Vivemos em uma era digital onde os dados são o novo petróleo, impulsionando inovações e moldando o mundo dos negócios. Mas com esse imenso poder dos dados, surge uma responsabilidade igualmente imensa: a de proteger a privacidade e os direitos das pessoas. É aí que entra a Lei Geral de Proteção de Dados, ou LGPD e este resumo completo desenvolvido para lhe ajudar.

Nos últimos anos, a LGPD se tornou uma parte fundamental do cenário regulatório no Brasil, afetando empresas de todos os tamanhos e setores. Ela tem como objetivo principal garantir que os dados pessoais dos indivíduos sejam tratados com cuidado, respeito e segurança, além de dar a eles o controle sobre suas informações.

Neste artigo, vamos mergulhar fundo na LGPD e fornecer um resumo abrangente desta legislação crucial. Vamos explorar o que é, por que ela é importante e como ela afeta as organizações, desde as grandes corporações até as pequenas empresas. Você descobrirá como a LGPD impacta a coleta, o uso e o armazenamento de dados pessoais, bem como as medidas que as empresas precisam tomar para cumprir suas obrigações legais.

Independentemente de ser um empresário, um profissional de TI, ou apenas alguém interessado em saber mais sobre seus direitos de privacidade, este artigo irá ajudá-lo a entender a LGPD de forma clara e concisa. É hora de desvendar os detalhes e as implicações dessa legislação fundamental e garantir que sua empresa esteja no caminho da conformidade. Vamos começar!

A lei da LGPD

Conforme descrito pelo Ministério da Defesa em seu website, “a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.  

Para proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural foi criada a Autoridade Nacional de Proteção de Dados (ANPD), conforme estabelecido no Decreto nº 10.474, de 26 de agosto de 2020.” 

É seguro dizer que a LGPD veio para promover consideráveis impactos e alterar positivamente não somente a atuação das empresas e Instituições; Órgãos que promovem o tratamento de Dados Pessoais, mas também toda a sociedade. 

É preciso ter em mente que todos nós, em algum momento de nossas vidas, podemos ser alvo; vítimas de vazamento de dados. Motivo pelo qual, apesar de aparentemente muito exigente, a Lei em questão é de grande valia a todas as pessoas.  

Já de início, é preciso ressaltar que a Lei se aplica à pessoa natural ou pessoa jurídica de direito público ou privado que promova, inclusive nos meios digitais, o tratamento de dados pessoais. 

Importante explicar que a LGPD se aplica em nosso território brasileiro, enquanto sua prima gringa GDPR (General Data Protection Regulation) está vigente, estabelecendo as regras atinentes ao tratamento de dados pessoais relativos a pessoas situadas na União Europeia, mas possuem o mesmo objetivo. 

segurança de dados

Elementos da LGPD

Nesse passo, define “dados pessoais” como sendo toda informação relacionada a pessoa natural identificada ou identificável;  

“tratamento” como sendo toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. 

Além disso, também nos apresenta e define as importantes figuras do Controlador (a quem competem as decisões referentes ao tratamento de dados pessoais),  

Operador (que realiza o tratamento de dados pessoais em nome do controlador) e do Encarregado de Dados ou “Data Protection Officer – DPO (pessoa que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados), com vistas a possibilitar a realização de auditorias para adequações e o desenvolvimento de procedimentos que garantam sua efetiva aplicação. 

Assim sendo, na prática, a LGPD demanda a adoção de boas práticas e governança em privacidade, bem como estabelece a necessidade da aplicação do conceito de Privacy by Design, que pode ser entendido como um conjunto de princípios e diretivas que garantem a “privacidade desde a concepção do produto ou do serviço”. 

Quais as consequências da LGPD? 

