Conhece a LGPD (Lei Geral Proteção de Dados)? Saiba como ela irá impactar na sua Empresa!


Com o crescimento e popularização do acesso à internet e inúmeros aplicativos e programas armazenados em nuvem, os dados pessoais dos usuários nunca foram tão expostos como atualmente, levando especialistas e legisladores a criar uma legislação específica para regulação da utilização desses dados de forma comercial pelas empresas. Após anos de discussão sobre a criação da lei ela foi sancionada após os escândalos de vazamentos de dados nas eleições dos Estados Unidos, onde os dados dos usuários do Facebook foram coletados para utilização estratégica na eleições.

Photo by Markus Spiske on Unsplash

O que é a LGPD?

A LGPD, Lei Geral de Proteção de Dados — Lei 13.709/2018 — foi sancionada pelo presidente da República Michel Temer, com vetos, em 14 de agosto deste ano, após longos oito anos de debates no Congresso.

Essa sanção não coloca a lei em vigor de forma imediata. Para que as empresas possam se preparar e adaptar os seus procedimentos, foi estipulado um prazo de 18 meses a partir da data de sanção, ou seja, entrará em vigor em fevereiro de 2020.

Porém foi publicada em 28 de Dezembro de 2018, no diário oficial, a Medida Provisória nº 869 de 27 de dezembro de 2018, que cria a Autoridade Nacional de Proteção de Dados e traz outras alterações à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) e adia a vigência da LGPD para agosto de 2020, antes determinada para fevereiro de 2020.

Um dos 14 vetos quando a lei foi promulgada era a criação de uma Autoridade Nacional de Proteção de Dados, necessária para que existisse um órgão para regular e cumprir com suas atribuições, sobre as quais falaremos a diante.

Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A lei passa a regular a forma de funcionamento e operação das organizações ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma.

A lei entende por “dados pessoais” qualquer informação relacionada à pessoa natural identificada ou identificável, e por “tratamento de dados” toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.

E o que são Dados Pessoais?

Dados pessoais são aqueles que podem, sozinhos ou em conjunto, identificar o seu titular. Alguns exemplos são:

nome e apelido;

endereço de residência;

e-mail;

número de cartões;

endereço IP;

localização;

cookies.

A lei também versa sobre os chamados dados sensíveis, que são aqueles que contêm características pessoais mais reveladoras, como etnia, religião, sexo, posicionamento político, biometria, entre outros. Esses exigem um maior cuidado e controle por parte da empresa captadora.

Em resumo, podemos dizer que os principais objetivos de uma Lei Geral de Proteção de Dados são:

Resguardar o direito à privacidade;

Definir regras claras para empresas;

Fomentar o desenvolvimento econômico e tecnológico;

Garantir o direito do consumidor;

Promover a segurança jurídica.

Quem são os atores envolvidos?

A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.

O titular: é a pessoa física a quem se referem os dados pessoais.

O controlador: é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.

O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.

O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.

Sobre a Agência Nacional Proteção de Dados

A Medida provisória 869/2018, traz no seu Art. 55-J a competência da ANPD (AGÊNCIA NACIONAL PROTEÇÃO DE DADOS):

I - zelar pela proteção dos dados pessoais;

II - editar normas e procedimentos sobre a proteção de dados pessoais;

III - deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas competências e os casos omissos;

IV - requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;

V - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei;

VI - fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

(...) dentre outras.

Multas e Descumprimento

As empresa tem até agosto de 2020 para se adaptarem a Lei Geral Proteção de Dados. O não cumprimento dessas obrigações pode acarretar, por exemplo, em multas altíssimas que chegam até R$ 50 milhões por infração. Confira alguns pontos importantes para entender melhor a LGPD.

A principal meta é garantir a privacidade dos dados pessoais das pessoas e permitir um maior controle sobre eles. Além disso, a lei cria regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, ajuda a promover o desenvolvimento tecnológico na sociedade e a própria defesa do consumidor.

A lei é aplicada a todos os setores da economia; possui aplicação extraterritorial, ou seja, toda empresa que tiver negócios no país deve se adequar a ela; consentimento do usuário para coletar informações pessoais; os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados; criação da Autoridade Nacional de Proteção aos Dados (ANPD); e a notificação obrigatória de qualquer incidente.

Levantamento de quais situações devem ser corrigidas pela empresa para a garantia de que a LGPD seja cumprida em todos os departamentos.

