Introdução à LGPD

A LGPD exige que as organizações sigam 65 artigos que regulam todo o ciclo de vida dos dados, tais como a coleta, o tratamento, as divulgações e a exclusão de dados pessoais.

A LGPD contém definições sobre dados pessoais, sobre a utilização destes dados, bem como, mediante possíveis regulamentações da ANPD (Autoridade Nacional de Proteção de Dados).

Assim como com o GDPR na Europa, a LGPD se aplica ao tratamento de dados por toda e qualquer organizacão no Brasil, bem como por organizações fora do Brasil em determinadas circunstâncias.

A conformidade com a LGPD proporciona benefícios significativos aos titulares de dados que terão novos direitos.

Agora, as organizações também terão uma nova oportunidade de ganhar a confiança desses titulares de dados. Além disso, elas poderão evitar penalidades, bem como possíveis danos à reputação causados pelo tratamento incorreto ou inseguro dos dados.

Visão geral da LGPD

O Brasil aprovou a Lei Geral de Proteção de Dados Pessoais (LGPD) em 2018. A legislação estabelece e protege os direitos e liberdades das pessoas e proporciona maior transparência aos titulares de dados pessoais abrangidos. Embora a LGPD tenha entrado em vigor em 18 de setembro de 2020, a aplicação de sanções administrativas foi adiada e começou a vigorar apenas em 1º de agosto de 2021, devido à pandemia da COVID-19.

Embora essa não seja a única lei do Brasil que trate questões relacionadas ao uso e o tratamento de dados pessoais, a LGPD é a primeira estrutura abrangente do país que regula de forma concentrada as atividades de dados pessoais tratados pelas empresas nessa escala.

Muitas disposições da LGPD têm a influência significativa do GDPR. Por exemplo, existem muitos alinhamentos entre eles no modo como definem o consentimento dado livremente e quando se aplica.

No entanto, a LGPD também se difere do GDPR em outras áreas, inclusive, no que se refere as base legais que justificam o tratamento de dados pessoais, aos requisitos para notificações de incidentes de segurança, vazamento de dados e à ampla extensão de sua jurisdição, bem como quanto aos prazos para atender uma solicitação de um titular de dados, ou reportar incidente.

O escopo aplicável da LGPD talvez seja a mudança mais significativa que ela traz para o cenário de privacidade e proteção de dados pessoais no Brasil.

Milhares de organizações que não estão sujeitas aos regulamentos globais existentes, como o GDPR, CCPA e outros, agora devem observar as diretrizes da LGPD. Isso significa que mesmo as organizações que adotam voluntariamente os princípios do GDPR e/ou CCPA, ou aquelas que ainda não começaram a utilizá-los, possuem um longo caminho para ficar em conformidade com a LGPD.

Principal terminologia da LGPD

A principal terminologia da LGPD será familiar para aqueles que trabalham com o GDPR regularmente. No entanto, nem todo o vocabulário é intercambiável entre os dois textos. Vamos definir os termos essenciais da LGPD antes de explorar suas aplicações.

As seguintes definições vêm da legislação:

• Controlador de dados - pessoa física ou jurídica que toma decisões referentes a qualquer tipo de tratamento dos dados pessoais.
• Operador de dados - pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome de um controlador.
• Dados pessoais - qualquer informação relacionada a uma pessoa real, sejam estes dados identificados ou identificáveis.
• Dados pessoais sensíveis - informações pessoais que podem incluir origem racial ou étnica, crença religiosa, opinião política, filiação sindical ou afiliação religiosa. Os dados sensíveis também abrangem dados relativos à saúde ou à vida sexual, e dados genéticos ou biométricos.
• Pseudonimização - o tratamento de dados de uma forma em que, mesmo removendo algumas associações diretas ou indiretas a um indivíduo, possa ser decodificado usando meios razoáveis.
• Anonimização - o tratamento de dados pessoais que utiliza meios técnicos para eliminar a possibilidade de associações diretas ou indiretas a um titular de dados.
• Encarregado da proteção de dados (também conhecido como responsável pela proteção de dados - DPO) - facilita a comunicação entre controladores, titulares de dados e a ANPD. Pode ser um indivíduo, um grupo ou uma empresa que o controlador indica.

A LGPD se aplica à sua organização?

