O que é a LGPD ou Lei Geral de Proteção de Dados Pessoais?

A LGPD (Lei Geral de Proteção de Dados) é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de setembro de 2020. Ela dispõe sobre o tratamento de dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Proteção de dados pessoais

A LGPD prevê em seu conteúdo os princípios que devem ser respeitados quanto ao tema proteção de dados pessoais:

O respeito à privacidade;
A autodeterminação informativa;
A liberdade de expressão, de informação, de comunicação e de opinião;
A inviolabilidade da intimidade, da honra e da imagem;
O desenvolvimento econômico e tecnológico e a inovação;
A livre iniciativa, a livre concorrência e a defesa do consumidor; e
Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Incidente de segurança

Embora a LGPD não apresente expressamente o conceito de violação ou incidente, a Autoridade Nacional de Proteção de Dados descreve um um incidente de segurança com dados pessoais como “qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.”

É importante conhecer a definição de incidente, para que possamos compreender os eventos que envolvam dados pessoais e que estão presentes na legislação, por exemplo, o que dispõe o artigo 42 da LGPD: “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”

E também o artigo 46 da da LGPD que determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Qual o objetivo da LGPD?

A LGPD foi criada com o objetivo de proporcionar maior proteção aos dados pessoais e mais controle aos titulares de dados sobre suas informações pessoais. Para isso, a LGPD estabelece regras, princípios e diretrizes aplicáveis ao tratamento de dados, em meios físicos ou digitais, realizados por pessoas naturais, quando com fins econômicos, e por entes públicos ou privados.

Como a LGPD define dados pessoais?

O artigo 5º da LGPD traz as definições para duas categorias de dados, sendo dado pessoal e dado pessoal sensível.

Dado pessoal

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Podemos citar os seguintes dados que se enquadram como dado pessoal: nome, números de identificação (RG e CPF), email, telefone, data de nascimento, geolocalização e de configuração dos dispositivos (IP), entre outros que de alguma forma possam levar ao reconhecimento de uma pessoa.

Dado pessoal sensível

Quanto á dado pessoal sensível a lei define da seguinte forma: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Essa categoria de dados foi tratada pela legislação com um rigor maior, pois são dados que, por sua natureza, diz respeito às informações que merecem um cuidado maior, principalmente para proteção contra discriminações.

A quem a LGPD se aplica?

A LGPD se aplica a qualquer operação de tratamento de dados realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

A operação do tratamento dos dados for realizada no Brasil

A atividade do tratamento dos dados tenha por objetivo a oferta ou o fornecimento de serviços às pessoas localizadas no Brasil

Os dados pessoais foram coletados no Brasil

Definições muito importantes na LGPD

Existem algumas definições muito importantes na LGPD e que ajudam na compreensão do texto legal:

Controlador

É a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. Ao controlador competem as decisões sobre o tratamento de dados pessoais em seu poder.

Operador

É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, de acordo com as orientações recebidas.

Suboperador

Há uma terceira figura que a LGPD não traz em seu texto, mas a ANPD aborda em seu Guia Orientativo para agentes de tratamento de dados pessoais e do encarregado, qual seja o suboperador. É aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. A relação direta do suboperador é com o operador e não com o controlador. Em linhas gerais seria o exercício da função de operador em subordinação a outro operador.

Encarregado de dados

É o DPO (Data Protection Officer), a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Os 9 direitos da LGPD

Confirmação da existência de tratamento

Considerando que tratamento de dados é qualquer atividade relacionada a dados pessoais, como coleta, armazenamento, uso e classificação, a LGPD garante ao titular dos dados o direito de confirmar se uma empresa realiza o tratamento de seus dados pessoais. A LGPD ainda determina que a resposta quanto à existência dos dados deverá indicar a origem, os critérios usados e a finalidade do tratamento.

Acesso aos dados

Confirmada a existência de tratamento de dados pessoais pelo controlador, o titular poderá pedir acesso aos seus dados, que serão fornecidos através de uma cópia física ou digital.

Correção de dados incompletos, inexatos ou desatualizados

Confirmada a existência do tratamento dos seus dados, a LGPD assegura que o titular poderá corrigir ou remover eventuais dados seus que estejam incompletos, inexatos ou desatualizados.

