(11) 3323-3323

CompugrafCompugraf

  • A Compugraf
    • Sobre
    • Talentos
  • Soluções
    • Redes Corporativas
      • WAN e SD-WAN
      • Consultoria e Gestão
    • Segurança da Informação
      • Applications
      • Cloud
      • Endpoint
      • Mobile
      • Network
      • Privacidade de Dados
    • Serviços
      • Automações e Integrações
      • Serviços Gerenciados
      • Treinamento e Consultoria
    • Segmentos
      • Educação
      • Financeiro
      • Saúde
      • Varejo
      • Indústria
  • Parceiros
  • Materiais
  • Blog
  • Contato
  • Restrito

O Crescimento das Fintechs no Brasil

quinta-feira, 10 dezembro 2020 by Rodrigo Santos

O rápido crescimento das fintechs no Brasil mostram como estamos passando por uma revolução tecnológica no setor financeiro.

Atualmente, o Brasil possui o maior número de fintechs (empresas que unem tecnologia + finanças) fora dos Estados Unidos.

Esse ritmo de expansão está criando riscos e oportunidades, e muitas startups estão buscando conhecimento externo para ajudá-las a lidar com a complexidade do ambiente regulatório.

Você sabe o que é Pix?

As fintechs não são as únicas novidades no mercado financeiro, confira a mais nova tecnologia de pagamentos em nosso programa “Em Foco”

O que representam as Fintechs no Brasil

O Banco Central do Brasil (Bacen) está incentivando uma nova tecnologia e inovação projetada para competir com os métodos tradicionais na prestação de serviços financeiros.

O Bacen espera reduzir o custo dos serviços financeiros e ampliar o uso de contas e crédito para atingir uma participação maior dentre os brasileiros.

Grande parte dos residentes do país – 35% dos brasileiros adultos – nunca teve conta em banco, especialmente os de origem mais humildes.

Apesar disso, o Brasil é o que tem mais smartphones do mundo. Portanto, há espaço no mercado para novos métodos de prestação de serviços financeiros, sendo a acessibilidade um dos grandes desafios do setor.

Que já está revolucionando a forma como fazemos negócios.

Crescimento das fintechs no Brasil

Em 2017, o número de empresas fintech estabelecidas no Brasil aumentou de 244 para 332, e a empresa tem negócios em crédito, investimento, gestão financeira, pagamentos, seguros, criptomoeda, renegociação de dívidas e outros campos – mais do que outros países / regiões América Latina juntos.

Um relatório do Goldman Sachs no mesmo ano estimou que as empresas brasileiras de tecnologia financeira gerarão aproximadamente US $ 24 bilhões em receitas nos próximos dez anos. Em 2017, o número de startups de fintech e eficiência financeira aumentou de 264 para 369. Dentre eles, os setores de seguros e crédito foram os mais populares, com 92% e 75% das iniciativas lançadas respectivamente.

A Fintech ainda é minoria no mercado de crédito de 1,5 trilhão de reais no Brasil, mas sua importância reside na influência dessas empresas nos bancos tradicionais, o que pode levar a ajustes e preços mais baixos. A taxa de juros média atual para os bancos tradicionais é de 5,67% ao mês, enquanto a taxa de juros para empresas de tecnologia financeira é de 1,90%.

Riscos para as fintechs no Brasil

As startups de empresas fintech estão em risco. Geralmente é estabelecido por jovens empreendedores que usam novas tecnologias e que têm uma compreensão ingênua de como administrar uma empresa ou de como cumprir os padrões financeiros e regulatórios.

Produtos inovadores não são suficientes para garantir o sucesso do negócio. Trabalhar com profissionais experientes garantirá que os requisitos básicos de operação de uma empresa sejam atendidos, permitindo que os empreendedores de tecnologia se concentrem no desenvolvimento de produtos criativos e na satisfação das necessidades de seus clientes.

O gerenciamento confiável de dados e a segurança das informações pessoais do cliente são outra área em que os provedores de serviços empresariais conhecidos podem ajudar.

Se as regulamentações forem violadas, o rápido desenvolvimento da indústria de tecnologia financeira pode tornar as start-ups vulneráveis ​​a sanções regulamentares.

Novos produtos proliferam e algumas dessas empresas jovens serão eliminadas. Para sobreviver, as empresas jovens podem ser adquiridas por concorrentes, podem obter empréstimos ou investimentos de firmas de private equity ou podem crescer organicamente emitindo dívidas.

Os serviços do TMF Group podem ajudá-lo a fazer qualquer escolha, e se você é um investidor estrangeiro em busca de oportunidades no mercado de tecnologia financeira, também pode ajudá-lo.

Potencial das Fintechs no Brasil

Os investidores estrangeiros perceberam a responsabilidade da indústria de tecnologia financeira brasileira. O aplicativo de planejamento financeiro GuiaBolso e a operadora de cartões de crédito Nubank receberam recentemente um importante apoio financeiro.

Além da base de clientes existente de titulares de cartão de crédito, o Nubank também oferece contas bancárias digitais às pessoas, tendo registrado 1,5 milhão de clientes por meio de um programa piloto.

Isso significa que o Nubank já é maior do que o maior banco digital puro do Brasil, mas em termos dos dois maiores bancos do Brasil, Banco Bradesco SA e Itaú Unibanco Holding SA, ainda há um longo caminho a percorrer para milhões de clientes.

A startup brasileira de tecnologia financeira Cretitas Solutions Financeiras Ltda. Por meio do fundo sueco, a Vostok Emerging Finance recebeu 50 milhões de dólares americanos de investimento.

A Creditas foi fundada em 2012 e se especializou no negócio de concessão de crédito por meio de recebimento de imóveis ou veículos em garantia, contando no ano passado com uma carteira de crédito de 135 milhões de reais e, atualmente, pretende expandi-la em 30 vezes em três anos.

Regulamentações

Para estimular o desenvolvimento da tecnologia financeira, o Banco Central do Brasil promulgou os primeiros regulamentos de tecnologia financeira, autorizando dois tipos de tecnologia financeira: a People’s Loan Association (SEP) e a Direct Credit Association (SCD).

O objetivo é aumentar a competição por empréstimos em um país onde as taxas de juros ao consumidor são surpreendentemente altas.

Com o desenvolvimento da indústria de tecnologia financeira, a competição por clientes também está se intensificando, e eles estarão ansiosos para garantir a segurança dos fundos das startups.

As startups da Fintech vão competir com o setor bancário brasileiro que tem décadas de experiência e conquistar a confiança dos clientes. No entanto, se a nova entidade tiver um provedor de serviços comerciais respeitável, isso aumentará sua credibilidade e aprimorará a reputação da jovem empresa.

O Pix já está no ar. Como ele vai afetar a sua empresa?

O Pix traz uma grande novidade para os meios de pagamento no Brasil, isso quer dizer que as empresas podem se beneficiar com o uso dele.

Mas tem mais coisa em jogo, pois agora as empresas também precisam estar em conformidade com a LGPD.

E por fim, já está em discussão a aplicação do conceito de Open Banking no Brasil.

O que isso tudo significa para as empresas brasileiras? Confira nosso guia mais recente e desvende todas as novidades tecnológicas envolvendo o setor financeiro.

pix

Converse com especialistas

Uma nova no setor bancário pode trazer diversas dúvidas e demandas de segurança, por isso a Compugraf disponibiliza seus profissionais para te ajudar nessa jornada.

Precisa de ajuda? conte com a gente.

Read more
  • Published in Segurança da Informação
No Comments

Entrando em conformidade com a LGPD com o auxílio de uma ferramenta

quarta-feira, 23 setembro 2020 by Rodrigo Santos

Entrar em conformidade com a LGPD pode ser mais fácil com a ajuda de uma Solução de Automação da Gestão de Privacidade, como a OneTrust.

Módulos da LGPD

A LGPD, Lei Geral de Proteção de Dados, sofre conflitos para entrar em vigor no Brasil na data prevista mais recente: em agosto de 2020, após 2 anos; uma série de alterações e tentativas de novos adiamentos no mês de sua vigência de sua vigência.

Estamos trabalhando arduamente para te manter informado sobre as novidades da LGPD e já criamos dois grandes artigos sobre o tema, no primeiro reunimos tudo sobre a LGPD e no segundo trazemos todas as principais novidades da lei.

Caso não sofra mais nenhuma alteração, a lei entra em vigência com um detalhe importante: A ANPD, Agência Nacional de Proteção de Dados, seu órgão regulamentador, só deve passar a funcionar em 2021, essencialmente para:

  • Estabelecimento de padrões técnicos;
  • Determinação para a elaboração de Relatórios de Impacto,
  • Fiscalização e aplicação de sanções, atividades de difusão e educação sobre a LGPD.

Na prática, isso significa que teríamos uma lei em vigor que não será monitorada por seu principal órgão no primeiro ano de vida, o que não significa que suas regras deverão ser ignoradas, pois outros órgãos competentes, como o Procon (Programa de Proteção e Defesa do Consumidor) podem ser acionados durante uma infração.

Mas note que no caso de um acionamento como o Procon, as mesmas multas e sanções da ANPD, que incluem advertências e o pagamento monetário de 2% do faturamento da empresa até R$50 milhões, por infração; não se aplicam.

Ou seja, durante o primeiro ano da LGPD, as multas e sanções não seriam aplicadas, mas especialistas alertam que os acionamentos por outros órgãos tornaram-se provas para uma reincidência de infrações quando a ANPD passasse a funcionar oficialmente em todo o país.

Por isso, enquanto a lei passa por diversas conflitos de interesse, as empresas não devem esperar para ver o que acontece, pois quanto mais adequadas a lei geral de proteção de dados no momento de sua vigência, menos serão os riscos de multas e denúncias envolvendo o vazamento ou qualquer outra infração de privacidade de dados.

Em nosso programa, “Em Foco” a gente separou te explica os princípios legais da Lei Geral de Proteção de Dados:

Histórico de alterações nas datas de vigência da LGPD

** Nota: Este histórico será constantemente atualizado, nossa última versão conta com informações do dia 23 de setembro de 2020. Caso encontre alguma divergência, entre em contato com a gente.

Atualização 18/09 – A Lei Geral de Proteção de Dados entra em vigor

Após sanção presencial, a LGPD passou a valer no dia 18 de setembro de 2020, dois anos após a primeira versão da lei. A cobrança de multas e atuação da ANPD continuam datadas para agosto de 2021.

Atualização 26/08 – ainda não entrou em vigor

A MP 959/20, que sugeria uma nova data para que a Lei Geral de Proteção de Dados entre em vigor, mas foi barrada pelo Senado. Sendo assim, a LGPD segue com as alterações aprovadas para a sanção presidencial.

Atualização 25/08 – ainda não entrou em vigor

O texto original da MP 959/20 foi alterado e aprovado com sucesso na Câmara, o qual sugere uma nova data para que a Lei Geral de Proteção de Dados entre em vigor. Caso seja aprovado em votação no dia 26/08, a LGPD passará a entrar em vigor somente no dia 31 de dezembro de 2020.

A votação ocorre no dia 26/08 às 16h na TV Senado (horário de brasília) em uma única sessão, e caso aprovada, seguirá para o aceite final e a sanção presidencial. A data sugerida pela nova versão da MP é vista positivamente por especialistas, além de envolver um acordo prévio entre todos os poderes (Executivo, Câmara e Senado).