Para determinar se a LGPD se aplica à sua organização, é necessário revisar o escopo material da lei, ou seja, se a LGPD cobre seus tipos de atividades de tratamento. Bem como, saber se sua organização figura como Controlador ou Operador no tratamento dos dados pessoais. 

Sua organização também precisará considerar o escopo territorial da LGPD. Para isso, você precisará avaliar se o local de seus clientes, as atividades de coleta e tratamento de dados, entre outras atividades, serão regidas pela LGPD.

Escopo territorial da LGPD

Quando as atividades de dados envolvem dados pessoais de cidadãos brasileiros e/ou pessoas localizadas dentro do Brasil, o escopo territorial da LGPD será aplicado.

A LGPD é relevante para indivíduos ou organizações que realizam o tratamento de dados pessoais:

• No Brasil. Isso inclui todo o tipo de processamento de dados, dentre eles a coleta, o tratamento e o armazenamento de dados dentro das fronteiras do país.
• Fora do Brasil. É onde se realiza a operação de tratamento fora do território nacional. A atividade de tratamento se destina à oferta ou prestação de bens ou serviços, ou ao tratamento de dados de pessoas localizadas no território nacional; ou onde os seus dados pessoais que estão sendo tratados tenham sido coletados no território nacional.

Escopo material da LGPD

A LGPD se aplica ao tratamento de dados pessoais realizado por uma pessoa física, uma entidade pública ou uma organização privada. Ao contrário de outras leis, como o CCPA e o CPRA, a LGPD não define um limite de tamanho da empresa para a aplicação da lei. Isso significa que empresas de todos os portes devem estar em conformidade com a LGPD.

A ANPD aprovou recentemente regulamento específico para aplicação da LGPD para agentes de tratamento de pequeno porte seja quanto aos prazos, sobre a possibilidade de ter ou não um DPO, entre outros aspectos.

De acordo com o artigo 4.º, existem poucas exceções ao escopo material da LGPD:

• Atividades de tratamento usadas para atividades privadas e não econômicas.
• Fins jornalísticos e artísticos.
• Motivos acadêmicos cobertos pela lei.
• Segurança pública, defesa nacional, segurança do Estado ou investigação e fins processuais.
• Atividades de tratamento de dados pessoais originadas fora do Brasil, de países que fornecem um nível adequado de proteção de dados.

Direitos dos titulares de dados sob a LGPD

A LGPD estabelece novos direitos e liberdades para indivíduos no Brasil. As organizações cobertas devem oferecer total liberdade aos titulares dos dados para que eles exerçam os seguintes direitos:

Direito a ser informado 

De acordo com o artigo 9.º, a LGPD fornece o direito de acesso aos titulares de dados para que eles saibam como as empresas tratam seus dados pessoais. Isso também se aplica quando um terceiro obtém dados pessoais de um controlador.

Direito ao acesso 

De acordo com o artigo 18, a LGPD concede aos indivíduos o direito de solicitar uma cópia ou qualquer tipo de acesso aos seus dados pessoais por qualquer meio razoável. Isso inclui e-mail, telefone, carta escrita ou via portal on-line.

Direito à retificação 

Também abordado pelo artigo 18, os titulares dos dados têm o direito de que as empresas corrijam informações incompletas, inexatas ou desatualizadas sobre eles. Não há restrições quanto ao formato ou à natureza das solicitações de retificação feitas por indivíduos.

Direito de eliminação dos dados 

O artigo 18 estabelece o direito de os indivíduos solicitarem a eliminação por completo de seus dados pessoais. As empresas devem cumprir as solicitações de eliminação desde que tenham consentimento e tenham verificado a identidade do titular dos dados, bem como , após observado se não existe nenhuma outra lei que obrigue a manutenção daquele dado e por quanto tempo.

Direito de oposição 

Também conhecido como "direito à restrição". Os titulares de dados podem pedir às empresas que bloqueiem a coleta ou o tratamento de dados desnecessários ou excessivos. Isso se aplica principalmente quando as práticas de dados não estão em conformidade com a LGPD. De acordo com o artigo 5.º, a LGPD define o bloqueio como "suspensão temporária de qualquer operação de tratamento, mediante retenção de dados pessoais ou do banco de dados".

Direito de portabilidade dos dados 

Os titulares de dados têm o direito de portabilidade de seus dados por meio de solicitação expressa. Esse processo está sujeito a sigilo comercial e industrial, conforme regulado pela ANPD.

