Sim, sua empresa vai ter de passar pela LGPD, mas não é tão ruim quanto parece

Em 14 de agosto de 2018, o Presidente da República, Michel Temer, sancionou a Lei Geral de Proteção de Dados (LGPD). Lei 13.709:http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Em 8 de julho de 2019, o Presidente da República, Jair Messias Bolsonaro, alterou a Lei anterior para dispor sobre a proteção de dados pessoais para criar a Autoridade Nacional de Proteção de Dados; além de dar outras providencias. Lei 13.853:http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1

Olhando com outros olhos:

Os benefícios da LGPD vão além de simplesmente garantir maior confiabilidade e respeitar a privacidade, ou criar proteção contra vazamentos de dados. Vantagens e benefícios econômicos surgem com a nova Lei, é uma oportunidade de nivelar a competitividade das empresas brasileiras no mercado internacional.

A publicação da lei coloca o Brasil em uma lista de mais de 100 países que atualmente podem ser considerados adequados para proteger a privacidade e o uso de dados. A LGPD no Brasil tem relacionamento com a GDPR (General Data Protection Regulation) na Europa, e esta, por sua vez tem validade para empresas brasileiras quando existir oferta de bens e/ou serviços para indivíduos localizados na União Europeia assim como quando existir monitoramento de comportamento de titulares de dados na União Europeia.

Se a real possibilidade de proibição pela União Europeia de que empresas brasileiras tratem dados europeus não baste, a não adequação à LGPD implica em advertência e multa. Para algumas empresas isso pode ser insignificativo, mas imagine a publicação e repercussão na mídia com uma notícia sobre sua empresa estar infringindo esta Lei. Com certeza haverá prejuízos para sua imagem e marca, e estes podem ser significantes.

Ainda não está satisfeito?

Quer um exemplo prático do que acontecerá no Brasil? Tome como exemplo a notícia publicada em 12/07/2019 na revista Istoé Dinheiro. O Information Commissioner’s Office (ICO), agência que trata da proteção de dados e informações no Reino Unido, aplicou uma multa recorde no país, de 183 milhões de libras (cerca de US$ 230 milhões), contra a British Airways, por violação de dados de 500 mil passageiros, em 2018. Link: https://www.istoedinheiro.com.br/por-violacao-de-dados-british-airways-e-multada-em-us-230-milhoes/

Em ritmo acelerado:

Ou atrasado. É muito provável que os escândalos de vazamento de dados do Facebook, além de outras redes e empresas, tenham levado diversos países a acelerarem leis de proteção de informações pessoais. Depois que a União Europeia publicou seu Regulamento Geral de Proteção de Dados – GDPR – o Senado Federal aqui no Brasil aprovou o Projeto de Lei da Câmera, nº 53, de 2018, consolidando assim como a Lei Geral de proteção de Dados – LGPD. Link: https://www25.senado.leg.br/web/atividade/materias/-/materia/133486

Disposição:

A Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Alguns modelos de negócios devem passar por adaptações, mas não deixarão de existir. Entenda que isso não é responsabilidade da TI, nem do Jurídico, mas sim responsabilidade de todos, inclusive da diretoria e conselho administrativo. A transparência pode se tornar uma vantagem competitiva.

Fundamentos:

Em resumo, a Lei fundamenta-se no respeito à privacidade, a inviolabilidade da intimidade, da honra e da imagem; e a defesa do consumidor. No inciso V do Artigo 2º a Lei inclui o desenvolvimento econômico e tecnológico e a inovação.

O desenvolvimento econômico e tecnológico e a inovação é algo presente em empresas com visão de futuro focada no crescimento. De fato em muitos ambientes a tecnologia é a espinha dorsal para o acesso e interação direta de clientes, fornecedores, parceiros de negócios e colaboradores. Não é possível pensar em proporcionar uma experiência positiva sem pensar no ambiente e sua infraestrutura tecnológica.

