Vamos entender agora sobre os principais pontos abordados pela nova lei e o que eles propõem.
No primeiro artigo da nossa série (se você não leu, clique aqui), entendemos a origem e do que se trata a Lei Geral de Proteção de Dados, mais conhecida como LGPD.
- Quando passa a valer?
A lei entra em vigor em agosto de 2020, portanto há pouco tempo para que as empresas se adequem.
- Quem e como será feita a aplicação da lei?
Em agosto de 2019 foi criada oficialmente a ANPD (Agência Nacional de Proteção de Dados) que terá a reponsabilidade de aplicar e fiscalizar a lei e suas diretrizes em todo território nacional e, em casos específicos, internacional.
Nos dois primeiros anos de existência esse órgão estará ligado ao poder executivo (presidência da república) e após esse período poderá ou não se transformar em autarquia independente como já é realidade com outros órgãos de controle como ANATEL por exemplo.
A ANPD ficará responsável então por fiscalizar se a lei está sendo cumprida, averiguar vazamentos de dados, punir os envolvidos em incidentes além de outras atribuições.
Vale ressaltar que a lei não é clara em todos os pontos sobre como a atuação da ANPD deverá ocorrer, mas são questões que passarão a ser discutidas agora com a efetiva criação do órgão.
- Quem estará sujeito à lei?
Conforme o Art. 1º, toda pessoa física ou jurídica de qualquer natureza que lide com o tratamento ou armazenamento. Neste ponto a LGPD é muito abrangente e visa garantir a segurança em todo o ciclo de vida da informação.
- Que tipo de informação deverá ser protegida?
Como já mencionamos no primeiro artigo, apenas os dados considerados sensíveis entram na proteção da lei.
Para a LGPD, dados sensíveis são todos aqueles que individualmente ou em conjunto com algum outro dado, podem identificar um único indivíduo de forma inequívoca.
Além do mais a lei prevê que essa proteção deve ocorrer INCLUSIVE para dados digitais, ou seja, qualquer fonte de informação ou dado considerado sensível deve ser protegida.
- Autorização para a coleta
No artigo 7º a lei descreve em que circunstâncias poderá ser feita a coleta de dados, dentre elas, a primeira e mais importante é “mediante o fornecimento de consentimento pelo titular”. Ou seja, sem essa premissa nenhum dado poderá ser coletado e tratado. As formas desse tratamento são abordadas nos princípios base da lei.
- Quais os princípios da lei?
A LGPD se baseia em 10 princípios que deverão ser cumpridos por todos os que tratarem ou coletarem dados sensíveis. São esses:
- Finalidade: deve ser claro ao titular qual o propósito daqueles dados e os mesmos não poderão ser usados para outra coisa.
- Adequação: o tratamento deve ser compatível com o fim informado.
- Necessidade: o tratamento deve ser o mínimo possível para atingir o objetivo.
- Livre acesso: é dever de quem trata os dados permitir que o seu titular tenha acesso a consultá-los de maneira fácil e gratuita.
- Qualidade: garantia aos titulares de exatidão, relevância e atualização dos dados.
- Transparência: garantia aos titulares de acesso fácil e transparente de informações sobre o tratamento e os agentes responsáveis pelo tratamento.
- Segurança: utilizar medidas técnicas e administrativas para proteger os dados em todo seu ciclo de vida contra acessos não autorizados, acidentais ou ilícitas e ainda de destruição, perda, alteração entre outros.
- Prevenção: adotar medidas preventivas contra vazamentos.
- Não discriminação: não utilizar os dados para fins discriminatórios ilícitos ou abusivos.
- Responsabilidade e prestação de contas: os agentes deverão demonstrar a adoção de medidas que garantam o cumprimento das normas da lei.
- Quais os direitos do titular?
Além de tudo que já observamos no ponto 5 e 6 deste artigo, é direito do titular: portabilidade dos dados para outro fornecedor de serviço ou produto; requisitar a eliminação dos dados; ter informações sobre com quem os seus dados foram compartilhados e para que fins; revogar seu consentimento de tratamento dos seus dados; direito a peticionar em juízo individual ou coletivamente em busca de seus direitos e interesses.
- Quem são os responsáveis pelos dados?
O artigo 5º prevê a existência de agentes de tratamento, sendo esses um controlador e um operador do tratamento.
O controlador será aquele que terá de tomar as decisões referente ao tratamento em si (da coleta ao objetivo final e o armazenamento disso), já o operador é aquele que realizará o tratamento propriamente dito, em nome do controlador.
Ainda deverá haver uma terceira pessoa denominada Encarregado, esse terá o papel de ser o canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
- E se ocorrer um incidente?
No artigo 48. do capítulo VII, a lei prevê que o controlador deverá comunicar a ANPD e as titulares dos dados envolvidos na ocorrência em um prazo razoável. Esse prazo razoável não deixa claro um período e essa definição deverá ser feita pela própria ANPD.
Além disso deverá conter nesse informativo os tipos de dados afetados, os titulares dos dados, quais medidas estavam sendo tomadas no momento, riscos relacionados ao incidente e quais medidas estão sendo tomadas para mitigar o prejuízo e evitar novas ocorrências.
- Quais as penalidades previstas?
As sanções previstas variam desde uma simples advertência com indicações de prazos para correções até multas milionárias.
As multas podem ser de 2% do faturamento declarado no último exercício limitado ao teto de 50 milhões de reais POR CADA INFRAÇÃO. Além disso pode ocorrer casos de multa diária até a comprovação das adequações e ainda bloqueio ou eliminação dos dados envolvidos no incidente (obrigando todo processo de coleta e tratamento ser iniciado do zero).
Todo órgão envolvido em um incidente terá prazo e direito a ampla defesa e todas as sanções previstas levarão em conta a gravidade, histórico da detentora dos dados envolvidos no incidente, porte financeiro entre outros.
Na próxima parte da nossa série, vamos entender alguns dos principais desafios que a LGPD trará às empresas e órgãos.
PART 3 JÁ DISPONÍVEL: https://hackersec.com/lgpd-e-seus-impactos-part-3/