Direito de não estar sujeito à tomada de decisões automatizadas 

De acordo com o artigo 20, os titulares dos dados podem solicitar a revisão das decisões tomadas sobre eles exclusivamente como resultado da automação. Isso se aplica especialmente a qualquer decisão que defina seu perfil pessoal, profissional, de consumo e de crédito, bem como sua personalidade.

6 etapas para a conformidade com a LGPD

A conformidade com a LGPD tem semelhanças com as regulamentações anteriores, mas os requisitos variam em diversas áreas importantes. Siga estas seis etapas para a conformidade com a LGPD a fim de que sua organização acelere o trabalho.

1. Indique um DPO
2. Crie um mapa de dados
3. Faça uma análise de gaps
4. Crie um processo para gestão de DSAR (solicitações dos titulares de dados)
5. Implemente um processo para notificação de violação de dados
6. Realize avaliações de riscos

Etapa 1: Indique um DPO

A primeira etapa essencial para a conformidade com a LGPD seria a indicação de um responsável pela proteção de dados na empresa. Embora outras leis de proteção de dados exijam que as organizações indiquem uma pessoa física para uma função de DPO, a LGPD permite que empresas, comitês, especialistas terceirizados ou grupos de trabalho internos realizem estas atribuições. Assim sendo, de acordo com a LGPD, não existe nenhuma ressalva sobre a questão se o DPO deve ou não residir no Brasil.

Etapa 2: Crie um mapa de dados

O mapeamento de dados é uma atividade essencial para entender os fluxos de dados, inclusive pontos de coleta, finalidades de dados, políticas de compartilhamento e aplicativos de retenção. Isso permite que as equipes de privacidade desenvolvam e refinem processos internos que buscam a conformidade com a LGPD.

Os operadores terceirizados também devem desempenhar um papel nos esforços de mapeamento de dados da sua organização. Isso permite que os controladores de dados selecionem e contratem operadores que minimizam sua exposição a riscos.

Buscar a conformidade com a LGPD é uma prática contínua.

A ANPD exigirá que as organizações sempre tenham uma documentação atualizada e precisa dos fluxos de dados. O mapeamento de dados com suporte para fluxos de trabalho automatizados ajuda as equipes a desenvolver e manter informações atuais sobre sistemas de TI, transferências de dados e atividades relevantes de terceiros.

Etapa 3: Faça uma análise de gaps

Uma vez equipado com um mapa de dados abrangente, a melhoria da sua conformidade com a LGPD se resumirá a compreender e abordar onde os processos atuais são escassos.

Realizar uma análise de gaps eficaz o ajudará a ter esses insights.

Uma auditoria de usos atuais e planejados dos dados pessoais deve começar com políticas corporativas e terminar com atividades específicas de tratamento. Você precisará identificar abordagens, atividades e ativos que requerem revisões ou eliminação para observar os requisitos e direitos estabelecidos pela LGPD.

Etapa 4: Crie um processo de gestão de DSAR

A LGPD estabelece os direitos dos titulares de dados, sendo eles o acesso aos dados, a retificação, a portabilidade, o apagamento, o bloqueio, bem como o direito a ser informado. As organizações precisam estabelecer um processo para gerenciar um fluxo de DSARs.

A LGPD indica dois prazos para o cumprimento de uma solicitação de acesso do titular de dados. O prazo depende da natureza da solicitação.

De acordo com o texto, um controlador de dados deve fornecer os dados a um titular de dados "imediatamente" (em formato simplificado) em muitos casos. Em alguns casos, o controlador deve responder dentro de 15 dias, a contar do dia em que a solicitação foi enviada pelo titular de dados à empresa, e fornecer um relatório detalhado sobre a origem dos dados, os critérios utilizados e a finalidade do tratamento.

No momento, a legislação não prevê um período maior para altos volumes de solicitações, expondo os controladores de dados a possíveis penalidades se não conseguirem operacionalizar DSARs rapidamente.

Trabalhar com um portal que automatiza o tratamento de DSAR simplificará os esforços para facilitar a conformidade com a LGPD, ao gerenciar o recebimento e a resolução de DSAR, a partir de uma plataforma centralizada.

Etapa 5: Implemente um processo para notificação de violação de dados

A LGPD lista requisitos robustos de notificação de violação de dados.