Um adendo: o profissional que não pensa fora da caixa está fora do mercado, esta é a realidade. Pensar fora da caixa faz a diferença em um projeto muito bem elaborado e de sucesso e mantém o profissional empregado e competitivo. Isso é indiscutível. Um bom profissional custa caro e para minimizar os impostos pagos, e diminuir o vínculo empregatício, muitas empresas contratam os colaboradores na modalidade de Pessoa Jurídica (PJ). Na área de TI isso é comum. Alguns são contratados em projetos específicos através de uma cooperativa a qual deve se filiar, outros em contratação direta mediante contrato de trabalho que repassa autonomia para o desempenho das funções no cargo que ocupa.

Aqui vai uma dica a estes profissionais: verifique seu contrato de trabalho pois você como um colaborador na modalidade PJ tem responsabilidades e poderá ser elegível em algum aspecto da Lei.

Aplicabilidade:

Aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que os tratamentos dos dados sejam realizados no Brasil, a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços, assim como quando os dados tenham sido coletados no Brasil, a pessoa ou empresa esteja prestando serviço no Brasil e os dados tenham sido processados no Brasil.

Alguma empresa foge disso? Dificilmente!

Quando não se aplica:

Em resumo, para fins exclusivamente particulares e não econômicos, para fins exclusivamente jornalístico, artísticos e acadêmicos; ou ainda para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais.

Considerações:

Dados pessoais: informação relacionada a pessoa natural identificada ou identificável.

Dados pessoais sensíveis: são dados relacionados à personalidade e escolhas pessoais, como religião, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dados anonimizados: são relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis no momento do tratamento.

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

E o que é tratamento de dados pessoais?

A lista é extensa. Considera-se toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Leia novamente a lista acima. Tem algum item que sua empresa não se enquadre? É provável que não.

Por que é tão difícil e complexo?

A segurança da informação é um quesito que tem grande peso e correlação com a nova Lei. Um termo conhecido aos profissionais de TI é “defesa em profundidade”, que na realidade é um termo emprestado dos militares, que se refere a táticas empregadas para criar camadas de defesas para impedir o progresso de um atacante, forçando-o a esgotar seus recursos disponíveis, em outras palavras, é destinado a identificar, mitigar e erradicar ataques.

Não basta mais estar seguro, sua empresa precisa mostrar que está segura. Por mais forte que um mecanismo de segurança possa parecer, não se deve depender apenas dele, do contrário, um único mecanismo de segurança com problemas pode comprometer a segurança como um todo.

Além disso, nas organizações é comum ter dados estruturados e não estruturados, com perfis ou hierarquias distintas de acesso aos dados, e registros contínuos de eventos para fins de auditoria. O backup e o armazenamento são tão comuns que as vezes nem se pensa em criptografa-lo. Lembre-se de que quando solicitada a remoção dos dados, ela deve ser permanente, inclusive dos backups.

É demorada e morosa a análise de todas as atividades de tratamento de dados. Identificar os tipos de coleta ou a forma de obtenção de consentimento envolverá várias pessoas e setores. Várias medidas de segurança poderão ser envolvidas a fim de se ter um diagnóstico de governança e segurança de dados. É enorme o trabalho de adequar os procedimentos internos e criar um compliance para assegurar a obtenção e conformidade das autorizações necessárias ao tratamento dos dados observando todas as obrigações legais.

E por fim, os parceiros de negócios são envolvidos no cumprimento dos procedimentos que asseguram a ampla informação dos titulares e aí poderá entrar a revisão e criação de documentos, políticas e processos. Isso demora.

O tratamento dos dados deve observar:

Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; ou seja, os mesmos que foram informados ao titular no momento da obtenção do consentimento.

Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; ou seja, deve-se processar somete os dados que são necessários para atender a finalidade.

Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios, ilícitos e abusivos.

