Entenda os primeiros passos para adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) e o porquê da proteção à privacidade somente ser possível com segurança da informação assim como o que é, a quem se aplica e qual a importância dela para o Brasil, para as empresas e para os titulares de dados pessoais.
Com a LGPD, o Brasil passa a ter regras de Privacidade e Proteção de Dados compatíveis com as mais avançadas regulações no mundo.
A Lei 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD), é a legislação brasileira que regula os aspectos relativos ao tratamento de dados pessoais “com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” [LGPD].
A Clavis Segurança da Informação produziu um webinar destinado a discutir os principais pontos a respeito da LGPD, entendendo os impactos da legislação na sociedade e a jornada de adequação das empresas. Assista abaixo:
Breve histórico. O histórico da LGPD é bastante conturbado. Fruto da aglutinação de diversas propostas que vinham tramitando no parlamento desde 2012, como o Projeto de Lei 4060/2012 e um anteprojeto do Ministério da Justiça, em maio de 2016, a então Presidente Dilma Roussef encaminhou ao congresso o anteprojeto de lei, recebido como Projeto de Lei nº 5276/2016. Em julho de 2018 o Projeto Lei da Câmara 53/2018 foi aprovado no plenário do Senado. A Lei Geral de Proteção de Dados foi sancionada pelo Presidente Temer em 14 de agosto de 2018, publicada no Diário Oficial da União (DOU) no dia seguinte. O início da vigência seria em 18 meses após a publicação no DOU. O projeto sofreu vetos – o mais importante deles, impedindo a criação da Agência Nacional de Proteção de Dados. Em dezembro de 2018, a Medida Provisória nº 869 alterou o início da vigência da lei para agosto de 2020.
A ANPD. A criação da Agência Nacional de Proteção de Dados (ANPD) também não foi um processo simples. Após o veto de Temer às disposições relacionadas à ANPD no texto original da ANPD, em 27 de dezembro de 2018, Temer editou a Medida Provisória nº 869, prevendo a criação da ANPD. A MP 869 sofreu várias alterações no Congresso, sendo tratada como Projeto de Lei de Conversão nº 7 de 2019 e enfim aprovada e sancionada pelo presidente Jair Bolsonaro como Lei nº 13.853 em 8 de julho de 2019. Pouco depois, o Decreto Nº 10.474, de 26 de agosto de 2020 aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados – ANPD. E em 20 de outubro de 2020, o Plenário do Senado aprova os nomes dos cinco Diretores que irão compor a Autoridade Nacional de Proteção de Dados “ANPD”, indicados pelo presidente da República.
Decreto que aprova a estrutura regimental da ANPD (Fonte: DOU).
Entrada em vigor, COVID-19 e multas. Como se o processo de entrada em vigor da LGPD já não fosse suficientemente “emocionante”, a pandemia da COVID-19 motivou a promulgação da Lei Nº 14.014, de 10 de junho de 2020 que, em suas disposições finais, prorroga para 1º de agosto de 2021 a aplicação sanções administrativas relacionadas à LGPD. No entanto, menos de duas semanas após a entrada em vigor da Lei, já se observava decisões judiciais aplicando multas relacionadas ao descumprimento da LGPD. A partir de agosto de 2021, a ANPD terá autoridade para aplicar sanções administrativas na forma de multas de até 2% do faturamento com limite de até R$ 50 milhões.
A quem se aplica a LGPD
Quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma vale para coletas operadas em outro país, desde que estejam relacionadas a bens ou serviços ofertados a brasileiros, ou que tenham sido realizadas no país.
Conceito de Dados Pessoais
Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada a categoria “dado sensível”, com informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação.
Privacidade e Segurança da Informação
Segurança da Informação é requisito prévio para a proteção de dados.
De maneira simplificada, as regras expressas pelas regulações de Privacidade e Proteção de Dados nada mais são do que uma Política de Segurança, ou seja, tais regras direcionam a forma como uma organização deve proteger um conjunto de recursos críticos – neste caso, os recursos críticos a serem protegidos são os Dados Pessoais. Esta definição é totalmente compatível, por exemplo, com a definição de Política de Segurança do “Glossário de Segurança de Internet” da Internet Society. E, de fato, o que se deseja em relação aos Dados Pessoais é a garantia de serviços “clássicos” de Segurança da Informação, com destaque para a Confidencialidade – mas também incluindo outros, tais como Controle de Acesso, Auditoria, Integridade, Autenticação de Origem e Não-Repúdio (novamente, usando a terminologia do “Glossário de Segurança de Internet” da Internet Society).
A importância da Segurança da Informação como um requisito prévio para a proteção de dados pessoais está evidente na própria concepção do padrão ISO/IEC 27701:2019 – Sistema de Gerenciamento de Privacidade da Informação. A ISO/IEC 27701:2019 é hoje a principal referência para a construção de um Sistema de Gestão com foco em Privacidade e Proteção de Dados. O padrão, no entanto, caracteriza-se como uma extensão aos padrões de Segurança da Informação ISO/IEC 27001 (Gestão de Segurança da Informação) e ISO/IEC 27002 (Controles de Segurança da Informação). Ou seja, para que uma organização possa implementar os controles relacionados à Privacidade e Proteção de Dados, ela deve, antes, atender aos requisitos da ISO/IEC 27001 por meio da implantação de um Sistema de Gestão de Segurança da Informação, e os controles previstos na ISO/IEC 27002.
Clique aqui e leia a publicação completa sobre o webinar em nosso Blog SegInfo.