Direito de Anonimização, bloqueio ou eliminação

O titular poderá solicitar a anonimização, bloqueio ou eliminação dos dados. A anonimização dos dados significa dizer que eles não mais poderão ser relacionados ao titular, assim, deixando de ser dados pessoais. O bloqueio se refere à suspensão temporária do tratamento para determinadas finalidades. E, por último, a eliminação se refere à exclusão de dados desnecessários, excessivos ou tratados em desconformidade com as finalidades previstas.

Portabilidade dos dados

Após regulamentação da ANPD ou havendo possibilidade técnica, o titular poderá solicitar que o controlador forneça os seus dados em formato estruturado para transferi-los a um terceiro, salvo aqueles que já tenham sido anonimizados e excluídos da nossa base de dados e não infrinjam direitos de propriedade intelectual e/ou industrial, nem sejam confidenciais nos termos dos contratos firmados.

Direito de Revogação do Consentimento

O titular poderá cancelar qualquer consentimento que tenha concordado para que o controlador utilize seus dados pessoais.

Direito à informação sobre o compartilhamento dos seus dados

O titular tem o direito de saber quais são os tipos de entidades públicas e privadas com as quais o controlador realiza o uso compartilhado dos seus dados.

Informação sobre a possibilidade de não consentir a um tratamento de dados

O titular tem o direito de receber informações claras e completas sobre a possibilidade e as consequências de não fornecer consentimento.

Oposição ao tratamento dos dados

A LGPD autoriza o tratamento dos dados mesmo sem o fornecimento do consentimento do titular. Nesses casos, o tratamento precisa ter motivos legítimos para tanto, como, por exemplo, quando for necessário para garantir a segurança de um site e recursos disponíveis. Contudo, caso o titular não concorde com alguma finalidade de tratamento dos seus dados, poderá informar sobre a sua oposição, solicitando a interrupção do tratamento direto para o controlador.

Checklist de Conformidade com a LGPD

A LGPD traz uma série de medidas de conformidade para que os agentes de tratamento possam implementar um processo de adequação. Podemos citar as seguintes medidas:

Mapeamento de dados

Apesar de não previsto expressamente na LGPD, o seu conteúdo é essencial para verificação da legalidade e sustentabilidade da operação, através da definição e atribuição das bases legais, bem como para a elaboração dos documentos exigidos pela Lei.

A atividade consiste na identificação (e documentação) do caminho percorrido por todo dado pessoal dentro de uma organização.

Finalizado o mapeamento de dados pessoais, as bases legais adequadas deverão ser devidamente indicadas em cada fluxo de tratamento, como dispõe o artigo 7º da legislação.

Elaboração de documentação exigida pela LGPD e as Bases Legais

A LGPD prevê que o controlador e o operador realizem o Registro das Atividade de Tratamento de Dados (Record Of Processing Activity - “ROPA”), especialmente no que tange aos fluxos de tratamento baseado na base legal do “Legítimo Interesse”.

Além disso, a lei também determina que a Autoridade Nacional de Proteção de Dados (“ANPD”) solicite ao controlador, a elaboração do Relatório de Impacto à Proteção dos Dados Pessoais (Data Protection Impact Assessment - “DPIA”), inclusive de dados sensíveis, referente a suas operações de tratamento de dados.

Assim, a elaboração dos documentos solicitados são essenciais em um processo de conformidade com a LGPD.

Adequação de contratos

De acordo com a LGPD, o controlador deve “adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados”.

Neste contexto, caberá ao controlador tomar todas as medidas necessárias para proteger os dados pessoais tratados, o que significa, até mesmo, estabelecer limites e mitigar os riscos em relação ao compartilhamento de informações com clientes, parceiros e fornecedores, por meio de contratos.

É recomendado o contínuo mapeamento, verificação e adequação de todas as relações contratuais, de acordo com as orientações já compartilhadas no decorrer do projeto.