A LGPD veio para garantir a autodeterminação informacional ao indivíduo, ou seja, assegurar ao Titular do Dados os direitos, dentre outros e em geral:

  • De confirmar a existência de tratamento;
  • De acesso aos dados; de correção de dados;
  • À anonimização, bloqueio ou eliminação de dados;
  • À portabilidade dos dados;
  • Eliminação dos dados pessoais; e
  • Revogação do consentimento; ou seja, de deter; retomar certo poder sob suas informações. 

O titular dos dados agora detém a prerrogativa de ter a ciência total acerca de quais dos seus dados estão sendo utilizados. Informando para qual finalidade e motivo; por qual meio/forma serão utilizados/tratados; qual o amparo legal para tal; bem como qual será a sua destinação. 

A garantia da privacidade, de forma ampla e efetiva, considerando os mais diversos desafios e cenários existentes, deixou de ser desafio e, a partir da LGPD, já se tornou uma realidade para nosso time, máxime por ser uma demanda inadiável do mercado e da sociedade e, por isso, é tratada como prioridade. 

 

O que são dados sensíveis para a LGPD?

A Lei Geral de Proteção de Dados (LGPD) define dados pessoais sensíveis como um tipo especial de dado que merece uma proteção adicional devido ao seu potencial para causar impactos significativos na privacidade e nos direitos fundamentais das pessoas. Esses dados sensíveis incluem informações pessoais que se referem a características íntimas ou particulares de uma pessoa. De acordo com a LGPD, os dados pessoais sensíveis podem ser:

  • Raça e etnia: Dados que indicam a origem racial ou étnica de uma pessoa.
  • Convicções religiosas ou filosóficas: Informações sobre a religião, crenças espirituais ou convicções filosóficas de alguém.
  • Vida sexual: Dados que revelam informações sobre a vida sexual de uma pessoa.
  • Orientação sexual: Informações sobre a orientação sexual de alguém.
  • Dados genéticos: Informações relacionadas à genética de uma pessoa, incluindo informações sobre hereditariedade.
  • Dados biométricos: Características físicas ou comportamentais únicas que podem ser usadas para identificar uma pessoa, como impressões digitais, reconhecimento facial ou de voz.
  • Dados de saúde: Informações sobre a saúde física ou mental de uma pessoa, histórico médico, tratamentos, exames médicos, entre outros.
  • Dados relacionados a crianças e adolescentes: Dados pessoais de crianças e adolescentes, especialmente quando se refere à sua relação com serviços online.

Os dados pessoais sensíveis são considerados mais delicados devido à sua natureza íntima e pessoal, e a LGPD impõe restrições mais rigorosas ao seu tratamento. As organizações que coletam, armazenam ou processam esses tipos de dados devem adotar medidas de segurança adicionais e obter o consentimento expresso dos titulares dos dados, a menos que haja uma exceção legal que permita o tratamento sem consentimento.

A proteção dos dados sensíveis é fundamental para garantir a privacidade e a dignidade das pessoas e para evitar discriminação, abuso ou outros tipos de violação de direitos relacionados a informações pessoais extremamente delicadas.

LGPD e a ISO 27001

 A ISO 27001, é uma norma de qualidade internacional para um SGSI – Sistema de Gerenciamento de Segurança da Informação. 

Esta norma é de extrema valia para alcanças os requisitos técnicos e operacionais necessários para reduzir o risco de uma violação de informações. 

 A norma especifica os requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente um SGIP – Sistema de Gerenciamento de Informações de Privacidade) com base nos requisitos, objetivos e controles, estendido por um conjunto de requisitos específicos da privacidade, objetivos e controle. 

 As organizações que implementaram a ISO 27001 poderão usar a norma para estender o seu SGSI para cobrir o gerenciamento de privacidade, incluindo o processamento de dados. 

 A implementação de ambos os padrões ajudará você a cumprir e demonstrar sua conformidade com os requisitos de privacidade e segurança da informação da LGPD. 

Conforme dito anteriormente a LGPD obriga as empresas a examinar as melhores práticas e recomendações existentes, como a ISO 27001, para minimizar o risco de violação de dados. 

