A proteção de dados é um tema cada vez mais relevante e urgente na sociedade atual, marcada pela intensa circulação de informações pessoais. O dado pessoal, atualmente é o novo petróleo da economia digital, mas também representa riscos e desafios para proteger os direitos fundamentais dos indivíduos.
Nesse contexto, surge a necessidade de uma legislação específica que regule o tratamento de informações sobre as pessoas, estabelecendo princípios, direitos e deveres para os agentes envolvidos nessa atividade.
Neste artigo, vamos analisar o cenário atual da evolução da legislação de proteção de dados, explorando os principais marcos legais e regulatórios, como a LGPD e o GDPR, e seus impactos nas organizações.
Marcos legais de proteção de dados: LGPD e GDPR
A Lei Geral de Proteção de Dados (LGPD), Lei n.º 13.709/2018, é a norma brasileira que regula o tratamento de dados pessoais no país. Ela foi inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR), que é a legislação europeia sobre o tema, em vigor desde 2018.
A LGPD tem como objetivo garantir o direito à privacidade e à proteção dos dados pessoais dos cidadãos, por meio de um conjunto de princípios, direitos e deveres que devem ser observados pelos agentes que realizam o tratamento de dados pessoais. Entre os princípios, destacam-se: finalidade, adequação, necessidade, transparência, segurança, prevenção, não discriminação e responsabilização.
A lei estabelece os direitos dos titulares dos dados pessoais, como: acesso, retificação, cancelamento, portabilidade, informação, oposição e revogação do consentimento. Além disso, a LGPD define as hipóteses legais para o tratamento de dados pessoais, sendo o consentimento do titular uma das principais bases legais.
A LGPD entrou em vigor em setembro de 2020, mas as sanções administrativas previstas na lei só começaram a ser aplicadas em agosto de 2021. As sanções podem variar desde advertências até multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
O órgão responsável por fiscalizar e aplicar as sanções é a Autoridade Nacional de Proteção de Dados (ANPD), que também tem como atribuições: editar normas e orientações sobre a aplicação da LGPD; promover a cooperação com autoridades internacionais; realizar auditorias; receber reclamações e denúncias; estimular boas práticas; entre outras.
Já o GDPR é o regulamento europeu que atua como canal de proteção de dados pessoais nos países-membros da União Europeia. Ele tem como objetivo garantir um alto nível de proteção dos direitos fundamentais dos indivíduos no que diz respeito ao tratamento dos seus dados pessoais.
O GDPR também se baseia em princípios, direitos e deveres semelhantes aos da LGPD, mas com algumas diferenças. Por exemplo: o GDPR prevê o direito ao esquecimento, que permite ao titular solicitar a exclusão definitiva dos seus dados pessoais; também prevê o conceito de privacy by design and by default, que significa que a proteção de dados deve ser considerada desde o início do desenvolvimento de um produto ou serviço e deve ser a configuração-padrão.
Entrou em vigor em maio de 2018 e tem um alcance extraterritorial. Isso significa que ele se aplica não só às empresas estabelecidas na União Europeia, mas também àquelas que oferecem bens ou serviços ou monitoram o comportamento de indivíduos localizados na União Europeia.
As sanções previstas no GDPR podem chegar a 20 milhões de euros, ou 4% do faturamento global da empresa, o que for maior.
O órgão responsável por fiscalizar e aplicar as sanções é o Comitê Europeu de Proteção de Dados (EDPB), que é composto por representantes das autoridades nacionais de proteção de dados de cada país-membro. O comitê tem como atribuições: emitir orientações e recomendações sobre a aplicação do GDPR; promover a cooperação e a consistência entre as autoridades nacionais; resolver conflitos e disputas; entre outras.
Impactos da legislação nas organizações: compliance e segurança
A legislação de proteção de dados traz uma série de impactos para as organizações que realizam o tratamento de dados pessoais, seja como controladoras (que definem as finalidades e os meios do tratamento) ou como operadoras (que realizam o tratamento em nome das controladoras).
Um dos principais impactos é a necessidade de implementar um programa de compliance, que consiste em um conjunto de medidas internas para garantir o cumprimento das normas legais e regulatórias aplicáveis à atividade da organização.
O programa de compliance deve envolver aspectos como: mapeamento dos fluxos de dados pessoais; revisão dos contratos, políticas e termos de uso; obtenção do consentimento dos titulares; implementação de medidas técnicas e administrativas de segurança da informação; elaboração de relatórios de impacto à proteção de dados; designação de um encarregado ou DPO (Data Protection Officer); capacitação dos colaboradores; monitoramento e auditoria das atividades; entre outros.
Outro impacto relevante é a necessidade de garantir a segurança da informação, que é a proteção dos dados pessoais contra ameaças internas ou externas, acidentais ou deliberadas, que possam comprometer sua confidencialidade, integridade ou disponibilidade.
A segurança da informação deve ser baseada em boas práticas e padrões reconhecidos, como a ISO/IEC 27001, que estabelece os requisitos para um sistema de gestão da segurança da informação. A segurança da informação deve abranger aspectos como: controle de acesso; criptografia; backup; firewall; antivírus; detecção e resposta a incidentes; entre outros.
A conformidade com a legislação de proteção de dados e a garantia da segurança da informação são essenciais para as organizações que tratam dados pessoais, pois, além de evitar as sanções administrativas, elas também contribuem para preservar a reputação, a confiança e a competitividade das organizações no mercado.
Tendências de proteção de dados
A proteção de dados é uma tendência global que vem ganhando força nos últimos anos. Segundo um relatório da Privacy Tools, mais de 130 países já possuem ou estão desenvolvendo leis de proteção de dados, abrangendo cerca de 70% da população mundial.