Atualização 20/08 – ainda não entrou em vigor

Visto como um importante passo na saúde e proteção de dados no país inteiro, o texto original da MP 959/20 foi retirado da pauta do dia e movido para o dia 25/08. E isso é um ótimo exemplo sobre como a lei tem sido menosprezada por aqui.

As mudanças constantes na data de vigência, assim como uma série de lacunas a serem preenchidas pela lei brasileira é resultado de um conflito de interesses muito grande no Brasil.

Atualização 19/08 – ainda não entrou em vigor

Não houve consenso entre os deputados sobre a MP 959 na votação de ontem, 18/08 e a mesma não está planejada para ser abordada nos próximos dias. No entanto, é possível que isso mude e tenha prioridade dada a urgência do tema.

A data limite para que a MP ainda tenha validade e possa ser votada pelas duas autoridades (Câmara e Senado), é dia 26/08.

Atualização 11/08 – ainda não entrou em vigor

O início dos conflitos da LGPD em sua proximidade com a possível aprovação. A lei estava prevista para entrar em vigor neste mesmo mês, mesmo sem ANPD, o que não deve ser reconhecido até que a MP 959, que adia seu lançamento, seja votada.

Note que todas as alterações da LGPD buscam adiá-la sempre que possível, embora exista uma resistência que tente ao menos mantê-la para o final de 2021, independente da abertura da Agência Nacional de Proteção de Dados.

O grande problema dessa facilidade de postergação da lei é a reputação dela frente ao mercado, que perde o poder de impacto cada vez que é adiada, já que muitas empresas podem se achar no direito de também lidar com isso “mais tarde”.

Do ponto de vista prático da história, as empresas que ainda não estão se adequando estão apenas perdendo a valiosa oportunidade de fazer o processo com a calma e planejamento que ele demanda, pois apesar de todas as confusões, não há nenhuma possibilidade de a LGPD não acontecer em algum momento futuro.

Após quase 2 anos desde a primeira data divulgada para a vigência da lei, a LGPD certamente ainda não é perfeita e pode não fazer sentido pra muita gente quando é anunciada antes mesmo do seu órgão regulamentador, mas nessas horas vale recordar sobre a importância de estar em conformidade caso a sua empresa possua relações internacionais com outros países.

Isso porque tanto a GDPR quanto outras leis de proteção de dados especificam que ações como a transferência de dados só poderão ser realizados sob condições específicas, as quais garantam que os dados serão devidamente tratados quando transferidos para o país de destino. Portanto se você não quer ter os negócios afetados, o compliance é importante.

Saiba tudo sobre LGPD em um único lugar

A Compugraf acompanha todas as notícias sobre a Lei Geral de Proteção de Dados desde o início de sua vigência, e sabendo de todas as mudanças que a lei ainda pode sofrer, assim como também na centralização das informações de maneira acessível, criou uma página exclusiva para abordar o tema.

A página que criamos é certamente uma das mais completas da internet e nela reunimos todas as informações atualizadas da LGPD em um acesso multimídia envolvendo textos, podcasts e vídeos ao longo de três temas de extrema importância para entrar em conformidade: o contexto, as consequências, e como entrar em conformidade.

LGPD e o direito à Segurança de Dados Pessoais

Contextualizando a LGPD

Se mesmo em 2020 você ainda está confuso sobre a existência da Lei Geral de Proteção de Dados, a gente te explica mais uma vez.

A LGPD nasceu como uma resposta direta a leis semelhantes de outros países e sob total influência da recém lançada GDPR. A Lei brasileira nº 13.709 foi bem aceita em em agosto de 2018, mas diversos pontos a serem revisados e as restrições na aprovação de seu órgão regulamentador, a Agência Nacional de Proteção de Dados, fizeram com que sua vigência tivesse a data alterada.

O problema é que essas alterações de data nunca terminam, pois ainda hoje a lei sofre com essa possibilidade, o que gera um mal estar geral na relação do brasileiro com as novas práticas de proteção de dados no país

A intenção da LGPD é genuína e totalmente necessária, buscando criar um cenário de segurança jurídica e a padronização das normas e práticas para garantir a proteção de dados coletados, armazenados e tratados no Brasil, assim como manter a segurança durante uma eventual transferência internacional de dados.

O que sempre foi bem específico em relação a LGPD, foi sua intenção de proteger dados pessoais; assim como a definição do que são dados pessoais e possíveis cenários que os tornam mais ou menos sensíveis, especialmente em relação a informações envolvendo crianças e transferência internacional de dadosicas propostas pela LGPD são inerentes ao meio, isso quer dizer que as mesmas se aplicam tanto ao mundo físico, quanto ao virtual, impactando todas as empresas de alguma maneira, especialmente as que operam no modelo B2C, Business-to-consumer, mas não excluindo as que atendem empresas (B2B), pois em todos os casos haverá o armazenamento de dados pessoais (como no cadastro de funcionários)

Outro ponto importante é a titularidade dos dados, que agora possui maior controle e mais responsabilidades em relação a permissão de coleta, armazenamento e tratamento dos dados pessoais, embora ainda sejam limitados. Um usuário pode, por exemplo, solicitar a exclusão de dados que já foram autorizados no passado a qualquer momento; mas não pode evitar que seus dados sejam usados para o cumprimento de ações legais, como as inclusas em contrato.

A LGPD prevê advertências e multa para empresas que cometerem infrações, as quais podem chegar a R$50 milhões, ou valor inferior que represente 3% do valor anual da empresa referente ao exercício do ano anterior, e embora o valor não represente grandes prejuízos para grandes corporações, startups, pequenas e médias empresas devem ser muito prejudicadas pelos valores devidos nesse cenário.

Mas conforme já frisamos em alguns momentos, as multas monetárias são apenas a cereja do bolo se pensarmos sobre como a reputação de uma empresa poderá ser prejudicada a partir do momento em que sofrer penalidades por não cuidar dos dados dos próprios usuários ou até mesmo funcionários, o que pode cair muito mal para os negócios.

Uma empresa pode ser multada múltiplas vezes, sendo que o valor é referente a cada infração cometida, e a constância dessa série de ocasiões pode resultar na proibição de operação da empresa no país, sendo a consequência mais séria dentro da proposta de lei.

Para fazer toda essa gestão e implementação de soluções em segurança da informação e privacidade, a LGPD, inspirada na lei europeia, prevê um profissional específico: o DPO, Data Protection Officer – que terá o papel de garantir que a empresa mantenha as melhores práticas e que todos os setores estejam em conformidade com a lei.

Antes mesmo de a lei ser aprovada, muitos já se perguntaram o que vai acontecer com suas empresas quando a data chegasse. Em nosso “CyberTalks” conversamos com a Carla Manso sobre como isso deve impactar as organizações daqui pra frente.

10 Principais Pontos da LGPD

Dentre tantas informações disponíveis sobre a LGPD, fica difícil definir as informações mais relevantes para quem está começando a se informar agora, além das multas e sanções, pois as mudanças constantes na lei também atrapalham nessa priorização de informações, além de todo o misto de informações desatualizadas que pode confundir as pessoas que não estão tão próximos do que acontece no desenvolvimento da lei.

Em geral, é importante entender que ela veio pra somar e melhorar a nossa relação com os dados pessoais, embora possam trazer desafios iniciais em conceitos como Big Data, Marketing, Data Mining e a Análise de Dados.

Essas melhoras no relacionamento com dados pessoais não é aleatória, afinal, hoje já é comum ouvir que os dados pessoais são as informações mais importantes da internet, já são considerados o “petróleo do século XXI”.

Plataformas e aplicativos sempre usaram e abusaram de informações pessoais e se beneficiaram do uso dessas informações com a possibilidade de utilizar anúncios com base no que foi aprendido, mas isso é uma das coisas que deve mudar com essa nova relação do uso de dados.

Os vazamentos de dados nos últimos anos, não foram poucos e não afetaram somente pequenas empresas, e grandes incidentes a até mesmo guerras cibernéticas, a gente sempre busca manter você informado sobre o que acontece no mundo em relação ao mundo da segurança da informação e privacidade de dados.

Embora soe como algo muito recente, a preocupação com a privacidade como um direito é algo histórico. Existem relatos que associam o fato aos final dos anos 1800, logo após o final da Segunda Guerra Mundial. Mas o evento mais direto a isso vem de 1970, quando surgiram os primeiros computadores.

Na época, as pessoas estavam empolgadas na mesma medida em que estavam assustadas com a possibilidade que essa nova máquina estaria trazendo para suas vidas.

Seria uma ferramenta de espionagem do FBI? Pois é, dúvidas assim não eram nada incomuns.

Na década de 80 surgiu na Europa a Convenção de 108 do Conselho da Europa para a Proteção das Pessoas Singulares, o que era uma associação ao respeito ao tratamento de automatizado de dados pessoais e em 1995 a Diretiva 95/46/EC do Parlamento Europeu e do Conselho, foi adotado.

E tudo isso tem preparado o cenário para o que vivemos hoje, seja através das histórias sobre a GDPR e outras leis de proteção de dados pessoas ao redor do mundo, como nas próprias experiências no Brasil, que remetem aos primeiros momentos do brasileiro com uma lei que é especificamente sobre isso.

  1. Qual o objetivo da lei de proteção de dados

O objetivo da Lei Geral de Proteção de Dados é o de regulamentar o tratamento de dados pessoais por empresas, pessoas ou entidades do setor público, em todos os meios possíveis (desde anotações informais em papéis, até o que está armazenado nos arquivos do computador).

Essas regras aplicam-se a todos os dados no Brasil, mas também influenciam nos dados que são transferidos de ou para o país, com leis requisitos para tornar o processo possível e seguro.

A lei é válida para todo o Brasil, e nas ocasiões em que tenha como objetivo a oferta ou fornecimento de bens ou serviços a pessoas que residem no país, ou de pessoas que tenham dados coletados aqui.

  1. O que são dados pessoais e os dados pessoais sensíveis?

Dada a amplitude dos dados recolhidos pelas mais diversas plataformas e empresas, uma questão importante diz respeito aos tipos de dados abrangidos pela LGPD. Basicamente, a LGPD regula o tratamento de dados pessoais e dados pessoais sensíveis.

Dados pessoais são informações relacionadas ao titular. O titular pode ser uma pessoa física identificada ou identificável, incluindo nome, endereço, e-mail, idade obtida através de qualquer forma de suporte (papel, eletrônico, computador, etc.) , Estado civil e situação patrimonial), som e imagem, etc.).

A LGPD escolheu um conceito amplo que abrange dados pessoais sem uma lista exaustiva, o que dá à lei uma vida útil mais longa e deixa a definição de seu escopo para suas autoridades regulamentadoras.

Dados pessoais relacionados à raça ou origem étnica, crenças religiosas, opiniões políticas, filiação a um sindicato ou organização de natureza religiosa, filosófica ou política, dados relacionados à saúde ou vida sexual são considerados informações confidenciais, assim genes ou dados biométricos associados a pessoas físicas .

A Lei Geral de Proteção de Dados trata esses dados de forma mais estrita e proíbe o processamento, exceto em circunstâncias especiais estabelecidas pela lei.

  1. O que compõe um tratamento de dados na LGPD?

LGPD se aplica a quaisquer operações sobre dados pessoais, como coleta, produção e recepção. Os dados da entidade são inseridos em todo o estágio permanente, até finalmente sair da transmissão, difusão ou extração anterior (ou seja, cobertura ponta a ponta).

Para as pessoas jurídicas, estão excluídos da abrangência da LGPD os tratamentos para fins jornalísticos e artísticos, assim como documentos acadêmicos, de segurança pública, defesa nacional, segurança nacional ou atividades de investigação.