Observe no artigo 7º da Lei, que o direito dos titulares é algo excelente para quem é titular, e algo complexo para quem detém e trata os dados. O consentimento do titular é pré-requisito em muitas ocasiões, além de que que, no Artigo 8º está explícito que deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

Dentre outros direitos dos titulares, temos o direito de obter do controlador a confirmação da existência de tratamento; o acesso aos dados; a correção de dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou eliminação de dados desnecessários; a portabilidade dos dados a outro fornecedor de serviço ou produto; a eliminação dos dados; e a revogação do consentimento.

Dicas valiosas:

É notado que muitas empresas já começaram a adequação, estão antecipando a dor de cabeça. Não sou especialista no assunto, entretanto, após participação em alguns eventos sobre a Lei Geral de Proteção de Dados, pude constatar alguns pontos valiosos que agregam valor diante da complexidade do assunto.

Primeiro, lembre-se como sua empresa lida com dados pessoais. Coleta ou trata dados pessoais no exercício de suas atividades? Coleta ou trata dados de seus empregados ou colaboradores? Recebe, produz, classifica, armazena, acessa, transmite, processa, armazena ou modifica dados pessoais? Possui meios ou medidas para proteger os dados?

Comece logo.

Crie um comitê ou grupo de trabalho para conduzir o tema. É fundamental o apoio do Jurídico, diretoria e TI, e se houver necessidade, uma assessoria externa. Mantenha os envolvidos regularmente informados sobre as atividades e evoluções dos processos. A adequação da lei necessita o engajamento multidisciplinar. Entenda que é pouco provável dar estes passos sozinhos com recursos internos.

Crie um mapa de dados e tenha o controle do inventário de ativos como softwares e aplicativos. Faça entregas pequenas e frequentes, assim perceberá a evolução do assunto e envolvimento das pessoas. Não esqueça do mundo off-line pois informações armazenadas ou tratadas de forma off-line também são regidas por Lei.

Segmentar o passado, o legado, do presente e futuro pode facilitar. Revise contratos com fornecedores, parceiros e outras partes.

O perímetro de segurança não está na empresa, mas sim nas pessoas. É necessário conscientização e treinamento. Segmentar redes, ter recursos de autenticação, política de compliance e um gerenciamento de segurança é fundamental.

É provável que tenha investimentos financeiros. A ampla ocorrência de vazamento de dados resultou na valorização de empresas que lidam adequadamente com dados. A segurança não pode ser vista apenas como despesas, mas como o meio de propulsão para alavancar negócios e fidelizar de clientes, além de evitar danos à imagem da marca.

Valor X Complexidade:

Podemos aproveitar a nova Lei para colocar a casa em ordem e tirar proveito das políticas, normas, processos e compliance para não ficar apenas na análise descritiva. Então quando ocorrer um fato, a pergunta “o que aconteceu?” não será mais necessária. Estejamos preparados para responder a pergunta “o que vai acontecer?” e não simplesmente “o que aconteceu?”. E vamos mais além, no prescritivo, então estejamos preparados para responder “o que fazer quando acontecer?”.

Outros benefícios:

Outro lado positivo é que podemos ter uma análise de dados combinada aos negócios, onde Big Data, Analytics e Machine Learning contribuem para a antecipação de tendências e análises comportamentais com maior precisão.

O desenvolvimento de novos negócios e produtos é na prática a inovação, e traz consigo maior assertividade e personalização na oferta de novos produtos e serviços ao público. Com isso há uma ampliação dos consumidores alvos. Pense no marketing direcionado para cada grupo de consumidor em potencial.

A proteção de dados tem sua importância atrelada diretamente aos negócios, pode favorecer a inovação, fomentar novas práticas e tecnologias em diversos setores.

É uma boa oportunidade de nos adequarmos.

Fonte: It Fórum 365

Privacy by Design: Uma resposta inteligente para a alucinante jornada de proteção de dados pessoais e adequando à LGPD

Mesmo as leis bem ordenadas são impotentes diante dos costumes“ — Nicolau Maquiavel 1469 – 1527.

