tratamento de dados pessoais as empresas;
Como está na lei: “Art. 5º VIII – encarregado: pessoa indicada pelo controlador e operador para
atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de
Proteção de Dados (ANPD)”;
• Formação
Não há uma formação específica para DPO ainda no Brasil, porém no entendimento dos gestores de
Segurança da Informação, os requisitos são:
1. Conhecimento avançados em proteção de dados;
2. Governança em Tecnologia;
3. Cyber Security;
4. Legislação;
9. DPO - Certificações
• O mercado trata as seguintes certificações como essênciais:
Information Security Foundation (ISO 27001)
GDPR Privacy & Data Protection Foundatio
Privacy & Data Protection Practitioner
10. ANPD (Autoridade Nacional de Proteção de Dados)
Ainda há dúvidas de como a ANPD irá operar. Se já teremos a
distribuição de multas a partir de agosto/2020 ou se apenas sanções
administrativas.
De qualquer forma, é muito preocupante sua atuação, pois esperamos
que seja um órgão sem patrocínio federal, ou seja, autossuficiente.
Se isso realmente acontecer, não precisa ser um bruxo ou ter bola de
cristal para saber que a caneta vai cantar.
11. ANPD – Sanções e Multas
• Esse Artigo da Lei é um pouco extenso, então vamos falar do que mais chama a atenção. No final desse, disponibilizarei alguns
links importantes, inclusive o da lei.
• Multa simples: De até 2% do faturamento, limitada a 50 Milhões de Reais POR INFRAÇÃO;
Como está na lei: “Art. 52º II: multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração”;
• Agora imagine seu banco de dados sendo bloqueado, imaginou?
Como está na lei: “Art. 52º V: bloqueio dos dados pessoais a que se refere a infração até a sua regularização”;
• Pior que a multa e o bloqueio do banco de dados, é a reputação da empresa.
Como está na lei: “Art. 52º IV: publicização da infração após devidamente apurada e confirmada a sua ocorrência”;
12. Entrando em Conformidade
• Mapeamento de todos os fluxos da empresa, afim de encontrar nos mesmos os dados pessoais que são utilizados nos
processos de suas áreas de negócio;
• Mapeamento nas redes lógicas da empresa;
• Nível de maturidade da Área de TI com relação a proteção de dados;
• Auditoria em contratos com terceiros / Análise Jurídica;
• Plano de ação;
• Execução do Plano de Ação;
13. Mapeamento de Fluxos
• Mapear todos os fluxos;
• Encontrar todos os dados pessoais, a finalidade de uso e o tratamento;
• Ferramenta:
A única ferramenta nacional de mapeamento de dados que temos
conhecimento é da E+GTI (www.egti.com.br). Nela você consegue mapear
todos o fluxos de cada área de negócio, além de identificar pontos cruciais
para elaborar um parecer final e gerar um plano de ação estruturado.
14. Data Discovery - Mapeamento em Discos e Redes Lógicas
• Mapear toda a rede lógica para cruzar dados pessoais coletados no
Mapeamento de Fluxo.
• Os gaps devem ser identificados e tratados.
• Todas as bases da empresa devem ser mapeadas, desde Banco de
Dados a File Server.
Empresas como a E+GTI também fornecem o serviço de Data Discovery para seus clientes.
15. Nível de Maturidade da TI
• Entender o nível de maturidade em proteção de dados que a TI tem atualmente, é um passo importantíssimo para iniciar a adequação a LGPD.
• É imprescindível que esse trabalho seja feito com a maior isenção possível.
• Nós da E+GTI desenvolvemos um questionário com mais de 50 questões que traz o nível real de maturidade da sua TI em 6 domínios:
1. Governança de Proteção de Dados;
2. Gestão de Dados Pessoais;
3. Segurança da Informação;
4. Gestão de Risco dos Dados Pessoais;
5. Gestão de Dados Pessoais em Terceiros;
6. Gestão de Incidentes;
• Além disso, comparamos o seu nível de maturidade com o seu setor, seu estado e com o global.
16. Pontos Finais
• É imprescindível que sua equipe respire LGPD;
• Contratar uma consultoria é a melhor forma de iniciar a adequação;
• Não pense que seu negócio precisa apenas de um parecer jurídico, o parecer
técnico é fundamental para identificar e solucionar o gaps;
• Uma vez em conformidade, existirá a manutenção eterna desses fluxos de dados
pessoais;
• Dados pessoais não estão somente em ambientes digitais e virtuais, estão
também em arquivos físicos, sobre a mesa de trabalho e nas impressoras;
17. Links de Apoio
• LGPD – A Lei;
• E+GTI – Empresa pioneira na consultoria GDPR e LGPD no Brasil;
• Serpro – Seu consentimento é lei;
18. Sobre Mim
• Me chamo Maicon Alvim, sou profissional graduado em Sistemas e
Tecnologia em Redes com experiência de 19 anos na área de TI, sendo há
10 anos com a coordenação de projetos e equipes de TI. Atuei em
empresas de diversas áreas como suporte, infraestrutura, treinamento,
desenvolvimento, consultoria e e-commerce;
• Há dois anos atuando como coordenador de projetos e consultor em GDPR
e LGPD pela E+GTI;
• Estou à disposição para troca de ideias ou esclarecimento de dúvidas pelo
e-mail: maicon.alvim@egti.com.br;