o que mudou na redação final da lei?

Wiliam Faria é head de Privacidade de Dados e Data Proctetion Officer da GFT, aponta para alguns itens que devem ser observados na LGPD após caída dos vetos.

Compartilhar:

Sancionada há pouco menos de um ano, a Lei Geral de Proteção de Dados (LGPD) chegou a sua redação final em meados de julho, com muitas e importantes mudanças. Para ajudar a compreender, comento abaixo essas alterações:

 

Tratamento de dados relativos à saúde

 

Ocorreu uma flexibilização em relação à hipótese legal que autoriza o uso de dados para tutela da saúde. Desta forma, tanto os dados pessoais quanto os dados pessoais sensíveis poderão ser tratados por profissionais de saúde, autoridades sanitárias e responsáveis pelos serviços de saúde, o que representa um grande aumento nas possibilidades de uso de dados na área da saúde.

 

Outra mudança em relação a dados relativos na área é que fica vedado o compartilhamento de informações pessoais sensíveis referentes à saúde com o objetivo de obter vantagem econômica. Deve-se atentar, porém, às seguintes condições:

  1. Ocorrer no contexto da prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde;
  2. Não tiver como objetivo a prática pelas operadoras de planos privados de assistência à saúde, de seleção de riscos na contratação, assim como na contratação e exclusão de beneficiários;
  3. For em benefício dos interesses dos titulares dos dados, relativo a pelo menos uma das atividades: a portabilidade de dados quando solicitada pelo titular ou as transações financeiras e administrativas resultantes do uso e da prestação dos respectivos serviços.

 

 

Definições para o DPO (Encarregado de Proteção de Dados)

 

 

A versão final da LGPD apresenta um conflito entre a definição do artigo 5º, VIII e regra do artigo 41, que disciplina a função do Encarregado de Proteção de Dados (DPO), o relacionando apenas com os Controladores de dados.

 

 

Se olharmos o que pretendia o legislador antes do veto, chegaríamos ao entendimento de que a figura do Encarregado estivesse presente tanto no Controlador como no Operador. Desta forma, a nossa recomendação é para que as empresas operadoras nomeiem seus Encarregados de Proteção de Dados, até mesmo porque é raríssimo termos uma empresa que seja somente uma operadora de dados.

 

 

Outra mudança é que a lei não torna mais expressa a necessidade que o DPO (Encarregado) detenha o conhecimento jurídico-regulatório em proteção de dados. Este veto foi baseado em não ofender o direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial. Surgiu do medo de uma reserva de mercado por parte dos advogados. O certo é que um bom DPO, entre outras habilidades técnicas necessárias, deverá dominar não só a LGPD, mas também a sua regulamentação europeia, a GDPR, além de ter a técnica para peticionar a ANPD (Autoridade Nacional de Proteção de Dados Pessoais), respondendo as questões por ela levantadas.

 

 

No fundo, a empresa gastará mais tendo um profissional puramente técnico sem o conhecimento jurídico-regulatório como DPO, logo que necessariamente terá que contratar um Escritório de Advocacia especializado para suportar as demandas junto à ANPD e ao judiciário. Ou seja, em suma, será um tiro no pé das empresas desconsiderar o conhecimento jurídico para a contratação de um DPO.

 

 

Revisão das decisões automatizadas

 

 

Havia a previsão de que o titular de dados teria o direito de solicitar revisões das decisões tomadas de forma automatizada, processo esse que seria feito, nesse segundo momento, por um agente humano.

 

Ocorreu, porém, o veto presidencial, dispensando essa necessidade.

 

 

Sanções da LGPD

 

 

Ficam mantidas na LGPD as sanções administrativas, sendo:

 

  • Advertência, com indicação de prazo para adoção de medidas corretivas;

 

  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

 

  • Multa diária, observado o limite total acima;

 

  • Publicação da infração;

 

  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

 

  • eliminação dos dados pessoais a que se refere a infração.

 

 

Essas punições existentes na Lei são rigorosas e justificam o grande movimento das empresas para sua adequação à LGPD.

 

 

Uma novidade com relação às sanções é que os vazamentos individuais ou os acessos não autorizados a dados pessoais poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades da LGPD.

