Como hoje (28) é comemorado o Dia Internacional da Proteção de Dados Pessoais, a equipe do WeLiveSecurity entrevistou o Chief Security Evangelist da ESET, Tony Anscombe, que explica vários pontos em relação à Lei Geral de Proteção de Dados do Brasil (LGPD). Ele destaca qual a abrangência e os impactos da nova lei, as principais diferenças com a GDPR, se já é possível fazer denúncias por não conformidade, e o que as empresas devem fazer para se adequar até agosto de 2021, quando as multas e sanções poderão ser efetivamente aplicadas.
Com um amplo conhecimento sobre as questões relacionadas à privacidade e às diferentes regulamentações que existem no mundo, Tony tem abordado repetidamente a questão da privacidade de dados pessoais e informações de usuários através de diferentes perspectivas, seja como fonte para dúvidas sobre a GDPR, por meio de artigos nos quais é viável pensar na possibilidade de uma lei de privacidade global ou se legislar sobre a segurança de dispositivos IoT é uma solução para responder aos desafios de segurança que esses dispositivos inteligentes representam. Por isso, desta vez, decidimos entrevistá-lo para entender um pouco mais sobre a LGPD.
A lei entrou em vigor em agosto de 2020, mas as multas e sanções só poderão ser efetivamente aplicadas a partir de agosto deste ano. Isso significa que as empresas responsáveis pelo uso indevido de dados pessoais antes de agosto de 2021 não poderão sofrer sanções?
Embora as sanções pelo descumprimento da LGPD não sejam impostas pela Autoridade Nacional de Proteção de Dados (ANPD) até agosto de 2021, em alguns casos, é possível apresentar uma ação judicial. O Ministério Público do Distrito Federal e territórios apresentou uma ação desse tipo em setembro de 2020 contra uma empresa de tecnologia pela suposta venda de dados pessoais de 500 mil brasileiros. A opção de apresentar uma ação civil pública abre a possibilidade de realizar um litígio tanto civil como coletivo.
Quais são as principais diferenças entre a LGPD e a GDPR?
Embora existam muitas semelhanças entre a LGPD e a GDPR, aqui estão algumas das principais diferenças:
- A LGPD não define os tipos de dados da mesma forma que a GDPR, isso significa que a regulamentação é muito mais ampla e pode ser aplicada a dados vinculados direta ou indiretamente a uma pessoa ou grupo.
- A GDPR permite que as empresas utilizem livremente dados anônimos sem divulgá-los, o que não é o caso da LGPD, já que não existe uma linguagem relativa aos tipos de dados, o que significa que independentemente do anonimato, o processo de coleta de dados deve ser transparente.
- A LGPD dá às empresas apenas 15 dias para responder às solicitações de dados dos consumidores, em comparação com 30 dias no caso da GDPR.
- As multas máximas que a LGPD pode impor são 2% da receita global ou R$ 50 milhões, o que equivale a aproximadamente 50% do valor da multa que a GDPR pode impor.
- A LGPD não tem um prazo definido no qual a empresa deve comunicar que foi vítima de um vazamento de dados, atualmente apenas estabelece um “prazo razoável”. No caso da GDPR, as empresas são obrigadas a comunicar casos de vazamentos de dados em até 72 horas.
Quem pode ser impactado pela LGPD? A nova lei atinge cidadãos e empresas de todo o mundo ou apenas no Brasil?
A LGPD atinge empresas de todos os portes, com algumas exceções, como jornalísticas, artísticas, acadêmicas, segurança pública e defesa nacional. A nova lei é válida independentemente de onde as empresas e organizações estão sediadas quando algumas das seguintes condições forem atendidas: quando os dados são coletados ou processados no Brasil ou são processados com a finalidade de oferecer bens ou serviços a indivíduos no Brasil. O uso da palavra “pessoa física” amplia o âmbito da regulamentação para além dos cidadãos e a torna aplicável a qualquer pessoa que se encontre no território nacional, independentemente de sua condição de cidadania.