Excluem-se também os casos em que os dados estejam no Brasil de maneira transitória, ou seja, esse cenário não implica na aplicação da LGPD em dados pessoais de fora do território do país quando estão em trânsito e não são objetos de troca ou compartilhado com os agentes de tratamento de dados no Brasil. Isso também ocorre em outros países, que aplicam regras diferentes.

  1. Quem são as pessoas visadas pela LGPD?

Em primeiro lugar, é importante entender se é cidadão brasileiro ou não, a depender de como é comprovado como o titular desfruta de seu rico direito informacional à autodeterminação e titularidade de seus dados pessoais.

De acordo com a lei, as pessoas que processam os dados são classificadas como agentes de processamento, sendo os principais os controladores, que podem ser pessoas físicas ou jurídicas..

Além do controlador, que geralmente é o agente que se comunica diretamente com o titular, também existem atividades terceirizadas de processamento de dados realizadas por um agente denominado operador. O agente pode ser uma pessoa física ou jurídica, uma empresa privada ou do governo e é responsável pelo processamento.

De forma semelhante ao GDPR, embora suas capacidades e responsabilidades sejam inferiores às do DPO (Data Protection Officer) na lei europeia, a legislação brasileira define um responsável nomeado como encarregado, atuando como um canal de comunicação entre controladores, detentores e as autoridades nacionais.

  1. Quais empresas serão afetadas pela LGPD?

A nova lei de proteção de dados não afeta apenas as empresas de tecnologia, mas também abrange todas as empresas que processam dados pessoais de alguma forma.

Como a lei não restringe os dados pessoais armazenados digitalmente, de fato, quase todas as empresas registram algum tipo de informação pessoal, como dados de funcionários, contato com fornecedores (como nome, telefone, e-mail e endereço), dentre outros.

Dessa forma, quem se cadastrar em apartamentos ou grandes redes sociais e possuir centenas de informações sobre seus titulares estará protegido por lei.

Dessa forma, quem se cadastrar em apartamentos ou grandes redes sociais e possuir centenas de informações sobre seus titulares estará protegido por lei.

  1. Quais são os direitos dos titulares dos dados?

Dessa forma, quem se cadastrar em apartamentos ou grandes redes sociais e possuir centenas de informações sobre seus titulares estará protegido por lei.

Portanto, o titular dos dados deve ser informado da finalidade, forma e duração do processamento de dados, quem será o controlador, o compartilhamento de dados, as responsabilidades da entidade que detém os dados, e os direitos do titular dos dados devem ser disponibilizados de forma clara, adequada e ostensiva.

Além disso, os titulares dos dados pessoais podem obter do controlador

  • Confirmação do tratamento;
  • Acesso os dados em até 15 dias após a aplicação;
  • Correção de dados;
  • Anonimizar, bloquear ou excluir dados desnecessários, excessivos ou não processados;
  • Portabilidade de dados;
  • Eliminação dados, mesmo com consentimento prévio; Informações de compartilhamento de dados;
  • Informações sobre a possibilidade de não consentimento e suas consequências;
  • Retirar consentimento;
  • Revisar as decisões tomadas exclusivamente com base no processamento automatizado, incluindo definições pessoais, profissionais, de consumidor, de crédito ou de personalidade.

Se o titular dos dados pessoais for uma criança, o tratamento só pode ser realizado com o consentimento expresso de pelo menos um dos pais ou tutor legal. A exceção a essa regra é quando você precisa entrar em contato com um dos pais ou responsável legal, apenas uma vez e sem qualquer uso, ou quando você deve entrar em contato com outras pessoas para protegê-los.

Exceto nas condições estritamente necessárias, a participação em jogos e aplicativos da Internet não pode mais ser sujeita ao fornecimento de dados pessoais.

  1. Quais as situações em que o tratamento de dados pessoais é possível

Embora a lei pareça limitar as possibilidades de processamento de dados em grande medida, muitos processamentos de dados ainda podem ser realizados legalmente.

Nesse caso, a LGPD estipula que o agente de processamento pode processar os dados pessoais, principalmente com o consentimento do titular;

Mas a LGPD prevê outras possibilidades que permitem o tratamento, mesmo quando não obtido o consentimento do titular, como nos seguintes casos:

  • Cumprimento das obrigações legais do responsável pelo tratamento;
  • Na administração pública, tratamento e uso compartilhado para a implementação de políticas públicas;
  • Pesquisas realizadas por instituições de pesquisa, mas devem ser anônimas;
  • Para proteger a vida ou segurança pessoal do titular ou de terceiros;
  • Para a proteção da saúde, mas deve ser realizado por profissionais da indústria;
  • Assinatura ou pré-assinatura de um contrato com o titular;
  • Reclamações em processos judiciais, administrativos ou arbitrais;
  • Desde que os legítimos interesses do responsável pelo tratamento não afetem os direitos e liberdades básicos;
  • Proteção de crédito.

Para dados pessoais confidenciais, a regra geral é proibir o processamento, a menos que o titular execute o processamento para uma finalidade específica com consentimento claro e proeminente; sem consentimento quando for algo de extrema necessidade:

  • O controlador cumpre obrigações legais;
  • O departamento da administração pública que implementa as políticas públicas;
  • As instituições de pesquisa conduzem pesquisas anonimamente;
  • Exercer regularmente direitos em processos contratuais, judiciais, administrativos ou arbitrais;
  • Proteger a vida ou a segurança pessoal do titular ou de terceiros;
  • Supervisão de saúde, mas apenas por profissionais da área; ou
  • Garantir a prevenção de fraudes e a segurança do titular.
  1. Como obter o consentimento da maneira correta?

O consentimento deve ser obtido para um fim específico, não pode ser um consentimento geral, mas pode ser executado por qualquer meio que comprove a execução da vontade do titular, desde que evidente a necessidade.

Além do mais, após manifestação expressa do titular, o consentimento pode ser revogado a qualquer momento por meio de procedimento livre e conveniente.

O controlador do processamento de dados também terá o ônus de provar que o consentimento foi obtido, portanto, a cadeia de custódia e a autorização devem ser mantidas com muito rigor.

No entanto, se o titular divulgar explicitamente os dados, ele dará o consentimento.

No contrato de encomenda, o tratamento de dados pessoais pode ser uma condição para o fornecimento de produtos ou serviços, mas a premissa é que o titular dos dados seja notificado sobre o assunto.

Por último, se for possível celebrar um contrato com ou sem dados pessoais, o titular deve ser informado das consequências da utilização não autorizada dos seus dados, como seja a restrição dos serviços prestados ou a exibição de anúncios.

  1. Como deve ser feita a transferência de dados para o exterior?

Os dados pessoais podem ser transferidos para o exterior e, de acordo com os regulamentos LGPD, a transferência é permitida nas seguintes circunstâncias:

  • os países a serem transferidos possuam grau de proteção de dados pessoais compatível com a lei brasileira;
  • o controlador comprovar as mesmas garantias previstas na lei de proteção de dados, por meio de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos;
  • quando for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução;
  • quando for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) a autoridade nacional autorizar a transferência;
  • quando for decorrente de acordo de cooperação internacional;
  • quando for necessária para execução de política pública ou atribuição legal do serviço público;
  • o titular tiver fornecido o seu consentimento específico e em destaque; ou
  • necessário para cumprimento de obrigação legal, execução de um contrato ou exercício regular de um direito em processos.
  1. Quais são as penalidades em casos de descumprimento da LGPD?

Quem descumprir a lei estará sujeito a penalidades administrativas, que vão de advertências a 2% (dois por cento) do valor do faturamento da empresa, até 50 milhões de reais por cada infração, além da infração tornar-se pública e possível bloqueio ou eliminação de dados .

Embora a LGPD não defina o GDPR como duas faixas de multa, ele segue diretrizes semelhantes em termos de valor e vinculação com a receita da empresa infratora.

O responsável pelo tratamento que causou danos patrimoniais, espirituais, pessoais ou coletivos deve ser reparado e, quando diretamente envolvido no processamento, o ônus da prova continua invertido, o que beneficia o titular dos dados e ampara o operador.

Quando o operador não cumprir as obrigações das leis de proteção de dados ou não seguir as instruções legais do controlador, o operador será solidariamente responsável pelos danos causados ​​pelo processamento.

A fim de isentar a responsabilidade pelo processamento, a empresa deve provar que:

  • não processou os dados pessoais que lhes são atribuídos;
  • mesmo que tenha processado os regulamentos de proteção de dados, não violou os regulamentos;
  • o dano é devido totalmente aos dados do titular ou de terceiro.

Tal como acontece com a legislação anticorrupção, se uma empresa provar que implementou um plano de governança de privacidade de acordo com as boas práticas de segurança da informação e programas, políticas e procedimentos de treinamento confiáveis, pode mitigar as penalidades impostas à empresa para proteger os dados pessoais envolvendo todos os funcionários da empresa.

Por que a conformidade com a LGPD deve ser feita com o auxílio de uma ferramenta

O uso de uma ferramenta para o auxílio na conformidade com a LGPD vai além de um simples commodity, pois estamos falando aqui de uma lei que está sofrendo alterações a todo instante e exigirá ações rápidas por partes das organizações e um sistema de gerenciamento altamente eficaz para dar conta disso.

Especialmente para empresas que já existem há algum tempo, e que ao longo da existência tiveram uma relação irregular com o uso de dados, seja pela falta de cuidado ou pelo uso compulsivo sem autorizações específicas, entrar em conformidade com a LGPD será um grande desafio, ainda mais se não for possível contar com alguma tecnologia.

Pensando em todos os benefícios que uma Solução de Automação da Gestão de Privacidade como a OneTrust pode oferecer, preparamos um material para falar sobre 7 dos mais requisitados pelos usuários. Confira a seguir:

Módulos LGPD

O que é Mapeamento de Dados

O processo de mapeamento de dados, também conhecido como data mapping, é considerado uma das fases mais importantes para que ocorra a gerência de dados de maneira eficiente.

O documento de mapeamento de dados (ou planilha) deve refletir o caminho percorrido pelos dados pessoais internos da empresa, incluindo os processos e procedimentos pelos quais os dados são movimentados. Por outras palavras, qual é a sua fonte (como são captados?), A base jurídica para apoiar o tratamento destes dados pessoais, o nível de segurança da base de dados a que pertencem os dados e outras informações necessárias para analisar lacunas técnicas e jurídicas. .

Com a entrada em vigor das leis de proteção de dados (como o GDPR), o mapeamento de dados se tornou cada vez mais popular.

No Brasil, para atender aos requisitos de adequação da LGPD, é importante realizar o mapeamento dos dados, pois este documento nos dará uma visão geral de como a empresa lida com as questões de privacidade e segurança da informação.

Quais são os principais objetivos do mapeamento de dados?

Um dos principais objetivos do mapeamento de dados é diagnosticar como a empresa lida com a privacidade e a segurança das informações de seus clientes, funcionários e parceiros terceirizados para atender aos requisitos técnicos. O artigo 37 da LGPD estipula que os controladores e operadores devem registrar as operações de processamento de dados pessoais que realizam.

Neste caso, é válido lembrar que embora existam soluções, como a OneTrust que podem ser bastante úteis no processo, o mapeamento de dados é abrangente e requer análises humanas mais aprofundadas. Além disso, os dados físicos também precisam ser mapeados, um dos principais pontos não cobertos por essas ferramentas.

Como elaborar um mapeamento de dados?

