Blog

LGPD: Visão de uma perspectiva externa

Entender os componentes do LGPD é crucial para desenvolver um plano completo de adesão aos regulamentos.
Thumbnail

Durante os últimos seis meses, vimos um grande aumento nos questionamentos sobre como a Delphix pode ajudar as organizações a cumprirem o Lei Geral de Proteção de Dados (LGPD). Há uma razão para isso – não importa em que parte do mundo o seu negócio opere, se você possuir dados pessoais de cidadãos brasileiros e os dados vazarem ou forem comprometidos, sua organização será penalizada. Como vivemos em um mundo cada vez mais interconectado, a maioria das organizações sediadas fora do Brasil, possuem clientes brasileiros, o que significa que essas empresas precisam entender e implementar mudanças para dar suporte ao LGPD também. Nós trabalhamos há muito tempo com empresas financeiras sediadas nos EUA e Europa (recentemente recebemos um prêmio de inovação da JPMC, por exemplo) e o a regulação GDPR, que é muito similar ao LGPD, tornou-se uma prioridade para todas elas. Um de nossos clientes financeiros nos informou, em caráter não oficial, que mesmo com apenas 5% de seus negócios na Europa, os custos de conformidade com o GDPR eram altos o suficiente para os fazerem pensar seriamente sobre o futuro de seus negócios baseados na UE.

Com base no grande número de projetos envolvendo o GDPR nos quais trabalhamos, estamos compartilhando nossa perspectiva sobre o LGPD, seus impactos locais e um processo passo a passo para a adesão adequada em uma série de postagens nas próximas semanas.

Para começar, entender os componentes do LGPD é crucial para desenvolver um plano completo de adesão aos regulamentos. Começaremos cobrindo as seções de alto nível e, em seguida, revisaremos cada uma delas detalhadamente em uma série de postagens no blog. É importante notar que o LGPD descreve as mudanças relacionadas a pessoas e processos e a abrangência da diretiva é tal que nenhum fornecedor ou produto será capaz de atender a todos os pontos (nem todas as partes poderão ser resolvidas pelos fornecedores). Além da visão geral, as próximas postagens identificarão as áreas nas quais os produtos e serviços da Delphix podem ajudar.

Visão geral do LGPD, resumidamente

O LGPD entrará em vigor em 14 de fevereiro de 2020. O LGPD é aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.

Embora muitas empresas já tenham adotado processos e procedimentos de privacidade consistentes com outras leis de proteção de dados, o LGPD contém diversas novas proteções para pessoa natural ou por pessoa jurídica de direito público ou privado, e prevê multas e penalidades significativas para controladores e operadores de dados que não estão em conformidade, após entrar em vigor em fevereiro de 2020.

Com novas obrigações sobre o consentimento de titulares de dados, anonimização de dados, notificação de violações, transferência internacional de dados e nomeação de encarregados pelo tratamento de dados pessoais, para citar algumas, o LGPD exige que as empresas que lidam com dados de pessoas naturais no Brasil, realizem uma grande reforma operacional.

  • Notificação de Violação de Dados O LGPD exige a notificação tanto da autoridade supervisora quanto dos titulares de dados afetados (com uma ressalva relacionada à pseudonimização, da qual falaremos a seguir) quando dados pessoais sobre titulares de dados forem perdidos em uma violação de dados.
     
  • Encarregados pelo Tratamento de Dados As organizações devem designar uma nova função, “Encarregados de Tratamento de Dados”, para cumprir o LGPD – gerenciar a conformidade, trabalhar com a autoridade e supervisionar as atividades da organização relacionadas ao LGPD, e ele irá responder perante a lei, em conjunto com a pessoa jurídica.  
     
  • Consentimento: O LGPD acrescenta requisitos mais rigorosos em relação à necessidade da organização de obter consentimento antes de utilizar qualquer dado pessoal de um titular de dados (com definições claras sobre como isso será feito) e de possibilitar a remoção do consentimento a qualquer momento.
     
  • Transferências internacional de dados: O LGPD permite explicitamente as transferências de dados pessoais, porém apenas organizações/países que cumpram um conjunto de condições sobre a proteção de dados pessoais.
     
  • Criação de Perfis: O LGPD esclarece como o processamento automatizado de dados pessoais pode ser tratado – especificamente, que os usuários possam optar que decisões não sejam tomadas com base apenas em suas informações pessoais.
     
  • Anonimização: O LGPD reconhece a anonimização (ou pseudonimização de dados, mascaramento de dados) como uma forma aceitável de proteção/processamento de dados pessoais e encoraja seu uso.

Em seguida, nesta série de postagens, vamos investigar e ver o que realmente representa a adoção dessas iniciativas.

Tags