Um site fora do território brasileiro acessado por uma pessoa no Brasil deve cumprir com a LGPD?
Se o site coleta dados pessoais de pessoas localizadas no Brasil com o objetivo de fornecer bens ou serviços, essa empresa ou serviço também deve estar em conformidade com a LGPD.
A lei afeta empresas estrangeiras localizadas no Brasil ou no exterior que tratam dados de pessoas do Brasil?
Sim, qualquer empresa que processe dados de um indivíduo que esteja no Brasil terá que cumprir os requisitos da LGPD. Podemos nos perguntar como será a fiscalização nesses casos, principalmente se a empresa não tiver nenhuma sede no Brasil, mas é um risco que não vale a pena correr.
Se uma pessoa fora do Brasil interage com o site de uma empresa ou serviço oferecido no Brasil, a lei também pode ser aplicada nesse caso?
A LGPD se aplica a qualquer pessoa que esteja no Brasil cujos dados tenham sido coletados ou processados, independentemente de onde esteja localizada a empresa que os coleta.
Você acha que as empresas estarão devidamente adequadas as normas estabelecidas pela LGPD em agosto de 2021?
Considerando que existe a possibilidade de que seja aberta uma ação civil imediata contra qualquer empresa que supostamente viole a LGPD, o ideal é que as empresas passem a estar em conformidade com a lei o mais rápido possível. Já faz um tempo que todos sabemos que a legislação se tornaria lei, então não há desculpas para descumpri-la. É necessário pelo menos contar com um plano de ações em curso para realizar o processo de adequação.
Quais são os principais pontos que as empresas devem abordar na implantação de processos para o cumprimento da LGPD até agosto de 2021?
Em primeiro lugar, se uma empresa não souber o que precisa ser adequado ou se deve cumprir em relação à LGPD, é necessário procurar uma assessoria jurídica. As empresas que devem cumprir com a lei precisam seguir os seguintes processos:
1. Avaliação
- Compreender as políticas e procedimentos atuais de coleta, armazenamento e venda/compartilhamento de dados pessoais.
2. Análise de deficiências
- Revisar os requisitos da LGPD e compará-los com os resultados da avaliação.
- Criar uma avaliação detalhada entre o estado atual e onde o negócio precisa estar para cumprir com a nova lei.
3. Caminho para estar em conformidade
- Traçar um caminho claro com as etapas que devem ser seguidas para atingir a conformidade com base na análise de deficiências.
- Priorizar as ações e tarefas necessárias com base no risco e no nível de esforço exigido.
4. Implementação
- Desenvolver atualizações e mecanismos para estar em conformidade com a LGPD, como políticas de privacidade, aceitação e opt-out, atualizações do site, etc.
- Atualizar as políticas de diligência em referência a fornecedores terceirizados para garantir a conformidade.
- Treinar a equipe sobre legislação e requisitos de conformidade.
Quais são os principais desafios das pequenas e médias empresas?
A necessidade de cumprir com a LGPD independe do porte da empresa. No caso de uma pequena ou média empresa que enfrente a necessidade de adequação de processos, é provável que seja necessário garantir que a empresa se adapte aos requisitos e que tenha os recursos para realizar as tarefas necessárias para avaliar a necessidade de cumprir o que a LGPD estabelece, ou seja, criar políticas e aplicar processos para estar em conformidade com a lei. Muitas pequenas empresas provavelmente não possuem os processos e políticas necessários, enquanto as grandes empresas contam com equipes que já gerenciam esses processos. A falta de recursos qualificados provavelmente será um problema em todas as empresas no Brasil.
Qual a principal dica para empresas que estão em processo de adequação?