Além do mais, há uma crescente conscientização dos consumidores sobre seus direitos e expectativas em relação ao uso de seus dados pelas empresas.
Algumas das principais tendências de proteção de dados para os próximos anos são:
– Aumento do escrutínio e das sanções por parte das autoridades reguladoras, que exigem cada vez mais transparência, responsabilidade e ética no tratamento de dados pessoais.
– Ampliação do conceito de dados pessoais, que passa a incluir não apenas informações identificáveis, mas também aquelas que permitem a inferência ou a criação de perfis comportamentais dos indivíduos, como os dados biométricos, genéticos, geolocalizados e sensíveis.
– Fortalecimento dos direitos dos titulares dos dados, que passam a ter maior controle sobre seus dados, podendo exercer o direito de acesso, retificação, exclusão, portabilidade, oposição e revogação do consentimento.
– Adoção de medidas técnicas e organizacionais para garantir a proteção de dados desde a concepção e por padrão (privacy by design and by default), como a minimização dos dados coletados, o uso de técnicas de anonimização ou pseudonimização, a criptografia e a implementação de políticas e procedimentos internos.
– Desenvolvimento de novas tecnologias e soluções que visam a facilitar o cumprimento das normas de proteção de dados, como as ferramentas de gestão do consentimento, as plataformas de governança dos dados, os sistemas de auditoria e monitoramento e as soluções baseadas em inteligência artificial e blockchain.
Desafios enfrentados pelas empresas em conformidade com as leis
Estar em conformidade com as leis de proteção de dados é um desafio para as empresas que lidam com dados pessoais em suas atividades, porque as normas são complexas, dinâmicas e variam conforme o contexto e o território em que os dados são tratados. Além disso, as empresas precisam se adaptar às mudanças culturais e comportamentais dos consumidores e da sociedade em relação à privacidade.
Alguns dos principais desafios enfrentados pelas empresas são:
– Mapear os fluxos de dados pessoais dentro da organização, identificando as bases legais, as finalidades, os destinatários e os períodos de retenção dos dados.
– Revisar os contratos com fornecedores, parceiros e clientes que envolvam o compartilhamento ou a transferência internacional de dados pessoais.
– Adequar os processos internos às exigências das normas, como a realização de avaliações de impacto à proteção de dados (DPIA), a elaboração do relatório anual de atividades (RAT), a nomeação do encarregado ou do representante (DPO ou DPR), a notificação de incidentes de segurança e a resposta aos pedidos dos titulares dos dados.
– Capacitar e conscientizar os colaboradores sobre as boas práticas de proteção de dados, criando uma cultura de privacidade dentro da organização.
– Investir em tecnologia e infraestrutura para garantir a segurança dos dados, prevenindo e mitigando os riscos de vazamentos, perdas, acessos não autorizados, alterações indevidas ou destruição dos dados.
Oportunidades decorrentes da proteção de dados para as organizações
A proteção de dados não deve ser vista apenas como uma obrigação legal, mas também como uma oportunidade para as organizações que desejam se diferenciar no mercado e gerar valor para seus clientes e stakeholders. A proteção de dados pode trazer benefícios como:
– Aumento da confiança e da fidelização dos clientes, que se sentem mais seguros e satisfeitos com o tratamento de seus dados pelas empresas.
– Melhoria da reputação e da imagem da marca, que demonstra responsabilidade social e compromisso com a ética e os direitos humanos.
– Otimização dos processos internos, que se tornam mais eficientes, ágeis e econômicos com a gestão adequada dos dados.
– Inovação e competitividade, que são estimuladas pela adoção de novas tecnologias e soluções que respeitam a privacidade dos usuários.
– Acesso a novos mercados e oportunidades de negócios, que são facilitados pelo cumprimento das normas internacionais de proteção de dados.
Importância da segurança da informação e da parceria certa
A segurança da informação é um elemento essencial para a proteção de dados, pois visa a garantir a confidencialidade, a integridade e a disponibilidade dos dados pessoais. A segurança da informação envolve a aplicação de medidas técnicas, físicas e administrativas para prevenir e combater as ameaças internas e externas que podem comprometer os dados.
No entanto, a segurança da informação não é suficiente por si só para assegurar a conformidade com as leis de proteção de dados. É preciso também contar com uma parceria certa, que possa oferecer uma consultoria especializada e um suporte qualificado para as empresas que tratam dados pessoais.
A parceria certa deve ser capaz de:
– Entender as necessidades e os objetivos específicos de cada empresa em relação à proteção de dados.
– Realizar um diagnóstico completo do cenário atual da empresa em relação às normas vigentes e às melhores práticas do mercado.
– Elaborar um plano de ação personalizado para implementar as medidas necessárias para alcançar a conformidade com as leis.
– Acompanhar e monitorar o desempenho e os resultados das ações implementadas, sugerindo melhorias contínuas.
– Orientar e capacitar os colaboradores da empresa sobre as questões relacionadas à proteção de dados.
A parceria certa deve ter experiência, credibilidade e reconhecimento no mercado, além de contar com uma equipe multidisciplinar formada por profissionais qualificados nas áreas jurídica, técnica, administrativa e educacional.
Conheça o Sistema Jurídico da Benner
A Benner Jurídico é mais do que uma empresa de soluções de software e serviços; ela é uma parceira estratégica para a gestão eficiente de departamentos jurídicos e a terceirização de serviços jurídicos.
Com uma plataforma repleta de módulos de gestão contenciosa e consultiva, além de um núcleo de eficiência jurídica apoiado pela mais recente tecnologia, a Benner Jurídico capacita empresas a enfrentar os desafios complexos do cenário jurídico atual.
Preencha o formulário abaixo, agende uma conversa com nossos executivos e descubra como a Benner pode fazer a diferença na sua empresa.