Definição quanto aos prazos e critérios de guarda e exclusão de dados pessoais

Outro documento de conformidade é uma “Política de Retenção de Dados Pessoais” para que seja organizado o ciclo da vida de cada dado pessoal (ou conjunto de dados) e, assim, delimitado o prazo correto para descarte (ou, se o caso, a anonimização dos dados).

Adoção de medidas de segurança, técnicas e administrativas

O artigo 46 da LGPD determina que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Assim, é essencial a implantação de medidas de segurança como política de segurança da informação e de gestão de incidentes; medidas administrativas, como treinamentos de conscientização; e medidas técnicas, como controles de acesso.

Programa de Governança em Privacidade e Boas Práticas

O artigo 50 da LGPD determina que tanto o controlador quanto o operador formulem regras de boas práticas e de governança em privacidade de dados, no âmbito de suas atribuições no tratamento de dados pessoais. Tais regras deverão ser publicadas e atualizadas periodicamente, podendo ser reconhecidas e divulgadas pela ANPD.

Os desafios para a conformidade com a LGPD

A conformidade com a LGPD não é um processo fácil. Assim como o Brasil, muitos países estão desenvolvendo regulamentos de conformidade modelados após o GDPR. Por exemplo, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e a Lei de Implementação de Carta Digital proposta do Canadá.
Para estar aderente, as organizações precisam fazer o trabalho árduo de proteger os direitos de seus titulares de dados e realizar avaliações de impacto, relatar incidentes de segurança e garantir que tenham processos de auditoria em andamento.

A equipe de TI não poderá usar processos manuais ou até mesmo controles temporários para ajudar a atender aos requisitos, pois essa abordagem não é sustentável. Em vez disso, a tecnologia de proteção de dados robusta que é automatizada e simplificada atende melhor aos requisitos regulatórios rígidos para limitar o acesso a dados pessoais e proteger dados em repouso e em movimento.

Três áreas são de particular preocupação para as equipes de TI:

Segurança

Com incidentes de segurança que custam milhões, além dos custos associados com a reputação e relações públicas, é essencial garantir a segurança dos dados que se enquadram na LGPD. A melhor prática para as equipes de TI é investir em soluções de segurança, como classificação de dados, criptografia, transferência segura de arquivos e gerenciamento de identidade e acesso.

Gerenciamento de dados

Como a LGPD assegura aos titulares o direito de solicitar ao controlador que os dados sejam acessados, corrigidos, excluídos ou transferidos para outro controlador através de portabilidade, as equipes de TI são desafiadas a garantir soluções técnicas eficientes e transparentes para gerenciar essas requisições. Além disso, a TI precisa garantir que qualquer solução implementada seja auditável para atender aos requisitos legais.

A TI também deve garantir que o controlador ou operador tenha uma equipe e treinamento adequados para implementar medidas que possam mitigar os riscos de um incidente, além de prestar o suporte necessário após um incidente que envolva dados pessoais.

Automação

Determinar como armazenar e gerenciar com segurança as comprovações e status de consentimento dos titulares de dados em toda a organização é outra preocupação. O mapeamento de dados é um requisito da LGPD, determinando que as atividades de tratamento sejam registradas.

Inicialmente, muitas empresas faziam isso manualmente, mas como esses registros precisam de atualização constante, a automação ajuda a manter as informações atualizadas e permite que a TI se concentre em tarefas de nível crítico. As plataformas e ferramentas de colaboração, bem como a configuração de fluxos de trabalho e regras de negócios, podem ajudar a manter os registros atualizados com mais facilidade.

A automação do fluxo de trabalho também pode ser incorporada para garantir uma resposta rápida da TI aos titulares que desejam que seus dados sejam removidos ou apagados de vários sistemas internos e externos. Aplicar a automação também pode ajudar a acelerar a absorção de dados pessoais de terceiros que se enquadram na LGPD.

Atenda aos requisitos da LGPD com um conjunto de soluções de segurança

A conformidade com o LGPD requer uma abordagem em camadas de proteção e dados, que pode ser aplicada a partir de um conjunto de soluções de segurança perfeitamente integradas em toda a sua empresa, facilitando a execução das políticas estabelecidas.

O pacote de segurança da HelpSystems oferece uma variedade de soluções avançadas para ajudá-lo a cumprir suas obrigações com a LGPD.