Vários departamentos da empresa devem preparar o mapeamento de dados com assistência técnica e jurídica para analisar possíveis vulnerabilidades descobertas.

Estes são alguns dos pontos importantes que devem constar em um mapeamento de dados.

  • Tema

Do que se tratam os dados.

  • Item

O tipo de dado que está sendo mantido ou solicitado.

  • Tipo de Dados

Categoria de dados de transações neste fluxo (por exemplo, registro, transação, especial, sensível, manual, etc.)

  • Volume de Dados

A quantidade de dados e a frequência do tráfego neste fluxo (por exemplo diário, semanal, mensal, etc.)

  • Etapas do fluxo de dados

Descrição das etapas do processo: coleta, armazenamento, saneamento, concentração, processamento, segmentação, inferência, transferência e descarte.

  • Tecnologias

Aponte a principal tecnologia usada neste fluxo de dados. (Por exemplo: sistema, aplicativo, processo de suporte de banco de dados, etc.)

  • Locais de Armazenamento

Indica onde os dados são coletados, armazenados, processados ​​ou processados. Nesse momento, você deve indicar se é interno ou externo.

  • Origem dos Dados

Indique as principais fontes de dados (entrada) e canais de captura de dados (por exemplo, sites, aplicativos, entidades, SAC, parceiros, empresas relacionadas, etc.)

  • Campanhas de Marketing

Informe como lidar com dados pessoais em atividades de marketing. Especifique que tipo de dados pessoais são usados.

  • Compartilhamento de dados com parceiros

Indique os principais parceiros com os quais os dados são compartilhados – parceiros de negócios ou parceiros de tecnologia / dados (por exemplo, fornecedores, escritórios de contabilidade terceirizados, emissores de NFe, etc.)

  • Empresas coligadas

Indica as empresas afiliadas do grupo econômico cujos dados são compartilhados entre si.

  • Localidades do tratamento

Especifique o país, estado e região onde a empresa opera.

  • Transferência Internacional de dados

Plataformas de cloud (ex: amazon aws, microsoft azure, google cloud);

Data centers terceirizados;

Software terceirizados;

Transferência de dados pessoais para a sede da empresa no exterior.

  • Base legal

Indique a base legal para o processamento dos dados relativos ao processo.

  • Política de Privacidade

A política de privacidade do processo descrito foi atualizada e está em conformidade com os requisitos LGPD? Pode ser usada em todas as etapas da coleta de dados?

  • Dados de menores de idade

Determine se os dados pessoais de menores (18 anos) são coletados durante o processo de análise. Verifique se todos os registros têm uma data de nascimento válida e informada.

  • Retenção e extinção de dados

Determine estratégias de retenção e extinção (descarte) de dados. Caso contrário, avalie as boas práticas do setor empresarial por categoria de dados.

  • Segurança da Informação

Determinar as principais medidas de controle de segurança da informação estabelecidas para proteger os dados coletados, armazenados, processados, compartilhados e transmitidos.

  • Direito dos Titulares

O processo de avaliação permite que os proprietários de dados pessoais processados ​​exerçam seus direitos de acordo com as regras de proteção de dados.

Gerenciamento de Riscos

As empresas precisam entender melhor as principais tendências em gestão de riscos em projetos com armazenamento de dados e práticas de segurança para serviços legados e baseados em nuvem.

Atualmente, os dados são reconhecidos como um dos elementos mais importantes em uma organização, seja para melhorar a experiência do usuário, inovar, fornecer produtos customizados ou construir relacionamentos mais próximos com os clientes.

Relacionado a isso está que, no Brasil, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em 2020, tem suscitado debates entre empresas que buscam entender como se adaptar a essa nova situação.

Relacionado a isso está que, no Brasil, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em 2020, tem suscitado debates entre empresas que buscam entender como se adaptar a essa nova situação.

O que é o gerenciamento de riscos?

Segundo dados da pesquisa do " Global Cloud Data Security Study" de 2018, encomendado pelo Ponemon Institute (Gemalto) e publicado na revista Convergência Digital, a partir das conclusões de entrevistas com 3.200 profissionais de segurança de TI, as empresas brasileiras são as menos Uma das empresas prudentes compartilha dados confidenciais com terceiros.

Embora 77% das organizações em todo o mundo reconheçam a importância de melhorar a eficácia das medidas de segurança (como soluções de criptografia), a grande maioria (75%) acredita que é difícil cumprir os requisitos regulamentares relativos à privacidade e proteção de dados. Ambiente digital.

Quando se trata de dados, há dois significados para o item, incluindo dados pessoais ou dados confidenciais: privacidade e proteção. Em relação à privacidade, a LGPD estabeleceu uma série de requisitos para que as empresas possam obter, processar, armazenar e divulgar dados de forma a cumprir a legislação.

Em relação à proteção, ou seja, à segurança da informação, todo projeto envolvendo dados deve ter a preocupação de como proteger essas informações durante o armazenamento ou a transmissão.

Portanto, é necessário garantir que as informações sejam completas, ou seja, não tenham sido modificadas de nenhuma forma, sejam confidenciais e que somente o responsável pela visualização das informações possa acessá-las e utilizá-las quando apropriado.

Nesse caso, ainda é necessário contemplar a qualidade dos dados e garantir que apenas as informações relevantes sejam utilizadas no plano estratégico da operação.

A gestão de riscos do projeto inclui a análise do objetivo final de usar dados para evitar danos à reputação da empresa e à gestão financeira.

Deve ser baseado em uma estratégia de recuperação de desastres, mas deve ser exigido antes que algo aconteça. O plano está diretamente relacionado ao conhecimento, compreensão dos riscos e ameaças enfrentados pelo ambiente de TI, suas vulnerabilidades e o impacto na organização.

Quais riscos são relacionados com a armazenagem de dados?

O ambiente de TI enfrenta muitas ameaças internas ou externas, que podem afetar direta ou indiretamente a integridade e o armazenamento de dados. A perda pode ser:

  • Vazamento de informações e impacto social na reputação de indivíduos e empresas;
  • Perda de dados, devido à parada do processo ou até mesmo o término da operação.

Os dados armazenados em discos rígidos ou servidores antigos são muito vulneráveis ​​a ataques e podem ser afetados pelos seguintes fatores:

  • mau funcionamento de hardware;
  • espaço de armazenamento insuficiente faz com que os arquivos sejam sobrescritos;
  • falha de eletricidade;
  • roubo;
  • acidentes (incêndios, clima severo, desastres naturais – não podem ser evitados pela espontaneidade, mas afetarão gravemente a infraestrutura da empresa);
  • ataque de vírus ou malware;
  • exclusão acidental de arquivos, etc.

Portanto, as empresas precisam não só adotar um plano de recuperação de desastres, mas também adotar todo o escopo, visando ganhar a capacidade de assumir efetivamente os eventos e tomar medidas preventivas.

Por outro lado, a solução fornecida pela nuvem para os usuários prioriza a disponibilidade e integridade dos dados – no servidor nuvem, eles podem ser armazenados, visualizados, editados e recuperados quando necessário.

O que não significa que não estão imunes a outros riscos.

Por exemplo, os provedores de serviços de armazenamento em nuvem se recusam a assumir qualquer responsabilidade pelos dados que armazenam em seus data centers. Portanto, os usuários devem:

  • Mantenha uma cópia de segurança;
  • Informações criptografadas;
  • Se o serviço estiver temporariamente ou permanentemente indisponível, mantenha um estado de emergência.

Além das vulnerabilidades relacionadas a ataques de rede e ataques de hackers ou situações em que os usuários não podem acessar nenhum de seus serviços ou informações armazenadas, existe a possibilidade de alguns provedores terem de fechar seus negócios.

Como evitar riscos no gerenciamento de projetos

Os gerentes de TI precisam trabalhar muito para garantir que os dados permaneçam seguros e fáceis de recuperar em caso de falha. Para garantir a segurança da informação, é importante incluir rotinas diárias de backup nessa estratégia.

Essa é a premissa mais básica para minimizar os riscos de armazenamento local e é extremamente importante garantir que todos os funcionários cumpram rigorosamente esta política.

Empresas que optam por serviços em nuvem normalmente atuam em três frentes:

  • Criptografia de todos os dados armazenados;
  • Realizar réplicas dos buckups em outros servidores;
  • Compreender o SLA (Service Level Agreement) estabelecido com o provedor de serviços em nuvem.

Além disso, é necessário garantir que os funcionários não armazenem dados privados em serviços em nuvem, ou que muitos profissionais tenham acesso irrestrito às informações da empresa – por esse motivo, políticas rígidas de identidade e acesso devem ser implementadas.

Como gerenciar dados para garantir a sua melhor utilização?

Primeiramente, é necessário mapear os dados que fazem parte do projeto e classificar os dados por tipo e nível crítico, ou seja, pelo impacto que a perda de dados pode causar.

Também deve-se fazer a identificação de riscos, e existem duas camadas para isso:

  • security by design;
  • privacy by design.

As empresas que podem aplicar esses dois processos garantirão que os riscos foram identificados e resolvidos para evitar qualquer dano à sua segurança. Boas práticas de segurança também devem ser seguidas, tais como:

  • frameworks — COBIT, por exemplo;
  • normas de padrão internacional, como a Norma Internacional de Gestão de Segurança da Informação — ISO/IEC 27001;
  • políticas internas, com controles específicos dos sistemas e restrição de acesso;
  • treinamentos, que podem ser efetivados para que o manuseio do dado seja adequado.

Também é importante prestar atenção à conformidade com o LGPD do Brasil e o GDPR (Regulamentações gerais de proteção de dados) da UE para que o uso de dados esteja em conformidade com as leis daquele país.

Recomenda-se usar o gerenciamento de riscos para governança de dados corporativos na estrutura diária da empresa e usar as estratégias de tecnologia e arquitetura disponíveis para big data e análise.

Você também deve tomar decisões informadas com base nos dados coletados, porque se a empresa não sabe como usar as informações, não é suficiente obter muitas informações.

Consentimento de Cookies

Seu site usa cookies? São muito comuns na Internet, e esses pequenos arquivos são responsáveis ​​por armazenar os dados dos usuários que visitam suas páginas da web.

Eles personalizam a experiência do usuário e facilitam o transporte de informações entre páginas do seu domínio (como por exemplo: manter os produtos selecionados no carrinho em lojas online ou guardar preenchimentos de formulários).

Se o seu site usa esse tipo de ferramenta, lembre-se de que é necessário gerenciar os cookies de forma adequada para que sua empresa cumpra a Lei Geral de Proteção de Dados (LGPD).

A lei entrará em vigor em agosto de 2020 e empresas inadequadas podem enfrentar multa de até 2% do faturamento anual ou 50 milhões de reais.

A permissão de cookies é realmente necessária para a LGPD?

Os cookies permitem que o seu site acesse informações sobre o visitante, o que pode configurar uma violação da privacidade destes usuários.

Portanto, de acordo com a Lei Geral de Proteção de Dados, cada usuário deve conhecer os cookies utilizados pelo site e poder escolher se autoriza o seu uso ao entrar no site.

Com essa permissão, a comunicação entre a empresa e os usuários ficará mais clara, e os clientes saberão, por exemplo, por que veem os anúncios de seu negócio nas redes sociais após a visita ao site, afinal, tais anúncios exigem cookies.

O usuário também terá ciência de que o histórico e o comportamento de uso serão acessíveis para a empresa.

Antes de pensar em não usar esta ferramenta, por favor, entenda que os cookies são muito importantes para melhorar a experiência do visitante, o que pode economizar tempo.

