LGPD | GDPR
O que é a LGPD?
É a lei federal nº 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, aprovada em 14 de agosto de 2018, que entrou em vigor em 18 de setembro de 2020. Ela estabelece regras para o uso, coleta, armazenamento e compartilhamento de dados dos usuários por empresas públicas e privadas. Um de seus principais objetivos é garantir mais segurança, privacidade e transparência no uso de informações pessoais. Com a nova legislação, o titular dos passos pessoais terá o direito de consultar gratuitamente quais dos seus dados estão em posse de determinada organização, como estão sendo armazneados e até mesmo solicitar a retirada deles do sistema da referida organização.
Esses dados podem ser números de documentos como RG, CPF, PIS, endereço, ou aqueles considerados pela LGPD como dados pesssoais sensíveis, por exemplo: origem racial ou étnica, filiação à organizações políticas ou religiosas, informações genéticas e de biometria ou de orientação sexual.
Afinal, quando a LGPD entra em vigor?
A LGPD entrou em vigor em 18/09/2020, após o presidente Jair Bolsonaro sancionar o Projeto de Lei de Conversão nº 34/2020, originado na Medida Provisória (MPV) nº 959/2020.que deixou o Senado Federal, em 26/08/2020.
Por que as pessoas físicas e jurídicas devem ser educadas e/ou capacitadas a respeito da proteção e privacidade de dados pessoais? A LGPD é a primeira lei geral de proteção de dados no Brasil e, como tal, traz novos direitos aos indivíduos e requisitos de conformidade para organizações públicas e privadas. À medida em que o Brasil se encaminha para uma sociedade e economia digitais, os brasileiros devem ser instruídos sobre seus direitos de proteção de dados. Eles devem ter um entendimento básico de como podem controlar seus dados pessoais, e devem ser capazes de confiar no ecossistema de proteção de dados. Por sua vez, as organizações devem ser conscientizadas de suas obrigações e responsabilidades para com os indivíduos. Elas devem tomar medidas protetivas adequadas e assumir as responsabilidades para poder gerar tal confiança nos meios digitais.
Quais são as boas práticas que as pequenas empresas podem começar a realizar para se adequar à LGPD?
A LGPD é uma mudança cultural, de metodologia de trabalho e de processos. Sendo assim, mesmo em tempos de COVID-19 estas organizações podem:
(i) capacitar seus colaborares que lidarão com o tema, já que trata-se de um baixo investimento;
(ii) revisitar seus processos;
(iiI) identificar quais deles tratam dados pessoais e/ou dados pessoais sensíveis;
(iv) identificar quais ferramentas de TI são utilizadas, e quais destas estão ativas;
(v) mapear se há compartilhamento de dados com terceiros;
(vi) nomear um Encarregado, também conhecido como Data Protection Officer (DPO);
(vii) Indicar um canal de contato para exercício de direitos dos titulares e estabelecer
os processos de atendimento a tais direitos.
Se eu alterar a Política de Privacidade da minha organização já estarei adequado à LGPD?
Não. A adequação à LGPD é muito mais que isso. Basicamente é uma jornada, que pode ser subdividida em: capacitação, mapeamento de riscos, adequação e auditoria de conformidade.
Minha organização é uma multinacional de origem europeia, precisaremos nos adequar à LGPD?
Embora a LGPD tenha sido inspirada no GDPR, e a semelhança de suas estruturas topológicas e de seus artigos serem notáveis, definitivamente são arcabouços jurídicos-regulatórios distintos. Mesmo se olharmos para o GDPR, de aplicação direta em todos os estados-membros da União Europeia, é possível identificar a influência da cultura em cada país nos resultados esperados das normas.
Quero começar a adequação da minha organização, mas a verba é limitada. Por onde eu começo?
Comece pela capacitação de seus colaboradores. Esta capacitação permitirá a formação de key users que replicarão seus conhecimentos internamente. Indicamos a nossa capacitação Fundamentos do SGPI, de acordo com a LGPD, a norma ABNT
NBR ISO/IEC 27701:2019 e demais normas
relacionadas (Requisitos e Diretrizes), de 27h de duração. Ou, caso a verba para capacitação for limitada, indicamos a nossa capacitação na norma NBR ISO/IEC 29100:2020 – Estrutura de Privacidade.
A LGPD é um assunto estritamente jurídico, basta seguir o que está escrito na lei, e pronto, correto?