 

Autoridade Nacional de Proteção de Dados Pessoais (ANPD)

 

 

A ANPD será órgão da administração pública federal direta, integrante da Presidência da República, o Poder Executivo, segundo a LGPD. Poderá transformar a ANPD em entidade da administração pública federal indireta após dois anos de funcionamento, submetida a regime autárquico vinculada à Presidência da República.

 

Podemos destacar como atuação da ANPD os seguintes pontos:

  • A ANPD poderá celebrar compromissos com as empresas;

 

  • Terá a capacidade de editar normas (e afins) específicas (e mais flexíveis) para startups;

 

  • Será o grau máximo, na esfera administrativa (não judicial), para interpretar a LGPD, o que não exclui o poder de fiscalização que outros órgãos terão, de forma limitada, às suas competências;

 

  • Poderá realizar auditorias;

 

  • Deverá receber e processar as reclamações das pessoas físicas titulares de dados (em meios facilitados, especialmente eletrônicos), desde que tais titulares tenham procurado antes a própria empresa denunciada, e que esta não tenha resolvido a questão;

 

  • Comunicará às autoridades competentes as infrações penais das quais tiver conhecimento.

 

 

Uma das grandes dificuldades que estamos enfrentando na implementação da LGPD em nossos clientes é o entendimento de que se trata exclusivamente de uma demanda jurídica ou apenas tecnológica.

 

 

Para o sucesso da LGPD, entretanto, é necessário um grupo multidisciplinar abrangendo as áreas de proteção de dados e segurança da informação. Esse grupo deverá seguir uma jornada com etapas bem definidas, para que as atividades necessárias sejam realizadas por profissionais multidisciplinares e no tempo correto, apoiando cada etapa com a expertise exigida, garantindo, assim, a implementação da LGPD no prazo determinado e com a qualidade demandada pela Lei.

 

 

Esta jornada compreende cinco grandes fases, que contemplam:

 

Criação do escritório de privacidade

  • Definição e treinamento do encarregado de dados

 

  • Criação de políticas de proteção de dados e privacidade

 

  • Definição do fluxo para tratamento de dados

 

  • Definição da estratégia para início das atividades

 

 

Mapeamento de dados

  • Mapear dados estruturados

 

  • Mapear dados não estruturados

 

  • Catalogar os dados e definir o ciclo de vida dentro dos processos de negócio e nos assets de software

 

 

Análise de impacto no tratamento de dados

  • Criar o relatório de impacto de tratamento de dados utilizando a linhagem de dados

 

  • Definir a hipótese legal de tratamento de dados

 

 

Definições tecnológicas para o tratamento de dados

 

  • Determinar as tecnologias e tratamento necessários para garantir a privacidade de dados dentro dos processos de negócio de acordo com o relatório de impacto de tratamento de dados

 

 

Monitoração e operação da privacidade

 

  • Garantir o atendimento aos titulares de dados e a Autoridade Nacional de Proteção de Dados

 

  • Monitorar a privacidade dentro dos processos e sistemas da empresa.

 

Esta jornada requer tempo, pessoas especializadas e engajadas para obtermos o sucesso necessário em adequar as empresas dentro do tempo e requisitos da Lei. Com resta menos de um ano (a LGPD entra em vigor em agosto de 2020), é preciso iniciar o processo o quanto antes.

 

 

Wiliam Faria é head de Privacidade de Dados e Data Proctetion Officer da GFT

 

Conteúdos Relacionados

Security Report | Overview

CTIR Gov orienta governo a monitorar sistemas de proteção após Apagão Cibernético

Com a identificação do incidente que colheu a plataforma Falcon, da CrowdStrike, e da Microsoft, O órgão de Prevenção a...
Security Report | Overview

Incidentes de TI estão no topo dos riscos para a continuidade dos negócios, aponta pesquisa

1ª Pesquisa Nacional sobre Maturidade em Gestão de Crises e Continuidade de Negócios, apresentada no segundo trimestre deste ano, identifica...
Security Report | Overview

54% das empresas consideram erros humanos um vetor crítico de ciberataques

Estudo da ManageEngine revelou que ameaças externas ainda são a maioria entre os golpes realizados, mas falhas de funcionários preocupam
Security Report | Overview

Apenas 23% das senhas ativas exigem mais de um ano para serem decifradas

Levantamento da Kaspersky analisa 193 milhões de senhas na darknet e indica que 87 milhões delas poderiam ser descobertas em...