Além disso, assim que tiver essas informações, você terá os dados necessários para o marketing digital, principalmente dados sobre visitas a sites.

Você será capaz de compreender o tempo gasto em cada página e dados importantes sobre a origem da visita.

Portanto, a melhor forma é aproveitar ao máximo os cookies com o consentimento do usuário e uma boa comunicação.

Faça seus visitantes compreenderem a importância dessas informações e ter a certeza de que elas são seguras para sua empresa.

Além disso, fornecer aos usuários uma forma de permitir apenas os cookies exigidos pelo site e também saber como excluir esses dados de navegação.

Gestão de Consentimento de Uso de Dados

O consentimento de dados foi um dos impactos mais notáveis das leis da proteção de dados, desde a aprovação da GDPR. Isso porque desde então, a internet como um todo passou a se preocupar e a solicitar o consentimento de uso de dados nos sites, incluindo aqueles que não faziam parte da união européia.

Mas especialistas afirmam que essa solicitação de consentimento inicial é feita da maneira errada, isso porque para evitar penalidades, o consentimento deve ser dado durante toda a vida daqueles dados na organização, especialmente no tratamento de dados.

Até porque muitas ações exigem consentimentos diferentes para serem executadas.

A Lei Geral de Proteção de Dados prevê uma série de requisitos que as empresas brasileiras devem cumprir, sendo que o principal é o consentimento para o processamento dos dados e estabelecendo a possibilidade de:

concessão,

permissão para armazenamento,

permissão para tratamento

Nessas duas leis, a coleta e o uso de dados pessoais devem seguir as regras de processamento. Portanto, a empresa necessita de uma base legal para esse processamento e, na maioria das vezes, a forma é através da obtenção do consentimento livre, específico, informado e explícito do usuário.

No caso de sites, por exemplo:

Considerando que alguns sites recebem milhões de visitantes todos os dias, a necessidade de gerenciar esse processo é fundamental, pois facilita o processo de obtenção de consentimento e garante o cumprimento das mais rígidas leis de proteção de dados LGPD e GDPR.

A empresa pode sentir a necessidade de implementar um departamento (ou mesmo um encarregado) para gerenciar o consentimento para processamento de dados. Além disso, uma série de atualizações deve ser feita na política de privacidade.

O que a LGPD diz sobre consentimento para tratamento de dados?

De acordo com a lei, os titulares dos dados devem expressar o seu consentimento para o tratamento dos dados com uma declaração espontânea, informada e clara – o titular dos dados concorda com o tratamento dos seus dados pessoais para um fim específico.

Nessa autorização, ele também o informou sobre os dados para tratamento autorizado.

Deve ficar claro para que a empresa usará os dados, ou seja, se o usuário fornecer dados pessoais para criar um cadastro em uma loja virtual e os dados forem reutilizados por outros departamentos (como marketing) para promover a oferta, essas reutilizações devem ser consentidas.

Além disso, a lei estabelece que se os usuários mudarem de ideia, eles podem solicitar a exclusão de seus dados a qualquer momento – essa pode ser uma das principais mudanças que acompanham a LGPD.

Dados anônimos não precisam de consentimento

Agora, um detalhe importante sobre esse processo é o fato de que dados que não servem para identificar pessoas (anonimizados) não necessitam de consentimento, pois não são mais respaldados pela LGPD, já que perdem tudo o que os configuraria como dado pessoal.

Um dado só é considerado anônimo quando não pode, em nenhuma circunstância, servir para identificar o titular ou passar por algum processo de reversão.

O que é uma Plataforma de Gestão de Consentimento?

Com todas essas novas responsabilidades em relação ao consentimento de dados, a ação manual do processo tornou-se obsoleta, sendo que isso gerou uma grande necessidade no mercado, o que gerou a oportunidade para a criação de diversas soluções e plataformas que propõem a gestão de consentimento de dados.

A plataforma de gestão de consentimento, também conhecida como CMP, é uma ferramenta para gerir o consentimento de milhões de usuários, assim garantindo que a empresa possa utilizar os dados para os seus fins (explícitos no consentimento).

O CMP pode usar as informações da política de uso de dados do site para criar uma janela pop-up personalizada para que os usuários concordem com o uso de cookies; fornecer uma interface para que os usuários escolham como usar seus dados e possam acessar as informações aprendidas no endereço; além de organizar o processo de forma otimizada para que a empresa cumpra suas obrigações com a LGPD.

É necessária a contratação de uma CMP?

Não, assim como a LGPD não está condicionada a uma plataforma, mas ao mesmo tempo é inimaginável para empresas que lidam com um grande volume de dados o gerenciamento humano, ao não ser que isso envolva um grande número de pessoas envolvidas no processo.

E é por isso que soluções como a OneTrust estão preparadas para atender essa demanda, pois é um dos recursos mais desejados e importantes para toda organização que quer estar em conformidade com a Lei Geral de Proteção de Dados.

Integrações

Em um mundo globalizado e especialmente em uma área concorrida com a área de tecnologia, as empresas são privilegiadas com uma série de alternativas quando o assunto envolve solução para problemas.

E para atender as demandas na velocidade e com a qualidade necessária, os gestores devem optar pelas melhores soluções para seu cenário, assim como avaliar uma série de fatores como o investimento necessário para obtenção de determinado software.

Isso resulta em um cenário vastamente comum: as empresas possuem soluções de diferentes fabricantes para atender suas diferentes soluções, pois aqui o que vale é a qualidade e a melhor oferta, tornando a praticidade da integração entre ferramentas de um mesmo fornecedor um ponto secundário neste cenário.

Mas embora isso represente números melhores para a empresa, também pode significar menos produtividade e mais estresse de operação quando uma empresa possui soluções que precisam funcionar de maneira integrada mas que simplesmente não combinam.

E essa necessidade multiplataforma é totalmente responsável por escolhas convenientes de um mesmo fornecedor por uma série de soluções relacionadas, sendo aqui menos sobre as vantagens macro da organização e mais sobre a redução de problemas, o dia a dia do uso de algumas ferramentas.

Porém essa falta de poder de escolha certamente não é uma característica desejada por nenhum gestor.

Com o crescimento de startups e até mesmo novas soluções de grandes corporações, o interesse geral passou a ser o benefício pioneiro de algumas dessas ferramentas, mas também os fabricantes já aprenderam a valorizar o poder de integração como um feature.

A demanda por profissionais capacitados para manipular essa associação entre recursos também cresceu. Sob o título de “Analista de Integrador de Sistemas”, o profissional é capaz de criar pontes para que as empresas recuperem esse poder de escolha e possam ter a interface dos sonhos ao aproveitar recursos de diferentes fabricantes.

O que é importante para uma integração de sistemas segura e funcional?

Para realizar a integração segura do sistema, alguns requisitos são necessários para ajudar a atender às necessidades da empresa.

Escalabilidade de memória

Conforme o número de transações aumenta, também aumenta a quantidade de dados.

Portanto, a melhor maneira de garantir um alto nível de desempenho e confiabilidade é usar uma arquitetura de computação in-memory (dados na memória do computador), que distribui o processamento por vários núcleos com memória dedicada e maior poder de processamento.

Dessa forma, se um núcleo falhar, o sistema integrado irá alternar automaticamente o processamento para o outro núcleo para evitar perda de dados. Conforme os requisitos de processamento aumentam, o sistema precisa de mais núcleos e escalas conforme necessário.

Monitoramento em tempo real e registro dados fixo

Devido à grande quantidade de informações que passam pelo sistema, as empresas precisam ser capazes de monitorar seus processos e transações em tempo real.

Aqueles que usam uma plataforma integrada e podem restaurar a capacidade de executar vários processos em paralelo e automaticamente terão menos problemas porque gargalos e erros podem ser eliminados eletronicamente.

No entanto, essas plataformas integradas também precisam ter um banco de dados operacional completo (ODS) que pode registrar dados e metadados para revisão futura por auditores e agências regulatórias.

Segurança na integração

Todos os cuidados devem ser tomados para manter a privacidade, confidencialidade e segurança das informações, pois as ameaças podem vir de todos os lados, incluindo concorrentes, funcionários decepcionados (atuais ou antigos), governos estrangeiros e hackers.

Portanto, os sistemas integrados devem estar em conformidade com as melhores práticas em relação à segurança e integridade dos dados. A função de segurança, a função de criptografia e o suporte ao protocolo TLS (Transport Layer Security Protocol) para atender aos padrões de autenticação e autoridade do usuário são requisitos essenciais.

Funcionalidades customizáveis

O sistema integrado precisa ter funções bem projetadas e personalizáveis, para que possa se conectar a vários sistemas, manipular várias nuvens e gerenciar dados de acordo com o fluxo de trabalho do usuário e as necessidades da empresa da organização.

Isso pode promover e acelerar a conclusão de projetos de integração, reduzir altos custos de mão de obra e profissionais e aumentar o retorno sobre o investimento da plataforma.

Por meio da integração de sistemas para conectar informações de forma mais rápida e eficaz, as empresas compartilharão mais facilmente as informações com funcionários, fornecedores, parceiros e clientes.

Além disso, terá mais capacidade para superar os desafios impostos pela legislação relativa a este segmento de mercado e aumentar a sua competitividade no mercado.

Direitos dos Titulares de Dados

Resolveremos as questões delicadas relacionadas ao uso de dados do usuário na nova legislação. Os direitos do usuário são protegidos por esta lei, e os pontos-chave relevantes que a empresa precisa se antecipar a fim de proteger os direitos dos usuários são apresentados, evitando assim possíveis dores e seus clientes avancem juntos.

Titular de dados

É a pessoa física, identificada ou identificável, a quem os dados se referem.E portanto, seja direta ou indiretamente, pode portar o certificado de identidade de seu titular.

Anonimização

Utilizar os meios técnicos razoáveis ​​e disponíveis no processo de tratamento para fazer com que os dados percam a possibilidade de se relacionarem direta ou indiretamente com o indivíduo.

Os titulares dos dados têm os direitos básicos de liberdade, intimidade e privacidade, mas lembre-se que o STF (Supremo Tribunal Federal) reconheceu recentemente o direito básico de proteção de dados pessoais.

Esses direitos foram estipulados em nossa Constituição Federal e até mesmo em outra legislação, como a Lei Civil, a Lei de Defesa do Consumidor e a Lei Geral de Proteção de Dados (LGPD). Essas leis reforçam esses direitos fundamentais e acervos de dados relativos às suas informações Alguém.

Um exemplo importante nos últimos meses é a regulamentação do Banco Central do Open Banking por meio da circular 4.015 / 20, que estipula o consentimento dos clientes envolvidos na utilização de seus dados.

Este é apenas um exemplo, ilustra o diálogo entre diferentes fontes dentro do mesmo ordenamento jurídico, na verdade, o titular dos dados é a pessoa autorizada quanto à utilização dos dados.

Voltando ao nosso tema principal, o titular dos dados tem o direito de acessar livremente as informações.

Esse acesso gratuito está relacionado ao princípio da qualidade (ou seja, a veracidade dos dados pessoais). Portanto, os titulares dos dados podem solicitar alterações, correções e atualizações em seus dados pessoais.

No que diz respeito ao consentimento, o consentimento do titular dos dados em relação aos seus dados deve ser claro, proeminente e baseado no objetivo declarado, nomeadamente uma simples “caixa de verificação” no ecrã, que utiliza os termos e condições da política de privacidade.