Uma lei é uma prescrição escrita que emana da autoridade soberana de uma sociedade e impõe aos cidadãos a obrigação de submeter-se a ela, sob pena de sanções. Contudo, uma lei apenas informa o que quer, mas não como deve ser feito. O como deve ser feito pode ser obtido através das normas técnicas da ABNT e ISO. Tais normas são documentos estabelecidos por consenso de especialistas, e aprovado por organismos reconhecidos. Uma organização não precisa reinventar a roda, seja para se adequar, ou para adequar outras organizações. Começar pela NBR ISO/IEC 27701. Contudo, existem outras. Consulte nossa área #queromais.
Minha organização já está avançada na sua adequação à LGPD, contratamos consultoria jurídica. Isso basta?
As adequações são complexas e podem demorar vários meses, contudo convém que a sua adequação seja multidisciplinar. Sendo assim, sozinhos, nem o TI e nem o Jurídico resolverão os desafios relacionados ao arcabouços da LGPD. A sinergia de profissionais de diferentes áreas, se faz necessária.
A minha organização não se preocupará com a LGPD agora, porque a ANPD ainda não está constituída. E, de mais a mais as sanções desta Autoridade, só poderão ser aplicadas a partir de agosto de 2021, certo?
Antes da preocupação efetiva com a ANPD, as organizações precisam pensar em como elas se organizarão internamente com relação aos seus processos e fluxos que tratam dados pessoais. Pois, com a LGPD em vigor, qualquer titular de dado pessoal lesado, ou que se sinta lesado, poderá mover ação na esfera da justiça comum. Principalmente se os contatos dessas organizações com os titulares tiverem relações de consumo. Neste caso, elas estarão sujeitas às sanções de outros órgãos como: PROCON, SENACON, ligado ao Ministério da Justiça (MJ), ou o próprio Ministério Público (MP).
Assim que minha organização se adequar à LGDP, não precisaremos nunca mais nos preocupar com isso. Ou estou equivocado?
Estar em compliance com os arcabouços da LGPD é algo que demanda um monitoramento e melhoria contínua, é um esforço que nunca acaba.
Qual é o significado de ANPD? E qual é a sua origem?
A sigla ANPD significa Autoridade Nacional de Proteção de Dados. Ainda no final de 2018, na gestão do Presidente Michel Temer, foi editada a Medida Provisória n. 869/2018, que propôs a criação de uma Autoridade Nacional de Proteção de Dados Pessoais (ANPD). A MP foi aprovada pelo Congresso Nacional com modificações e convertida na Lei nº 13.853, sancionada pelo Presidente Jair Bolsonaro em 9 de julho de 2019. Todavia, para que a Autoridade seja efetivamente criada, ainda é necessário um decreto presidencial estabelecendo os parâmetros da sua estrutura e a indicação de 5 diretores pela Presidência da República para comporem o Conselho Diretivo da ANPD. Após sua indicação, os 5 nomes também deverão ser aprovados pelo Senado Federal antes de serem efetivamente empossados.
Qual é o papel da PEC 17/19 na proteção e privacidade de dados pessoais?
Proposta de Emenda Constitucional (PEC) nº 17 de 2019, conhecida como PEC 17/2019 é um pilar fundamental para a concretização do arcabouço jurídico regulatório da proteção e privacidade de dados pessoais, pois ela eleva a proteção de dados pessoais a um direito e garantia Constitucional e fixa a competência privativa da União para legislar sobre o tema, assim como também estabelece que a ANPD deverá ser uma entidade independente, integrante da administração pública federal indireta e submetida a regime autárquico especial. A PEC 17/2019 teve origem no Senado Federal, já foi analisada pela Comissão Especial na Câmara dos Deputados e aguarda sua votação no Plenário.
O que são ‘cookies’ na web e quais riscos eles representam?
É com eles que o seu navegador pode contar a um site que você já esteve ali ou que adicionou um item ao carrinho de compras em uma loja virtual, por exemplo.
“Não existe na LGPD uma regulamentação que obrigue de forma explícita esses avisos de cookies, mas a legislação tem medidas que implicam em maior transparência em maior lealdade com o usuário“, explica Danilo Doneda, advogado e professor no IDP (Instituto Brasiliense de Direito Público).
“Pelo fato dos sites precisarem ser mais claros e transparente, esses avisos são uma forma de mostrarem que estão se preocupando com a coleta de dados. O Regulamento Europeu, GDPR, tem obrigações nesse sentido e muitas empresas brasilieiras estão fazendo isso porque já fazem na Europa”, completou Doneda.