Entendendo melhor a ISO 27001 e a LGPD

Como toda norma ISO, a 27001 também possui os seus requisitos a serem seguidos, e agora, vamos conhecer um pouco mais sobre eles. 

Um SGSI é a estrutura perfeita para gerenciar riscos para todos os ativos, incluindo dados pessoais, e pode fornecer a garantia de que a organização leva a sério a conformidade com os requisitos da ISO 27001 e a LGPD.  

Classificação da Informação conforme o resumo da LGPD

A classificação de dados é uma primeira etapa natural porque fornece a maneira ideal de ordenar e priorizar os dados com base em sua sensibilidade. 

 Um requisito fundamental para organizações que desejam obter a conformidade com os requisitos da ISO 27001 é a necessidade de desenvolver um inventário de ativos que o ajudará a entender quais informações você possui e quem é responsável por elas. 

A ISO 27001 não prescreve os níveis de classificação. Isso é algo que você deve desenvolver por conta própria, com base no que é comum em seu setor.  

Quanto maior e mais complexa for sua organização, mais níveis de confidencialidade haverá. No entanto, a ISO 27001 coloca a responsabilidade na organização. 

 Isso geralmente é feito com base nos resultados da avaliação de risco: quanto maior o valor da informação (quanto maior a consequência da violação da confidencialidade), maior será o nível de classificação. 

Segurança da Informação

A ISO 27001 recomenda a implementação de uma política de proteção de dados especificando requisitos para proteção de dados apoiados por procedimentos de retenção e destruição de dados.  

Enquanto isso, a LGPD fornece recomendações específicas para quais ações devem ser consideradas para a proteção e privacidade de dados pessoais, incluindo: 

Pseudonimização e criptografia de dados pessoais. 

A capacidade de garantir a continuidade da confidencialidade, integridade, disponibilidade dos sistemas e serviços de processamento de dados 

A capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de uma ocorrência física ou incidente técnico. 

Um processo para testar regularmente, avaliar a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados pessoais. 

Vários requisitos da ISO 27001 podem ser usados para dar suporte à conformidade com a LGPD no que diz respeito à proteção de dados pessoais. 

Por exemplo, vejamos os requisitos referentes à criptografia. O uso de criptografia ou pseudonimização pode manter a confidencialidade das informações pessoais, seja na rede, em trânsito ou em dispositivos móveis. 

Incidentes de Segurança

A LGPD exige que as organizações notifiquem sobre uma violação de dados pessoais sem atrasos indevidos e no máximo 72 horas após terem tomado conhecimento de uma violação de dados pessoais.  

A implementação do controle Gerenciamento de Incidentes da ISO 27001 garantirá uma abordagem consistente e eficaz, incluindo comunicação sobre eventos de segurança.  

O gerenciamento de incidentes é um dos processos-chave para garantir a eficácia de qualquer operação comercial.  

O gerenciamento de incidentes é parte integrante das políticas e procedimentos de segurança de uma organização relacionados a backup, continuidade de negócios, recuperação de desastres, gerenciamento de risco e gerenciamento de configuração.  

Para atingir esse estado de maturidade, os seguintes processos de gerenciamento de incidentes de segurança devem ser incluídos no plano de respostas a incidentes: 

  • Funções e responsabilidades definidas para a equipe de resposta a incidentes. 
  • Matriz RACI que identifica a pessoa que é responsável, autoridade, consultada ou informada pelas atividades definidas antes e depois de um incidente.  
  • Programa de treinamento para todas as atividades definidas na prática de gerenciamento de incidentes de segurança. 
  • Checklists e modelos para manutenção operacional. 
  • Procedimentos de coleta de evidências como parte do gerenciamento de incidente de segurança. 
  • Aprender com o incidente e atualizar a base de conhecimento de vulnerabilidade e risco. 
  • Métricas e relatórios relevantes para a gestão. 