Não, para o titular dos dados, deve ser objetivo e exigir consentimento. É importante ressaltar que o titular deve ser informado da recusa de consentimento.

Se ele pode levantar uma objeção, se ele recusa certos consentimentos para certos fins, então os fatos de sua recusa em fornecer esse consentimento também devem ser esclarecidos.

A retirada do consentimento deve ser facultada da mesma forma que o consentimento, ou seja, cómodo e gratuito, para que o titular dos dados tenha as informações para seu uso imediatamente após o acesso.

A revogação entrará em vigor a partir do momento em que o utilizador elimine o seu consentimento, a menos que o titular dos dados solicite a eliminação das informações dos dados pessoais da base de dados.

Mas atente-se!

É importante falar sobre o vício. O vício por consentimento ocorre quando o titular dos dados é enganado, enganado, vitimado por fraude ou induzido em erro por publicidade.

Nessas situações específicas, as capacidades do titular dos dados foram comprometidas porque os cenários que ele enfrentou não correspondem aos fatos.

Nessas circunstâncias específicas, o controlador deve ter muito cuidado para fornecer e coletar o consentimento específico do titular para cada finalidade estabelecida, pois o ônus da prova cabe a ele.

Em outras palavras, você é obrigado a provar que não usa a autorização geral do titular para clicar no item e dar o consentimento sem realmente ler o conteúdo escrito, pois para todos os efeitos, a LGPD considera estas autorizações gerais vazias.

Um importante direito estabelecido no LGPD é estritamente respeitado por controladores e processadores, e sua finalidade é processar os dados pessoais coletados.

Seja no contrato, nos termos de uso ou na política de privacidade, o titular dos dados deve indicar claramente a finalidade da coleta de seus dados pessoais.

A portabilidade de dados é um direito que vem previsto pela LGPD a respeito do titular de dados que deseja migrar os seus dados pessoais.

Assim, quer esteja a deslocar-se por insatisfação com o serviço quer porque a nova empresa lhe proporcionará outras vantagens, goza da garantia desse direito.

A anonimização (uma tecnologia que separa os dados de um determinado titular dos dados) de que tratamos anteriormente também é direito do titular dos dados, assim como o titular dos dados tem o direito de solicitar o bloqueio ou mesmo a exclusão dos seus dados pessoais.

Em suma, o titular dos dados tem direito ao livre acesso, à portabilidade dos dados e à retirada do consentimento. O titular dos dados tem o direito de não dar o consentimento, caso não concorde, deve ser informado das consequências da sua recusa.

Respostas a Incidentes

A LGPD, Lei Geral de Proteção de Dados não traz uma definição específica do que seria um incidente de segurança, contudo, a GDPR, General Data Protection Regulation da União Europeia, a define como:

“Destruição (acidental ou não), transmissão, perda, alteração, divulgação ou acesso não autorizado a dados pessoais causado por qualquer outro tipo de processamento causado por violação dos regulamentos de segurança”.

Portanto, este é um evento que pode acontecer de várias maneiras. Além da óbvia violação de privacidade, existem possíveis consequências, que podem até ameaçar vidas, dependendo de quem tem acesso aos dados vazados ou de quem tem acesso As informações às quais eles têm acesso.

Por essas razões, LGPD e GDPR têm regulamentos específicos de prevenção e resposta quando tais incidentes ocorrem.

Como a LGPD nos ajuda na prevenção de incidentes de segurança

Segundo trecho do artigo 46, da LGPD:

“O agente de processamento deve tomar medidas de segurança, técnicas e de gestão para proteger os dados pessoais de acesso não autorizado e destruição acidental ou ilegal, perda, alteração, comunicação ou qualquer forma de tratamento impróprio ou ilegal.”

Embora a lei não defina claramente o que é um incidente de segurança, ela afirma claramente que os agentes de processamento (controladores e operadores) devem tomar medidas para proteger os dados pessoais que processam. Na verdade, de acordo com a única passagem do art. 44, se o controlador e / ou o operador não tomar as medidas de segurança previstas na técnica, eles podem ser responsabilizados pela perda causada pela violação da segurança dos dados, o que é previsto no art. 46.

De acordo com o art. 47, a obrigação de garantir a segurança das informações prestadas pelo agente de processamento também se estende a outras pessoas que intervêm em determinadas etapas do processamento de dados.

E o mesmo é reforçado no art. 49: “Os sistemas de processamento de dados pessoais devem ser construídos para atender aos requisitos de segurança, padrões de boas práticas e governança e princípios gerais estabelecidos nesta lei e outros padrões regulamentares”.

Esses outros padrões regulatórios podem ser aprimorados ao longo do tempo pela Autoridade Nacional de Proteção de Dados.

A ANPD poderá “analisar e assim definir os padrões mínimos de segurança para que todos os itens da LGPD sejam cumpridos”, então é esperado que sejam criadas normas mais específicas a longo prazo.

O art. 50 da LGPD incentiva os controladores e operadores a:

“formular os padrões de boas práticas e governança de dados para que seja possível manter um bom nível de organização, o modo de isso ser feito, todasas etapas; incluindo imprevistos como reclamações e pedidos de titulares, mudanças nas normas de segurança e todas as obrigações técnicas que podem chegar no decorrer da vigência da lei, sempre pensando no que é melhor para manter os dados pessoais seguros”.

Algo de extrema importância dentro das práticas de medidas preventivas, é a criação do DPIA (Data Protection Impact Assement na GDPR*), um relatório de impacto à proteção de dados pessoais.

Na LGPD, esse relatório representa um documento do controlador em que ele pode descrever todos os processos implementados no tratamento de dados, e porque eles são importantes para proteger os dados pessoais ou aos seus titulares de maneira direta ou indireta. Atualmente, esse documento só é mandatório quando solicitado.

O que fazer diante de um vazamento de dados

Se um incidente de segurança for identificado, as providências a serem tomadas são muito importantes para não agravar a situação.

O artigo 48 da LGPD diz que: “O responsável pelo tratamento deve comunicar à autoridade nacional competente e ao titular os incidentes de segurança que possa representar um risco ou dano significativo ao titular.”

De acordo com o mesmo artigo, a comunicação deve ser realizada “em prazo razoável, de acordo com o que for definido pela autoridade nacional” – o que no momento ainda não foi estipulado na lei brasileira.

Além disso, é necessário mencionar as seguintes informações sobre o que aconteceu:

  1. Descreva a natureza dos dados pessoais afetados;
  2. Informações sobre o titular;
  3. Apontar a tecnologia e as medidas de segurança utilizadas para proteger os dados e observar os segredos comerciais e industriais;
  4. Riscos relacionados ao incidente;
  5. Se a comunicação não for imediata, o motivo do atraso; e
  6. Medidas que foram ou serão tomadas para reverter ou mitigar o impacto das perdas.

Portanto, de acordo com o art. 48. A autoridade nacional competente irá verificar a gravidade do incidente e pode decidir tomar certas medidas, como: “Divulgar amplamente os fatos na mídia” e “tomar medidas para reverter ou mitigar o impacto do incidente”.

A Lei nº 8.078, de 11 de setembro de 1990 (“Código de Defesa do Consumidor”) determina que:

“Depois de entrar no mercado consumidor, os fornecedores de produtos e serviços que estão cientes dos perigos que existem, devem notificar imediatamente as autoridades competentes e os consumidores através de anúncios.”

Portanto, em caso de incidente de segurança, os consumidores devem ser informados que, dependendo da situação, a segurança dessas pessoas pode estar em perigo.

Conforme mencionado anteriormente, além de outros padrões, os sistemas usados ​​para processar dados pessoais devem atender aos requisitos de segurança, padrões de boas práticas e governança e aos princípios gerais especificados na LGPD.

Quando a autoridade nacional investiga a gravidade do incidente, ela considerará o nível de segurança fornecido para o processamento de dados para determinar se as penalidades serão impostas.

Após os procedimentos administrativos das autoridades nacionais, se o agente de tratamento determinar a responsabilidade, podem ser impostas sanções de acordo com o artigo 52. da LGPD.

Conforme já mencionamos, as sanções incluem advertências (indicando prazos para tomada de ações corretivas), multas diárias, multas únicas de até R$50 milhões, publicação de infrações e bloqueio de dados pessoais relacionados a crimes até que seja legalizado e os dados pessoais mencionados no crime sejam apagados.

Portanto, é possível perceber que este problema é muito grave, não só pelas possíveis consequências de um incidente de segurança, mas também pela possível aplicação de sanções.

A melhor maneira de evitar incidentes é notificar a si mesmo, lembrar as responsabilidades que você precisa assumir ao processar dados e colocar os requisitos mínimos de segurança da informação em prática:

  1. Demonstrar o compromisso do controlador em adotar processos e políticas internas para garantir a total conformidade com as regras e boas práticas relacionadas à proteção de dados pessoais;
  2. Não importa como você os coleta, a lei se aplica a todo o conjunto de dados pessoais sob seu controle;
  3. Adapte-se à estrutura, escala e quantidade de suas operações e à sensibilidade dos dados processados;
  4. Formular políticas adequadas e medidas de salvaguarda com base em uma avaliação sistemática dos impactos e riscos da privacidade;
  5. Visa estabelecer uma relação de confiança com o titular por meio de ações transparentes e garantir o mecanismo de participação do titular;
  6. Integrar-se à sua estrutura de governança geral e estabelecer e aplicar mecanismos de monitoramento interno e externo;
  7. Conte com a resposta a incidentes e planos de remediação; e
  8. Ele é atualizado continuamente com base nas informações obtidas no monitoramento contínuo e na avaliação regular.

Suporte Especializado

Com o avanço da tecnologia, é quase impossível encontrar uma empresa que não utilize soluções técnicas em seus processos.

Para que essas ferramentas funcionem bem e não se perca o investimento na área, é fundamental contar com um suporte de TI eficaz.

Ainda existem pessoas que pensam que investir em TI é caro e, portanto, apenas grandes organizações podem fazê-lo.

No entanto, um bom suporte depende mais de planos e estratégias do que de grandes investimentos.

Por que é importante ter um suporte de segurança da informação?

A equipe de suporte é responsável por garantir que as demais equipes da organização tenham sempre as ferramentas e os sistemas de TI em pleno funcionamento.

Deve também ajudar a estabelecer as melhores práticas para o uso dessas ferramentas e estabelecer processos eficazes e seguros.

Confira quatro das atribuições dessa área:

  1. Resolver problemas de infraestrutura – servidores, estações de trabalho, recuperação de dados, configuração de rede, planos de backup, etc.;
  2. Garantir a qualidade e segurança do ambiente de TI, realizar monitoramento e outras operações necessárias;
  3. Garantir a qualidade e segurança do ambiente de TI, realizar monitoramento e outras operações necessárias;
  4. Garantir a disponibilidade, estabilidade e atualização constante do ambiente de aplicação, software, hardware e equipamentos da região.

Dessa forma, o suporte de TI pode ajudar as organizações a continuar funcionando sem problemas e garantir que os funcionários possam executar as tarefas sem problemas.

Além disso, ajuda a evitar erros que afetam seu funcionamento e resultados.

Quais erros podem ser evitados?

Além disso, ajuda a evitar erros que afetam seu funcionamento e resultados.

Sem profissionais qualificados, a empresa terá que entrar em contato com um terceiro e aguardar a resolução da falha.

A equipe também garante que os funcionários não utilizem as licenças de forma errada, o que pode gerar problemas jurídicos para a organização, como o uso de softwares piratas.