As montadoras hoje não entregam um carro sem sistema de freios, espelhos retrovisores, ABS, airbags frontais, materiais internos não inflamáveis, dentre outros. Muitos destes não eram itens de série nos veículos há 40 anos ou não tinham seu uso aplicado em massa. Dentro do contexto da época, muitos destes itens eram considerados dispensáveis, na perspectiva do fabricante e dos proprietários. As estatísticas do trânsito demostram hoje o quão importante são.

economia de dados e toda a revolução que ela provocou nos últimos 10 anos segue um caminho similar. E essa travessia vem enlouquecendo todo o mercado – de grandes players de tecnologia a startups –  pois escancara os gapsque existem hoje em seus produtos (ou em sua implementação), do ponto de vista de segurança da informação e privacidade de dados.

GDPR e LGPD são movimentos naturais que surgiram para direcionar e trazer o equilíbrio necessário entre inovação e proteção de dados. A necessidade destas leis é inquestionável. Porém, não há lei que traga sozinha resultados efetivos caso não haja disrupção na forma de como o desenvolvimento de produtos e soluções hoje tratam o tema de cybersecurity e privacidade de dados pessoais. Vale a provocação aqui de que uma plataforma ou um app, por mais cool and inspiring que seja, não sobrevive ileso a um vazamento de dados ou abuso na utilização destes. Privacidade pode não ser relevante no MVP de uma startup, porém, será essencial com a ampliação da base de clientes.

Privacy by Design é uma abordagem elaborada na década de 1990 por Ann Cavoukian, na época responsável pelo Gabinete de Informação e Privacidade do estado de Ontário/Canadá. A GDPR dedica o capítulo 25 inteiro ao tema de Privacy by Design. Curiosamente, este é um dos capítulos mais generosos da GDPR no sentido de prover direcionamento e recomendações ao mercado.

Menção feita pela autoridade de proteção de dados da Europa (ICO – Information Commissioner’s Office) sobre Privacy by Design: “Em essência, isso significa que você precisa integrar a proteção de dados em suas atividades de processamento e práticas de negócios, desde a concepção e por todo o ciclo de vida dos dados. Privacy by Design envolve considerar antecipadamente proteção de dados e privacidade em tudo que você faz. Contribuirá para a conformidade com os princípios e requisitos fundamentais do GDPR e demonstra comprometimento efetivo com o tema.”

Independentemente do método que a sua tribo utilize – agilescrum, kanban, squads, cascade, extreme go horse (!!) – o desenvolvimento de um produto ou serviço deve cuidar de questões relevantes no contexto de privacidade. Exemplos:

  1. Natureza dos dados que serão coletados ou tratados (cadastrais, transacionais, sensíveis, dados de navegação e rastreamento);
  2. O consentimento do cliente para o uso dos seus dados;
  3. A transparência com o cliente sobre como os dados serão tratados e com quem serão compartilhados;
  4. Personalização de campanhas de marketing e ofertas de produtos –  cuidados na seleção de público utilizando critérios ou algoritmos enviesados;
  5. Controle de acesso aos dados;
  6. Tracking do uso das informações (logs para monitoramento);
  7. Proteção contra vazamento ou divulgação indevida.

Product ownersscrum mastersUX designers, gestores ou especialistas de negócio, arquitetos de dados, estatísticos, desenvolvedores, testadores, times de devops e equipes do ongoing – todos estes possuem papel específico na implementação de segurança e privacidade.