A adesão aos requisitos da ISO 27001 garantirá que as organizações estejam em uma posição para detectar rapidamente e gerenciar com eficácia uma violação de dados pessoais. 

Avaliação de Risco 

Um dos requisitos da LGPD é a implementação de avaliações de impacto de proteção de dados, onde as empresas terão que primeiro analisar os riscos à sua privacidade. 

A adoção do Privacy by Design, outro requisito da LGPD, torna-se obrigatória no desenvolvimento de produtos e sistemas.  

A ISO 27001 ajuda a garantir que a segurança da informação é uma parte integrante dos sistemas de informação em todo o ciclo de vida. 

Quando uma nova tecnologia está sendo implantada e pode afetar os direitos e privacidade dos indivíduos, uma avaliação do impacto da privacidade se torna necessária. 

A avaliação também deve conter uma descrição das medidas previstas para lidar com os riscos. 

 A avaliação dos riscos é a etapa mais importante no início de um projeto de implementação dos requisitos da ISO 27001, ela define as bases para a segurança da informação em sua empresa. 

Treinamento

Quando se fala de ISO, não tem como não levar em consideração desenvolver cultura e consciência de segurança da informação para todos os colaboradores 

A segurança da informação não se trata apenas de tecnologia, mas também de pessoas. 

Gestão de Fornecedores

A LGPD exige que os controladores só façam negócios com operadores que comprovem a conformidade com a gestão da privacidade de dados pessoais.  

Esta é uma abordagem semelhante usada na ISO 27001 para gerenciar fornecedores e terceiros. Esses requisitos devem ser documentados e acordados entre controladores e processadores. 

segurança da informação

Como tratamos os dados na Docnix?

Atenta a todo esse cenário, a equipe do DocNix tem como premissa que a privacidade é indispensável e amplamente garantida ao cliente. Desde a elaboração da Proposta Técnica e/ou Comercial, até a execução do produto, da solução e/ou serviço prestado por nosso time de colaboradores buscamos garantir a conformidade com as boas práticas.

Ainda, por meio da cultura de educação continuada cultivada dentro de nossa empresa, promovemos ações educativas internas e de atualização de nossos colaboradores. Dispondo também de mecanismos internos de supervisão e mitigação de riscos ou incidentes. 

Os Dados Pessoais que porventura sejam tratados por nossa equipe, são coletados estritamente para possibilitar o escopo; execução dos produtos, soluções e serviços oferecidos.  

As hipóteses autorizadoras para tal tratamento, inicialmente e em geral, também estão previstas nos incisos I, V e IX, do artigo 7º da LGPD. 

Além do exposto, tais dados são acessados, internamente, somente por profissionais devidamente autorizados, rastreados e cadastrados para tal. Respeitando-se os princípios da segurança, privacidade, propriedade, autodeterminação informacional, razoabilidade e necessidade para consecução dos objetivos do DocNix, que englobam o oferecimento e execução de serviços, produtos e soluções com grau de excelência a seus clientes. 

Por zelo profissional, ainda que não seja previsto ou esperado, todo e qualquer tratamento realizado através do software DocNix obedece à LGPD. O que é garantido não somente pelas políticas internas de segurança e privacidade das partes contraentes ou afetadas, mas também pela observância integral da legislação aplicável. 

Temos um video especial falando sobre os impactos da Lei Geral de Proteção de Dados (LGPD) na Qualidade e para assistir clique aqui! 

Num mundo digital e em constante evolução, a LGPD surgiu como a base legal crucial para preservar a crescente importância da privacidade.

Nós estamos atentos a ele. Gostou do texto quer conhecer mais e como o Docnix pode te ajudar com seus processos? Fale com a gente!

Luana Mendonça

Graduada em relações internacionais e com experiência internacional de trabalho com equipes multiculturais, realizo atividades de redação, comunicação, endomarketing e ESG.

Ver mais conteúdos de Luana Mendonça

posts relacionados