Por fim, a equipe de suporte evitará a baixa produtividade dos profissionais por não conhecerem os sistemas e plataformas utilizadas no workflow. Isso ocorre porque eles fornecem treinamento e informações para educar os funcionários.

Quais as vantagens de terceirizar o suporte de segurança da informação?

Empresa pode focar na estratégia

Ao terceirizar o suporte de TI, a área técnica pode se concentrar em questões estratégicas de negócios, como o desenvolvimento de soluções internas. Não é mais necessário cuidar das atividades operacionais que os profissionais despendem.

Equipe em constante treinamento

Como dissemos, um bom suporte deve ter profissionais bem treinados. São essenciais para resolver os mais diversos problemas e dúvidas dos colaboradores de forma ágil e eficiente. Ao contratar uma empresa especializada em suporte, você deve garantir que essa seja a informação de todos os seus operadores.

Gestão de desempenho

As empresas de terceirização geralmente têm SLAs definidos que a empresa pode rastrear. Dessa forma, é fácil avaliar os dados de desempenho do suporte contratado.

Amplitude e atualização tecnológica

Outro benefício que essas empresas oferecem é o acesso a tendências e inovações tecnológicas que podem melhorar os processos de TI.

Menos custos

Com a terceirização ocorre a eliminação de várias despesas da organização, como com recrutamento e seleção, contratação, treinamento, taxas, licenças, férias, estações de trabalho e equipamentos. Essas despesas tornam-se despesas da empresa contratada.

Investimento fixo

Além de reduzir custos, o investimento em suporte também é previsível. Isso é importante para manter um bom controle das despesas organizacionais.

Segurança da Informação gera valor para o negócio

Por fim, a terceirização garante que a área será de qualidade e eficiente.

Portanto, ao invés de gastar mais dinheiro, deve passar a criar valor para a empresa e seus colaboradores, garantindo que eles tenham sempre as melhores ferramentas disponíveis para o seu trabalho.

Ter um bom suporte em segurança da informação é essencial para o sucesso de qualquer negócio. Por isso, é necessário entender a importância desse campo e encontrar formas de otimizá-lo.

Conte com a Compugraf na segurança e privacidade de sua empresa

O que falta para sua empresa estar segura, e em que momento de conformidade com a LGPD vocês se encontram? Seja qual for os seus principais desafios, a Compugraf possui uma equipe especialista no assunto para auxiliar a sua empresa nessa importante transformação de processos.

Conte com a gente!

LGPD
Read more
  • Published in Segurança da Informação
No Comments

Como Funciona a Classificação de Dados na LGPD

quarta-feira, 09 setembro 2020 by Rodrigo Santos

A classificação de dados na LGPD é um importante processo para garantir a conformidade com a lei e ter maior poder de gerenciamento sobre os dados

classificação de dados na lgpd

A classificação de dados na LGPD funciona como um processo focado na garantia do nível de adequação de proteção de dados. Isso é baseado na ISO 27001 e com isso traz o valor, criticidade e todos os requisitos legais que envolvem essas informações.

Neste artigo falamos principalmente sobre classificação de dados na LGPD, mas caso você queira saber mais sobre o assunto, não deixe de conferir nosso artigo mais completo sobre o tema.

A princípio, essa classificação de informação tinha o objetivo de mitigar o vazamento de dados, ou impedir o acesso inadequado pela falta de informação sobre os tipos de dados que estariam disponíveis.

Mas a classificação de dados pode na verdade ser essencial para ajudar as empresas a manterem-se alinhadas a Lei Geral de Proteção de Dados, que define dentre outras coisas as práticas corretas de coleta, tratamento, proteção e publicação de dados e sensíveis de pessoas físicas.

Quanto mais organizada e madura estiver a classificação de dados de uma empresa, melhor será o tratamento da informação e menor são as chances de sofrerem com algum tipo de crise envolvendo a LGPD.

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

classificação de dados na LGPD

A classificação de dados na LGPD

A classificação de dados pode ser feita pelo setor de TI da empresa, por estar muito ligada a segurança de dados, mas é recomendável que seja feita em conjunto com o setor jurídico ou o próprio DPO.

Por via de regra, o profissional que cria e manipula uma informação é o responsável por sua classificação, podendo alterar os níveis a qualquer momento. Essas boas práticas permite que o dado seja classificado e rotulado antes mesmo de ser manipulado, acessado e distribuído.

Como deve ser feita essa classificação?

A política de segurança da informação de uma empresa serve como documento para definir os níveis da classificação das informações e como elas devem ser utilizadas pelos colaboradores.

De maneira geral, não existe uma regra específica para essa classificação, sendo algo totalmente personalizado de acordo com as necessidades de cada gestor, que pode considerar determinadas informações como relevantes. Mas quando não existe nada em específico que o profissional responsável queira detalhar, é possível começar com a seguinte referência:

  • Público — Informações que podem ser disponibilizadas e acessíveis a qualquer pessoa.
  • Interno — Informações que podem ser acessadas apenas por colaboradores da empresa.
  • Confidencial — Informações acessíveis a apenas um grupo de pessoas autorizadas.
  • Restrito — Dados acessíveis apenas por pessoas pré-definidas.

Como vimos no post, a classificação da informação e a LGPD andam lado a lado, enquanto a lei define como deve ser feito a manipulação dos dados, o sistema de classificação limita o acesso a eles, garantindo mais segurança e ajudando a empresa a permanecer dentro da legislação.

A classificação de dados na LGPD e o impacto nas sanções e penalidades

Em nosso mais recente “Cybertalks”, conversamos com o José Anastácio, engenheiro de produto da Compugraf, sobre as principais sanções e penalidades que chegam com a vigência da LGPD.

Para aprofundar a imersão, separamos 5 artigos pra você:

  • Como entender a jornada da LGPD
  • ANPD: Como funcionará a gestão da LGPD
  • LGPD e os primeiros passos para entrar em compliance
  • Como criar uma cultura de privacidade de dados corporativos
  • Como funcionará o tratamento de dados com a LGPD?

A classificação de dados na LGPD e o direito à explicação

Dentro da LGPD existe o direito à explicação.

Isso significa que durante um processo contra uma empresa envolvendo o desrespeito a Lei Geral de Proteção de Dados, uma empresa terá o direito de explicar as razões antes de ser multada.

Esse direito de explicação é uma derivação do princípio de transparência, algo previsto na maioria das Leis de proteção de dados no mundo – assim como a própria GDPR, que também garante aos titulares dos dados as informações de maneira precisa e acessível em relação a como determinada empresa realizou o tratamento dessas informações de acordo com seus agentes de tratamento.

Junto aos critérios de legitimidade e justiça, algumas das leis internacionais, como GDPR, Selbst e Powles defendem a importância da existência desse direito, ainda que não exista formalmente.

Pois os especialistas acreditam que o fato da GDPR já estabelecer os direitos de informação sobre a logística de processos de decisões automatizadas, já deveria ser interpretado como um direito implícito de explicação ao permitir que o titular dos dados exerça seus direitos no ordenamento jurídico.

O direito à explicação no contexto brasileiro

É claro que na medida em que a ANPD se aproxima do processo de multas, algumas explicações podem não ser mais aceitas por não fazerem sentido, como dizer a eles que a empresa “Não teve tempo” para se adequar, mesmo após aproximadamente 3 anos de preparo.

Foi quase uma década de discussões, consultas públicas, mais de 2500 contribuições, audiências públicas no Congresso Nacional e interações com os mais diversos atores nacionais e internacionais para que a Lei Geral de Proteção de Dados (Lei 13.709/2018) fosse aprovada no dia 14 de agosto de 2018.

Essa nova Lei foi elaborada de maneira transversal e multissetorial, contemplando direitos que já podiam ser encontrados em conjuntos de leis nacionais anteriores, como o direito à explicação e à transparência.

No entanto, antes da LGPD, esses direitos só poderiam ser garantidos em decisões automatizadas e relativas à concessão de crédito, modelagem e cálculo de risco de crédito, logo nenhum caso coberto pela LGPD hoje poderia ser defendido com base na legislação nacional até então.

Para entender o funcionamento da evolução da Lei, basta voltar a nossa linha do tempo.

A Lei Geral de Proteção de Dados evoluiu de uma proteção setorial para tornar-se uma proteção geral, capaz de englobar os discursos de tratamento do Código de Defesa do Consumidor e a Lei do Cadastro Positivo.

Outro fator decisivo sobre a Lei foi a decisão paradigmática do Superior Tribunal de Justiça, que permitiu a atual interpretação do texto da lei. Sem muita resistência a LGPD rapidamente tornou-se um assunto recorrente dentro da corte superior.

Também se analisa a decisão paradigmática do Superior Tribunal de Justiça (STJ), que conferiu a atual interpretação ao texto desta lei. Em seguida, verifica-se como a LGPD consolidou o entendimento da corte superior.

A Compugraf te ajuda a colocar a empresa em conformidade com a LGPD

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para a conformidade com a LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Read more
  • Published in Segurança da Informação
No Comments

Big Data na LGPD: O que deve mudar?

segunda-feira, 07 setembro 2020 by Rodrigo Santos

Vivemos na era do Big Data. Como a LGPD nos afeta?

big data na lgpd

Big Data é um conceito bastante popular nos dias de hoje e define grande volume de dados com ou sem estrutura que são gerados a todo instante.

Neste artigo falamos principalmente sobre Big Data, mas caso você queira saber mais sobre a LGPD, não deixe de conferir nosso artigo mais completo sobre o tema.

Embora seja um novo relativamente novo no mercado, a geração de dados existe desde antes mesmo de termos o primeiro computador, o site Verdict detalha um pouco de como usávamos os dados no passado e como eles serão possivelmente usados no futuro, para acessar a linha do tempo, clique aqui.

Não há como compararmos, no entanto, a quantidade de dados que era gerada no passado e o que é gerado hoje, já que temos muito mais dispositivos, como celulares e televisões inteligentes, assim como recursos como as redes sociais que basicamente funcionam com base nessas informações.

Isso sem contar também a tendência dos espaços inteligentes, como os assistentes virtuais, carros, geladeiras e até acessórios como o google glass (wearable devices) que geram dados que possibilitam seu funcionamento de maneira inteligente e integrada, permitindo que um, eventualmente acabe interagindo com o outro.

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

big data na lgpd

O Big Data permite a geração de oportunidades a partir da análise de dados partindo de diferentes fontes, resultando em ricos insights que não poderiam ser obtidos de uma outra maneira. Com o aumento de facilidades tecnológicas, o consumidor torna-se cada vez mais exigente e competitivo, e por isso é important uma tecnologia que acompanhe esse ritmo de mudanças.

Seu conceito gira em torno da possibilidade de gerar valor para negócios, os dados podem partir dos próprios clientes, seus hábitos em redes sociais e até mesmo reclamações. E é nesse ponto que fica claro o impacto gerado pela LGPD, como essa coleta de dados irá ocorrer, e manter sua agilidade, agora que a Lei entrou em vigor?

Mas antes se você quiser saber mais sobre a LGPD, não deixe de conferir nosso artigo mais completo sobre o tema.

Big Data na LGPD e os 5 v’s

Quando os primeiros usos do termo “big data” chegaram, seu uso era usado para definir três características básicas: volume, velocidade e variedade, esses que iniciaram algo muito comum em algumas estratégias teóricas de marketing que reúnem características que iniciem por uma mesma consoante.

Mas com o tempo, o mercado viu que esses três “v’s” não eram o suficiente para definir a magnitude do negócio, e por isso decidiram incluir mais dois: valor e veracidade.