Privacy by Design baseia-se em 7 princípios:

  1. Preventivo não reativo – a concepção, desenho e implementação são conduzidas contemplando requisitos para evitar incidentes de privacidade dados;
  2. Privacidade como configuração padrão – o produto é entregue tendo suas configurações iniciais setadas com a adequada privacidade;
  3. Privacidade embutida no design da solução – privacidade incorporada a modelos de negócio e arquitetura de sistemas, aplicações e bancos de dados;
  4. Full Funcionallity (no zero sum) – abordagem win win – os requisitos de negócio igualmente balanceados com os requisitos de proteção dos dados;
  5. End-to-End Security – medidas de segurança e privacidade são aplicadas em todo o ciclo de vida dos dados – da coleta, armazenamento, tratamento, processamento, uso e descarte;
  6. Visibilidade e Transparência – cliente com visão clara de como o produto trata os seus dados pessoais. Uma política de privacidade de dados bem elaborada pode salvar uma empresa. Com isso, evitamos uma abordagem “Privacy Zuckering”, uma referência aos escândalos recentes de mau uso de dados;
  7. Respeito pelo cliente – abordagem user-centric. Aqui está a alma do conceito de proteção dos dados pessoais dos cidadãos. A avaliação da user experience definitivamente passa pelo conforto que o cliente tem de que o produto zela pelos seus dados.

Privacy by Design confere um tom concreto e prático à jornada de implementação de compliance com a GDPR e LGPD. Provém um enfrentamento efetivo a impactos em processos de negócio, arquitetura de sistemas, banco de dados, nas práticas internas de segurança da informação e na forma como a empresa se relaciona com os seus clientes e parceiros.

E assim o baile seguirá nos deleitando com a deliciosa e instigante dança entre inovação e privacidade de dados, em harmonia.

Fonte: Digitalks

Como a Lei Geral de Proteção de Dados impacta na experiência do seu cliente?

Após longos debates com a sociedade civil, que levaram quase nove anos, a Lei Geral de Proteção de Dados, mais conhecida pela sigla LGPD, foi promulgada em agosto de 2018, cuja eficácia plena se dará em agosto de 2020. Baseada em sua “irmã mais velha”, a europeia GDPR – General Data Protection Regulation – vai de encontro a uma tendência já apontada pelo Gartner em 2017, na sua pesquisa anual Iconoculture Values and Lifestyle.
Esta pesquisa já apontava, na época, o que a privacidade, representada por fatores como segurança e serenidade, passava a prevalecer sobre a conveniência como preocupação ou experiência desejada por consumidores em todo o mundo. Este resultado, de certa maneira, surpreende os especialistas, já que, durante a última década, a tendência sempre foi acumular informações sobre o cliente para surpreende-lo com ofertas e serviços personalizados. Com isso, imaginaram eles, fidelizariam e encantariam seus clientes.
Na esteira deste pensamento, tecnologias emergentes vieram para facilitar e tornar viável não só a coleta e armazenamento destas informações, mas, principalmente, seu uso efetivo para atrair e reter clientes. Enquanto isso, as fontes de informação passaram daquelas disponíveis somente nas bases de dados das próprias empresas para a infinidade e abrangência das informações que transitam nas redes sociais e blogs. Big datamachine learning e, finalmente, a inteligência artificial passam a ser a ordem do dia para utilizar ao máximo toda essa informação e melhorar a experiência do cliente.
Neste fim de década, as empresas enfrentam agora um desafio: o cliente passa a exigir a privacidade no tratamento de suas informações. Não aceitam mais a troca delas por conveniência. Querem a garantia de que será cuidada e protegida. Mais do que isso, querem saber o que fazem com ela. O direito à privacidade e à segurança de suas informações é um tema quente. Não tenham dúvidas disso.
Uma frase que li outro dia na internet, “se você dá sua confiança a alguém que não a merece, estará concedendo-lhe, na verdade, o poder de destruí-lo” talvez mostre porque a questão da privacidade se tornou tão importante. Se você fornece suas informações a empresas ou instituições que não são capazes de protegê-las em troca de conveniência, benefícios de uma oferta boa, ou um produto interessante, estará correndo o risco de ter sua vida virada de ponta a cabeça. Seja em um mau uso, vazamento de dados ou outro incidente causado pelo desleixo ou falta de preocupação com o assunto. É isso que a pesquisa do Gartner parece ter concluído.
Assim, minha recomendação às empresas é que entendam a lei, não como um estorvo ou motivo para tirar dinheiro, mas como uma oportunidade de criar condições para proteger as informações de seus clientes, ganhar sua confiança e usufruir de todo o poder que ela trará em termos dos benefícios do seu uso consistente.
Ao confiar que seu potencial fornecedor protege suas informações, potenciais consumidores e clientes entregarão um poder a sua empresa para lhe vender cada vez mais. E este poder, acreditem, será um diferencial importante daqui para a frente. Entender o uso da LGPD como uma ferramenta para melhorar a experiência do seu cliente nestes aspectos pode ser uma boa ideia. Vale uma reflexão.
Fonte: Digitalks