Redução da exposição ao risco: aqui, é a etapa de implementação das medidas para proteger os dados pessoais na base da empresa. Elas podem ser de segurança, técnicas e administrativas, que evitam, combatem ou minimizam a perda ou indisponibilidade de ativos de informação devido a ameaças que atuam sobre algumas vulnerabilidades.

Cumprimento dos subcontratantes: a LGPD estende-se também aos subcontratantes de uma empresa, como fornecedores e parceiros de tecnologia. Eles também ficam sujeitos às obrigações e podem realizar pagamentos de indenização, por exemplo.

Multas: a nova lei prevê sanções para quem não tiver boas práticas. Elas englobam advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias.

SEGURO PARA INCIDENTES CIBERNÉTICOS: Uma opção para minimizar possíveis prejuízos, incluindo multas.

Já existe no mercado algumas opções de apólice para Gestão de Riscos Cibernéticos. Esse seguro é destinado a empresas e organizações que mantêm sistemas, redes de computadores e bancos de dados próprios e de terceiros que possam estar sujeitos a riscos.

O seguro para Incidentes cibernéticos reembolsa danos causados à terceiros nas seguintes situações:

Resposta A Incidentes Cibernéticos;

Perdas Causadas A Terceiros;

Responsabilidade pela Privacidade

Danos e as despesas decorrentes de reclamações de terceiros por violação de privacidade;

Responsabilidade pela Segurança da Rede

Danos e as despesas decorrentes de reclamações de terceiros por falhas de segurança da rede;

Responsabilidade por Conteúdos Eletrônicos

Danos e as despesas decorrentes de reclamações por terceiros de Violação culposa de direitos decorrente de conteúdos eletrônicos;

Conteúdo Eletrônico: Informações eletrônicas distribuídas pelo Segurado ou em seu nome na internet, em páginas próprias ou em sites mantidos por terceiros, como sites de redes sociais, excluindo-se erros em ofertas comerciais, como, por exemplo, erros de precificação em páginas de comércio eletrônico.

Perdas do Próprio Segurado

Ciberextorsão

Danos e despesas por Ciberextorsão pagas pelo Segurado por um evento de Ciberextorsão:

Evento de Ciberextorsão: qualquer ameaça ou série de ameaças conectadas, críveis e realizadas por terceiros contra o Segurado, com o objetivo de exigir dele valores monetários;

Danos por Ciberextorsão: montante pago pelo Segurado, com consentimento da Seguradora, para concluir ou pôr fim a um evento de Ciberextorsão.;

Despesas por Ciberextorsão: Despesas que sejam resultado direto de um evento de Ciberextorsão, incluindo contratações de consultores de tecnologia da informação, relações públicas, legais e regulatórios e negociadores de crise.

Perdas de Ativos Digitais

Despesas de recuperação em razão de um incidente de perda de ativos digitais;

Incidente de ativos digitais

Acesso aos, corrupção dos ou destruição dos dados armazenados nos sistemas informáticos internos do Segurado causado por:

-Atos maliciosos de computação;

-Malware;

-Hacking;

-Uso ou acesso não autorizado;

-Ataque por negação de serviço;

-Erro humano;

-Erro de programação; ou

-Falha, aumento ou diminuição de energia que afete seu sistema de computação.

Lucros Cessantes /Interrupção de Negócios

Redução do lucro líquido que ocorra durante o período de indenização, resultante de um incidente de interrupção do negócio.

Por meio do seguro é possível minimizar perdas das empresas com reputação e os danos a imagem. Já temos exemplos de diversos casos recentes envolvendo empresas dos mais diversos portes, como Colégio Bandeirante, a Netshoes, o Facebook e o Uber. Por isso é importante se adaptar a nova Lei e ter a certeza que essas novas regras impactarão desde as startups até as grandes corporações e além de todo investimento e adaptação a Lei Geral de Proteção de Dados, a contratação de um Seguro para Riscos Cibernéticos é mais uma ferramenta imprescindível para resguardar as empresas.

Ricardo L. Sevecenco é advogado especialista em Direito do Entretenimento, Direito Tributário e Corretor de Seguros em Eventos - atua no mercado de Eventos há mais de 15 anos.

#LGPD #CyberSeguro #DireitodoEntretenimento

Recent Posts

Archive

Follow Us

  • Grey Facebook Icon
  • Grey Twitter Icon
  • Grey LinkedIn Icon