Segurança de e-mail

Antes que os dados pessoais sejam trocados por e-mail, a solução Clearswift aplica o tratamento de segurança ideal com base no conteúdo de seus dados e nas políticas de privacidade da LGPD. Ela oferece limpeza/edição em tempo real, criptografia e bloqueio ou exclusão de dados confidenciais com base nas regras de negócios que você define para atender às normas regulatórias de proteção de dados.

Classificação de dados

As soluções de classificação de dados da Fortra ajudam a atender à LGPD, aplicando rótulos visuais e rotulagem aos metadados nos arquivos de dados e documentos para proteger e controlar seu uso. Ao adicionar a classificação, os usuários podem determinar melhor como um dado dado deve ser tratado, manipulado, armazenado e, eventualmente, excluído. A classificação adiciona a camada de proteção necessária, bem como a aplicação da conformidade de dados aprimoradas.

Avaliações de vulnerabilidade e proteção contra intrusões

Fornecer conformidade com a LGPD é mais fácil com as soluções de segurança fornecidas pela Powertech. As organizações podem identificar e quantificar automaticamente as vulnerabilidades de segurança do sistema, bem como proteger os sistema contra invasões. Além disso, a funcionalidade robusta de auditoria de usuários e funções do sistema ajuda a atender aos requisitos de auditoria exigida pela LGPD.

Transferência segura de arquivos gerenciados (MFT)

Soluções abrangentes de MFT podem ajudar a atender a vários princípios fundamentais da segyrança de dados, ou seja, transmitir informações pessoais com segurança por meio de criptografia, realizar verificações de integridade de transferências, protegendo a precisão e fornecendo trilhas de auditoria detalhadas e relatórios de todas as transferências. Os dados pessoais são protegidos em trânsito e em repouso com funções de acesso de usuário granular, adicionando segurança adicional aos dados.

Proteção de infraestrutura

O conjunto de proteção de infraestrutura da Fortra inclui ferramentas para gerenciamento de vulnerabilidades, serviços e software de teste de penetração, simulação de adversários e detecção de intrusão. Essas soluções protegem dados confidenciais e garantem a conformidade monitorando e avaliando sua infraestrutura para identificar e priorizar quaisquer riscos. Com recursos abrangentes de relatórios, essas soluções também podem demonstrar facilmente a conformidade aos auditores externos.

Data Loss Prevention

A LGPD afirma que os processadores devem garantir que os dados pessoais não sejam usados para qualquer outra finalidade fora dos serviços a que se destinam. O Data Loss Prevention do Digital Guardian ajuda na conformidade com a LGPD ao permitir que as organizações descubram, monitorem e controlem efetivamente dados pessoais transmitidos na rede, em uso em estações de trabalho ou em repouso em estações de trabalho, servidores de rede e armazenamento em nuvem. Os dados são adequadamente protegidos contra transmissão, disseminação, uso e armazenamento não autorizados, enquanto a funcionalidade de análise e relatório pode fornecer documentação importante para demonstrar a conformidade com a LGPD.

Conheça todas as nossas soluções de cibersegurança

GoAnywhere®

Titus®

Boldon James®

Agari®

Clearswift®

Secure Collaboration

Globalscape®

FileCatalyst®

Beyond Security®

Cobalt Strike®

Core Security®

Digital Defense®

PhishLabs®

Digital Guardian®

Seu aliado de cibersegurança

Fortra foi reconhecida pela Cybersecurity Excellence em várias categorias, incluindo Prevenção de Vazamento de Dados e Segurança de dados.

Soluções de cibersegurança

Winner of the Cybersecurity Excellence Awards 2022

Fortra ajuda você a garantir a conformidade com a LGPD

Na Fortra, temos mais de 30 anos de experiência ajudando organizações em todo o mundo a proteger seus dados. Nossas soluções de classe mundial e nossa equipe de especialistas podem ajudá-lo a cumprir a LGPD e outras normas regulamentórias. Solicite uma apresentação, sem compromisso, para descobrir como nossas soluções podem ajudar com a estratégia de segurança de sua empresa.

SOLICITE UMA APRESENTAÇÃO