Segurança da informação e a reviravolta da LGPD

Nos últimos meses os termos GDPR e LGPD ficaram sob os holofotes. Isto porque são regulamentações que impactam negócios e consumidores. Ou seja, a sociedade como um todo está sob suas diretrizes.

O GDPR, lei de proteção de dados da União Europeia, entrou em vigor em maio de 2018 e serviu de base para inúmeras outras regulações em todo o mundo. Inclusive para a Lei Geral de Proteção de Dados (LGDP) brasileira, a qual adiciona características locais.

Aprovada em agosto do último ano, a LGDP é um avanço. Entretanto, ao se tratar de Brasil e segurança da informação, deve-se ter em mente que apenas a adoção de soluções de ponta não garante a adequação à lei, bem como a proteção das ameaças.

Sendo assim, com a Lei Geral de Proteção de Dados brasileira, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança e implementar sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais, já que a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante das penas, que podem chegar a 50 milhões de reais.

De acordo com o advogado Renato Opice Blum, considerado uma das sumidades em Direito Digital, Proteção de Dados e Educação Digital no Brasil, “o consentimento do uso de dados deve ocorrer de forma livre, informada e inequívoca do indivíduo, expressando sua concordância com o tratamento de suas informações pessoais para uma finalidade determinada”.

“Tudo que for mais adequado para se proteger do ponto de vista técnico e contratual será levado em conta em uma situação de vazamento de dados”, elucida Opice Blum. Isto significa que mesmo fazendo tudo que estava ao seu alcance, houve o vazamento.

Já a utilização do processo de anonimização, técnica que afasta a possibilidade de associação ao indivíduo sem possibilidade de reversão, é uma alternativa prevista na LGPD. Esta pode ser utilizada para dispensar o consentimento do titular dos dados pessoais objeto de tratamento – neste caso, o indivíduo não tem um rosto, o que torna mais fácil proteger sua identidade.

Profissionais e Autoridade Nacional de Proteção de Dados

Dentro dessa nova realidade, caberá as empresas também nomear seu Encarregado de Proteção de Dados (DPO – Data Protection Officer), que terá como principal atividade o monitoramento e disseminação das boas práticas em relação à proteção de dados pessoais perante funcionários e contratados no âmbito da empresa, assim como será a interface com a Autoridade Nacional de Proteção de Dados (ANPD), criada em dezembro/2018.

A ANPD é constituída como órgão da administração pública federal integrante da Presidência da República. Dentre suas principais atribuições, destacam-se o estabelecimento de padrões técnicos, a avaliação de cláusulas e jurisdições estrangeiras no que tange a proteção de dados, a determinação para a elaboração de Relatórios de Impacto, a fiscalização e aplicação de sanções, atividades de difusão e educação sobre a lei, e demais atribuições que visam a correta aplicação da lei e os princípios da proteção de dados pessoais como um todo.

Por ter sido anunciada quatro meses após a LGDP, houve adiamento da data de vigência da regulamentação. De um lado é positivo, pois as empresas terão um prazo maior para traçar e implementar um programa eficaz de segurança cibernética.

*Waldo Gomes é diretor de marketing e relacionamento da NetSafe Corp

 

Fonte: ComputerWorld