De acordo com a legislação, as organizações devem notificar imediatamente a ANPD e os titulares de dados afetados sobre incidentes, existindo uma recomendação da própria ANPD para que esta comunicação seja feita em até 48 horas úteis a partir do momento em que o controlador tenha ciência do incidente de segurança. Em casos de grande impacto aos titulares de dados e à sociedade, poderá haver um requisito adicional para fornecer a divulgação pública do incidente por meio da mídia, se considerado necessário pela ANPD.

No momento, a LGPD não esclarece o limite da gravidade dos incidentes de dados para que seja necessário a notificação aos titulares dos dados pelas organizações que sofreram algum tipo de violação. O texto solicita às organizações que considerem a presença de riscos ou danos a indivíduos e entidades relacionados ao determinar sua decisão.

É prudente que as equipes de segurança se preparem para as exigências mais rigorosas de notificação de violação de dados emitidas pela LGPD. Ao implementar um sistema para lidar com notificações de violação de dados em grande escala e em conformidade com as partes necessárias, as organizações estarão no caminho certo para a conformidade com a LGPD.

Etapa 6: Realize avaliações de riscos

As organizações precisam concluir o due dilogence antes de se envolver com um fornecedor que possa deixá-las expostas a riscos de não conformidade com a LGPD.

Antes que um controlador de dados contrate alguma empresa que atue com operador de dados, a condução de uma avaliação de riscos permitirá uma decisão consciente. Esta, sem dúvida é um atividade que requer um grande esforço. Exige que as equipes de privacidade avaliem o uso, o acesso e o armazenamento de dados pessoais para determinar se o operador de dados poderá colocar o controlador de dados sujeito a incidentes de dados ou riscos de violação.

Escolher seus fornecedores de maneira cuidadosa compensará muito a longo prazo.

As organizações podem elaborar contratos com especificidades sobre as funções, peculiaridades e responsabilidades específicas relacionadas à proteção de dados em seus contratos com fornecedores para mitigar alguns desses riscos. Isso é particularmente aplicável a atividades de tratamento de alto risco, assim como aquelas que contêm dados sensíveis.

Conformidade contínua com a LGPD

Se sua organização estiver familiarizada com as normas de privacidade globais, você já sabe que a conformidade com a LGPD requer esforço contínuo. Para as organizações que estão começando a aderir ao mundo da regulamentação de dados pessoais, vale a pena observar que o cumprimento das leis de privacidade não é uma tarefa única.

Considere as três práticas a seguir para ajudar sua equipe a manter-se em dia com a busca contínua da conformidade com a LGPD:

• Pesquise: Este guia é apenas o início de sua jornada para a conformidade com a LGPD. Incentivar a pesquisa e o aprendizado contínuo ajudará a desenvolver a experiência necessária em toda a sua equipe, entre as pessoas que tomam as decisões e em toda a empresa para melhorar os resultados da privacidade dos dados.
• Mantenha-se atualizado sobre os desenvolvimentos regulatórios: Seja o primeiro a saber sobre desenvolvimentos regulatórios e monitorar novas orientações da autoridade regulatória emitidas pela ANPD. Essa prática o ajudará a manter o controle de suas políticas e processos internos, pois eles provavelmente precisarão evoluir com o tempo.
• Promova treinamentos: A LGPD não influencia apenas as equipes de privacidade. As sessões de treinamento para todos os funcionários de sua empresa são uma ótima maneira de garantir que todos entendam os impactos da tomada de decisões diária em relação às políticas de privacidade de dados.

Soluções da OneTrust para a LGPD

A OneTrust fornece às organizações as ferramentas necessárias para buscar a conformidade com a LGPD. Nossas soluções permitem que você desenvolva e operacionalize seu programa de conformidade com a LGPD em diferentes funções de negócios.

A plataforma OneTrust oferece suporte às equipes de privacidade, conformidade e marketing, permitindo:

• Realizar e agilizar DSARs por meio de um portal automatizado.
• Agilizar a descoberta e a classificação de dados a fim de criar um mapa de dados permanente e atualizável.
• Acessar uma fonte extensa e atualizada para pesquisa e orientação regulatórias sobre a LGPD.
• Obter o suporte necessário para implementar os requisitos da LGPD por meio de nossos profissionais locais e certificados.

Saiba como a OneTrust pode ajudar sua organização a iniciar seu programa de conformidade com a LGPD. Solicite uma demonstração hoje mesmo!