Marco para a cibersegurança brasileira, a lei posiciona o Brasil entre os, aproximadamente, 120 países que têm leis específicas para proteção de dados e respeito aos cidadãos.

De forma resumida, a Lei Geral de Proteção de Dados Pessoais dispõe sobre princípios, direitos e deveres que deverão ser observados no tratamento de dados pessoais. Portanto, tem relevância para toda a população. Para as organizações, no que tange às regras e adaptações a serem cumpridas e para as pessoas, aos direitos a serem exigidos.

A nova lei foi publicada em 15 de agosto de 2018 e entrará em vigor em agosto de 2020. O intervalo de 24 meses é respectivo ao prazo de preparação e adequação das empresas e entidades afetadas pelas novas obrigatoriedades. Aliás, este prazo foi alterado pela medida provisória nº 869/18, criada em 27 de dezembro de 2018. Talvez você já tenha lido o prazo de 18 meses. Porém, atenção: este prazo era o anterior. Após a MP, a data de vigência foi alterada de fevereiro de 2020 para agosto de 2020.

Como a LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, a regulação impactará empresas e organizações que lidam com informações. Trazendo isso para a realidade, os pedidos de “informe seu CPF” ou “deixe seu nome e e-mail para fazer parte da nossa base de clientes” precisarão cumprir as regras da LGPD. Por estarmos na era da informação e dos dados, é presumível que inúmeras empresas precisem de adequação, dos grandes e-commerces aos micronegócios.

A nova lei de proteção de dados pessoais se destina a quem?

“Os pedidos de ‘informe seu CPF’ ou ‘deixe seu nome e e-mail para fazer parte da nossa base de clientes’ precisarão cumprir as regras da LGPD”

A definição da lei é de que ela deve ser cumprida por pessoa natural ou jurídica (pública e privada) que faça tratamento dos dados por meio de operações realizadas no Brasil e/ou para pessoa naturalizada no país. A partir deste entendimento, uma característica importante vem à tona. A LGPD vale também fora do Brasil, pois abrange organizações que tratam dados de cidadãos brasileiros. Este aspecto é igual ao GDPR, que é a nova lei de proteção de dados da União Europeia, em vigor desde maio de 2018.

Glossário da LGPD A compreensão dos tópicos logo mais à frente será facilitada se você já compreender os personagens e as definições básicas da lei.

• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

• Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

• Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

• Aspectos gerais da LGPD

• A lei nº 13.709/18 foi sancionada em 14 de agosto de 2018 pelo presidente Michel Temer. Conhecida como LGPD, é oriunda do PLC nº 4.060/12, que foi convertido no PLC nº 53/18. Além disso, altera a lei nº 12.965/16 (Marco Civil da Internet).

• A regulação da LGPD será realizada pela ANPD (Autoridade Nacional de Proteção de Dados), criada pela medida provisória nº 869/18. A entidade terá a missão de fiscalizar, regulamentar, implementar a lei e definir os critérios da proteção de dados.

• Segundo o texto da lei, dado pessoal é qualquer informação relacionada à pessoa natural identificada ou identificável.

• Também segundo a lei, tratamento de dados engloba toda operação realizada com o dado pessoal. Exemplos: coleta, classificação, utilização, reprodução, processamento, armazenamento, eliminação, entre outros.

• A LGPD define que os titulares têm direito a: confirmação da existência de tratamento dos dados; acesso e correção; anonimização; bloqueio e eliminação; portabilidade; revogação de consentimento; informação sobre os dados compartilhados; clareza sobre a finalidade; o poder de não consentimento e saber sobre as consequências disso; e revisão de decisões automatizadas.

• Os princípios fundamentais de tratamento são: finalidade, necessidade, transparência, prevenção, segurança, não discriminação, responsabilização e qualidade dos dados.

• Especificamente sobre o poder público, a lei define que o tratamento de dados pessoais poderá ser realizado “pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres”.

• As sanções administrativas de suspensão parcial ou total do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e de proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, previstas na lei, foram vetadas e excluídas pelo presidente Michel Temer.A Lei Geral de Proteção de Dados Pessoais do Brasil é informalmente chamada de “GDPR brasileira”. Isso aconteceu porque a lei nacional é bastante inspirada no regulamento europeu. Há ainda a questão temporal, visto que o GDPR entrou em vigor em maio de 2018, apressando os movimentos relacionados à LGPD. É usual associar as duas leis, pois há diversas similaridades. Aproveitando a menção ao GDPR, a leitura da posição do Google sobre o tema é recomendada como referência de valor. E mais, voltando aos pontos de contato das leis, um destaque é a ISO 27001, que padroniza sistemas de gestão da segurança da informação e merece ser estudada.Concluindo, se considerarmos o quão abrangente é o uso de informações na rotina das empresas, é irrefutável a relevância da nova lei de proteção de dados. Obviamente, a regulação demandará esforço de adequação até agosto de 2020.Vale destacar ainda que, neste quesito, o aprendizado europeu é bastante válido. As empresas europeias que retardaram a adoção de medidas de alinhamento ao GDPR, colocaram-se em uma posição de suscetibilidade às sanções e tiveram mais dificuldade de se ajustarem no prazo estabelecido. Portanto, apesar da falsa sensação de tempo pelo intervalo de meses até o vigor da LGPD, as organizações precisam agilizar seus processos de segurança da informação, principalmente aquelas em baixo estágio de maturação de cibersegurança e gestão da informação.