- Designar um responsável pelo cumprimento da LGPD e pela proteção de dados. Essa pessoa precisa saber onde os dados estão, por que foram coletados e certificar-se de excluir os dados que não são mais necessários. Deve capacitar a empresa quanto à necessidade de cumprir com a lei, controlar o acesso a dados, auditar e documentar avaliações de risco e, o mais importante, deve manter um registro. E, além disso, esse profissional deve ser a interface com os consumidores que possam fazer perguntas ou enviar solicitações.
- Documentar as políticas de segurança e obter controles adequados para aplicá-las e para realizar a manutenção contínua.
- Implementar controles de acesso, incluindo autenticação de dois fatores e criptografia de dados armazenados e em trânsito.
- Certifique-se de realizar a criptografia completa do disco em dispositivos de endpoint que tenham acesso aos dados do cliente e que todos os sistemas tenham um software de proteção de endpoint ou servidor.
- Certifique-se de que os sistemas de backup e recuperação estejam funcionando para atender às solicitações dos clientes, independentemente dos problemas operacionais que possam afetá-lo.
Como a lei vai impactar os usuários a partir de agosto? É possível realizar denúncias antes dessa data?
A lei não consiste apenas em apresentar uma denúncia quando algo é considerado incorreto. Os consumidores têm direitos sob a legislação da LGPD que podem ser exercidos a qualquer momento, incluindo:
- Confirmação de quais dados pessoais estão sendo processados
- Acesso aos dados
- Corrigir os dados incompletos, imprecisos ou desatualizados
- Solicitar a eliminação, bloqueio ou anonimato dos dados coletados desnecessariamente, excessivamente ou em desacordo com o disposto no regulamento
- Solicitar a exclusão de dados pessoais, com exceção de dados retidos por razões regulatórias ou legais
- A portabilidade dos dados para outro provedor de serviços ou produtos
- Solicitar informações sobre as entidades com as quais os dados foram compartilhados
- Informações sobre as consequências de negar consentimento
- A opção de retirar o consentimento
Caso o consumidor tenha motivos realizar alguma denúncia, antes de agosto de 2021, pelo descumprimento da LGPD, ele poderá entrar com uma ação civil contra a empresa. Isso pode ser complicado para muitos indivíduos, mas as organizações de defesa da privacidade tendem a defender a causa dos indivíduos e iniciar processos em seu nome.
Quais mecanismos o usuário terá para denunciar o não cumprimento da lei?
Qualquer denúncia do usuário deve ser sempre direcionada primeiro à empresa em questão. Somente quando uma resposta insatisfatória for estabelecida, ou nenhuma resposta tiver sido recebida, deve-se buscar ação adicional, seja por meio de ação civil ou regulatória.
A Autoridade Nacional de Proteção de Dados (ANPD) foi criado por decreto em agosto de 2020 e, como qualquer nova organização, demorará um tempo para que se torne efetiva. A ANPD contará com 36 funcionários, incluindo seus diretores. Uma das áreas será a Ouvidoria, que ficará responsável por receber denúncias, dúvidas e sugestões do público em geral. O processo para registrar uma denúncia deve ficar mais claro à medida que o novo órgão regulador for estabelecido.
O fato da ANPT não estar efetivamente funcionando pode criar alguma insegurança jurídica?
Um regulamento sem órgão de fiscalização causa insegurança jurídica, o que significa que não existe órgão que dê clareza sobre os detalhes reais do regulamento e a interpretação das normas. No entanto, uma vez que processos civis podem ser movidos contra empresas, os tribunais provavelmente estabelecerão precedentes que proporcionem um pouco mais de clareza. No entanto, isso pode criar um problema em que os juízes se sintam com poderes para fazer a fiscalização, tirando o prestígio e a autoridade do órgão regulador.
A partir de agosto de 2021, as penalidades por descumprimento da LGPD passarão a valer. Esperamos que este artigo tenha sido útil para esclarecer alguns pontos em relação à LGPD e que até essa data as empresas possam cumprir o que a lei estabelece e que os usuários saibam mais sobre os seus direitos.