Nova Lei Geral e as mudanças na proteção de dados no Brasil

Após mais de oito anos de debates, com base no General Data Protection Regulation (GDPR), regulamento de proteção de dados da União Europeia, foi sancionada, em 14 de agosto de 2018, a Lei Geral de Proteção de Dados brasileira (LGPD – Lei 13.709/18).
O prazo atual para adequação se encerra em 16 de agosto de 2020, podendo mudar com a aprovação de Medida Provisória pelo Congresso. A lei tem multas previstas para seu descumprimento que variam de 2% do faturamento bruto da empresa até R$ 50 milhões (por infração).
O tempo até sua vigência possibilita às empresas desenvolverem bons projetos de avaliação de risco e implementação de um programa de privacidade e proteção de dados.
Dispensável comentar a crescente evolução da tecnologia e seu emprego nos diversos segmentos da economia e adoção pelos cidadãos de um número crescente dos dispositivos.
Com esse fenômeno cresce a vulnerabilidade.
O Brasil foi o quinto país mais afetado pelo vírus Ransomware WannaCry em 2016, segundo a Avast. De acordo com levantamento divulgado pela seguradora Beazley, o número de noticações de ataques de Ramsomware por seus clientes cresceu 105% nesse primeiro trimestre, comparativamente ao primeiro trimestre de 2018.
Na América Latina, conforme dados da Kaspersky, os ataques de Ransomware cresceram 30% entre 2016 e 2017. O Brasil é o país mais afetado, com 55% de todos os ataques ocorridos na região, com México (23%) e Colômbia (5%) nas posições seguintes.

Lei Geral e General Data

O GDPR entrou em vigor na União Europeia em 25.5.2018. Desde então foram aplicados mais de 56 milhões de euros em penalidades, incluindo 50 milhões de euros ao Google. Até o momento o número de reclamações ultrapassa os 95 mil, tendo sido iniciadas 225 investigações abrangendo 31 países, de acordo com a Business Insurance.
Esse conjunto de normas serviu como catalisador para a promulgação da lei brasileira, na medida em que a ausência de uma lei brasileira poderia trazer prejuízos ao país. Basta considerar que a ausência de legislação poderia até mesmo impedir a transferência de dados para o Brasil diante da inadequação do nosso ambiente regulatório.
Assim como a GDPR, a LGPD, mais do que uma mudança legislativa, se propõe a gerar uma grande mudança cultural na proteção de dados no Brasil (que já está consolidada da Europa), fazendo com que as pessoas tenham instrumentos mais claros para zelar pelas informações que lhe dizem respeito.
As leis são semelhantes em relação ao consentimento dos titulares dos dados pessoais, ônus da comprovação da obtenção do consentimento, direito de informação dos titulares, portabilidade de dados, responsabilidade dos agentes, indicação do encarregado pelo tratamento dos dados e previsão de parâmetros de segurança para o seu tratamento, guarda e manuseio.
A LGPD introduz dez princípios de proteção de dados, o que inclui a prestação de contas que a empresa está cumprindo a lei. Uma adequada identicação de vulnerabilidades e avaliação de impacto com relação a dados pessoais e privados deve ser realizada e bem documentada, inclusive como evidência do esforço da organização em cumprir a Lei.

Pontos importantes da lei brasileira
Todos os dados pessoais que a empresa tem sobre pessoas físicas e jurídicas precisam ter o consentimento delas para serem guardados e utilizados pela empresa. Os titulares dos dados têm direito ao acesso, informação, cancelamento, reticação, oposição e portabilidade de seus dados. A nova lei de dados também tem regras especicas para tratar os dados sensíveis, dados de crianças e adolescentes, e, ainda, transferência internacional de dados. Toda empresa que for responsável pelo tratamento de dados deverá nomear uma pessoa encarregada pela proteção de dados pessoais. As atividades de tratamento de dados devem ser registradas em relatório. A lei também trata da realização de avaliação de impacto ã proteção de dados (muito semelhante ao Data Protection Impact Assessment, o DPIA). Agora é hora das empresas se prepararem com um mapeamento de dados e uma avaliação de impacto do risco de seu processamento — prescrita pela LGPD, muito semelhante ao DPIA (Data Processing Impact Analysis) exigido pela GDPR.

Passos do plano de ação
1. Identicar requerimentos de compliance e avaliar o escopo de risco e tolerância. Existem diversas normativas internacionais que podem representar requerimento regulatório para a empresa brasileira. Na onda da GDPR, assim como o Brasil promulgou a LGPD, outros países e territórios têm avançado nessa direção. No Canadá a PIPEDA, nos EUA há algumas leis de proteção de dados, incluindo regulamentação similar a LGPD publicada na Califórnia com vigência em 2020 (CCPA), entre outras.

2. Assegurar e estabelecer politicas de responsabilização.

3. Adotar políticas de privacidade e gestão de dados.

4. Implementar processos de gestão de incidentes e quebra/invasão de privacidade.

5. Monitorar e avaliar riscos residuais e controles; 6. Desenvolver uma estratégia de gestão de mudança e comunicação com relação à privacidade e dados.

*Carlos Santiago, é diretor da VicenziSantiago Assessoria Empresarial especializada em gestão de riscos. Foi vicepresidente e principal executivo da Marsh Risk Consulting no Brasil.

MATÉRIA RETIRADA DO SITE http://riscosegurobrasil.com