Entenda a seguir o porque de cada uma dessas características:

Volume

O volume é certamente uma das maiores consequências da transformação digital que vivemos, pois o volume de dados gerados acompanha diretamente nossas evoluções nesse sentido, sendo que ainda em 2015 já gerávamos cerca de 2.5 quintillionbytes de dados por dia.

Você consegue imaginar o quanto esse valor cresceu desde então?

Pois nós descobrimos que não há uma afirmação sobre isso, mas que alguns especialistas divulgam a possibilidade de os dados dobrarem a cada dois anos, ainda que a previsão seja que o ano de 2020 termine com 350 zettabytes de dados (3 trilhões de gigabytes).

Variedade

Conforme o número de fontes de dados aumenta, sua complexidade também passa a ser maior, a qual é fortificada pelo quesito volume de informações. Ainda sim, quando bem administrados, esses dados tornam o conteúdo mais rico e essa variedade passa a ser algo positivo para a obtenção de informações mais aprimoradas.

Podem funcionar como fontes de dados as redes sociais (como facebook, instagram, linkedin), serviços de armazenamento e análise de dados, como Google Analytics, RD Station, e também serviços de comunicação, como o WhatsApp.

Lembre-se, o fator “quanto mais dados, melhor” só funciona quando a empresa é capaz de abraçar toda sua variedade de informações.

Velocidade

Aqui tratamos do inevitável, a geração de dados em grande escala ocorre o tempo inteiro, então sua captura e processamento deve envolver alta velocidade para ser possível acompanhar esse fluxo.

Considerado um dos maiores desafios pra quem trabalha com Big Data, essa agilidade deve definir o sucesso da empresa em utilizar os dados ao seu favor, com a rápida coleta dos valores necessários.

Veracidade

Agora que você já compreendeu que o fluxo de dados possui alta velocidade, pode partir de diferentes fontes e deve ser coletado através de um recurso que possibilite a velocidade necessária, é importante compreender a veracidade dos dados que está coletando.

Nem tudo o que é registrado é verdade, e também o acesso de dados pode causar confusão na hora de interpretação, por isso, é importante realizar um fact check sempre que possível além de tentar filtrar melhor as fontes de conteúdo.

Você não precisa estar ou seguir tudo para ter as informações que precisa.

Valor

O valor é o momento em que todos os esforços mostraram que o trabalho valeu a pena. Será que a empresa coletou os dados que gostaria? será que foi tratada uma boa estratégia em cima das informações obtidas? o cenário fará toda a diferença.

Aqui o mais importante fica para os resultados, como aquilo impactou a empresa e o quão enriquecedor foi todo o processo.

Big Data na LGPD: o que deve mudar

Por tudo que envolve o âmbito do Big Data, sem dúvidas haverá um grande impacto em sua maneira de existir, pois a obtenção de dados automatizada, como nas técnicas de mineração e geração de profiling, que basicamente consiste nas informações em relação a uma pessoa, via tratamento de dados, pode ferir sua privacidade.

Isso porque esse tipo de abordagem resulta na obtenção de dados pessoais, a técnica analisa dentre outras coisas, o comportamento das pessoas e suas características, fatores que segundo a LGPD não podem mais ser obtidos sem a legítima autorização do indivíduo, salvo em casos de legítimo interesse.

De toda forma, é bem possível que isso mude a forma que serviços como Google Analytics funciona, pois ainda que exista o consenso, basta um deslize para que alguém tenha que pagar a conta, que não é barata.

Ainda vale a pena o risco?

O artigo 20 da Lei Geral de Proteção de dados declara que todo titular de dados tem o direito de solicitar a revisão de suas decisões tomadas em relação ao tratamento automatizado de suas informações, especialmente quando essas afetem seus interesses, como o perfil profissional, consumo, crédito e dados de personalidades.

Ficará mais difícil para empresas coletarem dados, de maneira consistente, sobre seus consumidores, de modo que possam aproveitar os dados para uma melhor operação, pois na maioria das vezes, essa conta de prejuízo na obtenção dos dados pode não fechar.

A Lei Geral de Proteção de Dados Pessoas deve promover esse impacto negativo, a princípio, especialmente nessas atividades de coleta e tratamento de informações – como é o caso do Big Data.

Mas isso não deve se estender por muito tempo.

Ainda que inicialmente isso represente uma redução desse tipo de atividade, tempo necessário para que as empresas aprendam o modo de fazer e apliquem esse tipo de técnica de maneira segura, para garantir o compliance, elas são de extrema importância para muitos mercados e devem continuar a longo prazo.

Com um ambiente mais seguro e adequado aos direitos de cada consumidor, uma nova era deve surgir com maior confiança e transparência no tratamento de dados nos espaços corporativos, e essa confiança é essencial para que a tecnologia passe por uma manutenção em seu modo de existir em uma sociedade conectada.

Big Data na LGPD e o impacto nas sanções e penalidades

Em nosso mais recente “Cybertalks”, conversamos com o José Anastácio, engenheiro de produto da Compugraf, sobre as principais sanções e penalidades que chegam com a vigência da LGPD.

Para aprofundar a imersão, separamos 5 artigos pra você:

  • Como entender a jornada da LGPD
  • ANPD: Como funcionará a gestão da LGPD
  • LGPD e os primeiros passos para entrar em compliance
  • Como criar uma cultura de privacidade de dados corporativos
  • Como funcionará o tratamento de dados com a LGPD?

A Compugraf te ajuda a colocar a empresa em conformidade com a LGPD

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para a conformidade com a LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Read more
  • Published in Segurança da Informação
No Comments

A anonimização de dados na LGPD

sexta-feira, 04 setembro 2020 by Rodrigo Santos

A anonimização de dados na LGPD é um dos primeiros desafios previstos com a implementação da LGPD.

Os dados anonimizados perdem todas as características que os tornam pessoais e por isso, deixam de serem recursos para identificar alguém e também não são mais protegidos pela LGPD.

Essa perda de dados pessoais não pode ser revertida, portanto qualquer processo que possa ser revertido não pode ser considerado como um ato de anonimização, pois não se trata de uma criptografia temporária, mas sim, de um processo permanente.

Neste artigo falamos principalmente sobre anonimização de dados na LGPD, mas caso você queira saber mais sobre o assunto como um todo, não deixe de conferir nosso artigo mais completo sobre o tema.

A Lei Geral de Proteção de Dados já possui um grande desafio técnico pela frente: a capacidade real de anonimização de dados.

O termo trata da possibilidade de um dado pessoal ter todas as características que identificam uma pessoa apagados, de forma que nunca possa retornar ao seu formato original. Ou seja, qualquer dado que sirva para identificar alguém deve ser completamente apagado do banco de dados.

A complexidade desse recurso começa logo na maneira como a lei foi escrita, que não especifica que tipo de dado é considerado sensível a ponto ser capaz de identificar uma pessoa, e isso inclusive é uma dos grandes problemas de nossa lei em relação a sua inspiração, a GDPR.

Via de regra, é importante lembrar que um dado considerado anonimizado só existe quando não há nenhuma maneira de voltar ao seu estado original. “Não se trata de um processo de criptografia, em que basta a chave correta para ter acesso aos dados, a anonimização é definitiva.” – reforça Matheus Intropidi, Analista de Telecom da Compugraf.

Outro detalhe importante, é que a LGPD trata de dados pessoais, logo a partir do momento em que esse dado for anonimizado, ele deixa de ser protegido por ela. Diferente dos dados pseudonimizados, que ainda mantém possibilidades de identificação e continuam sujeitos à lei.

Segundo diversos especialistas, os dados anonimizados são importantes porque eles permitem que recursos como inteligências artificiais, IoT, machine learning, cidades inteligentes e análises comportamentais se desenvolvam sem que haja comprometimento de um grupo de pessoas no sentido de quebra de privacidade.

O site do governo Serpro ainda recomenda que sempre que possível as empresas públicas e privadas realizem o processo de anonimização de dados pessoais, pois assim é possível aperfeiçoar a segurança da informação na na organização (sem gerar acumulo desnecessário) mais confiança na relação com o cliente.

Mas também existe um desafio técnico para o processo, muitas empresas estão tão preocupadas em como armazenar os dados com segurança e compliance que não estão dedicando tempo suficiente para pensar em processos de exclusão efetiva.

Para isso é preciso ir além das soluções mais básicas e contar com a assessoria do DPO capaz de implementar o recurso dentro da definição do que a empresa irá compreender como correto na “desvinculação” pessoal.

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

anonimização de dados na lgpd
no

Anonimização de dados na LGPD e Big Data: O que deve mudar?

Big Data é um conceito bastante popular nos dias de hoje e define grande volume de dados com ou sem estrutura que são gerados a todo instante.

Embora seja um novo relativamente novo no mercado, a geração de dados existe desde antes mesmo de termos o primeiro computador, o site Verdict detalha um pouco de como usávamos os dados no passado e como eles serão possivelmente usados no futuro, para acessar a linha do tempo, clique aqui.

Não há como compararmos, no entanto, a quantidade de dados que era gerada no passado e o que é gerado hoje, já que temos muito mais dispositivos, como celulares e televisões inteligentes, assim como recursos como as redes sociais que basicamente funcionam com base nessas informações.

Isso sem contar também a tendência dos espaços inteligentes, como os assistentes virtuais, carros, geladeiras e até acessórios como o google glass (wearable devices) que geram dados que possibilitam seu funcionamento de maneira inteligente e integrada, permitindo que um, eventualmente acabe interagindo com o outro.

O Big Data permite a geração de oportunidades a partir da análise de dados partindo de diferentes fontes, resultando em ricos insights que não poderiam ser obtidos de uma outra maneira. Com o aumento de facilidades tecnológicas, o consumidor torna-se cada vez mais exigente e competitivo, e por isso é important uma tecnologia que acompanhe esse ritmo de mudanças.

Seu conceito gira em torno da possibilidade de gerar valor para negócios, os dados podem partir dos próprios clientes, seus hábitos em redes sociais e até mesmo reclamações. E é nesse ponto que fica claro o impacto gerado pela LGPD, como essa coleta de dados irá ocorrer, e manter sua agilidade, agora que a Lei entrou em vigor?

A classificação de dados na LGPD e o impacto nas sanções e penalidades

Em nosso mais recente “Cybertalks”, conversamos com o José Anastácio, engenheiro de produto da Compugraf, sobre as principais sanções e penalidades que chegam com a vigência da LGPD.

Para aprofundar a imersão, separamos 5 artigos pra você:

  • Como entender a jornada da LGPD
  • ANPD: Como funcionará a gestão da LGPD
  • LGPD e os primeiros passos para entrar em compliance
  • Como criar uma cultura de privacidade de dados corporativos
  • Como funcionará o tratamento de dados com a LGPD?

A Compugraf te ajuda a colocar a empresa em conformidade com a LGPD

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para a conformidade com a LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Read more
  • Published in Segurança da Informação
No Comments

10 principais direitos dos titulares previstos na LGPD

quinta-feira, 03 setembro 2020 by Rodrigo Santos

Os direitos dos titulares previstos na LGPD podem ser separados em 10 pontos essenciais.

Desde o lançamento da LGPD, muitas dúvidas surgiram em relação ao seu próposito, pois embora o tema estivesse em alta como consequência da vigência da GDPR, as pessoas ainda questionavam a relevância de uma lei como essas.

Um dos pontos mais importantes da lei é o que envolve os direitos dos titulares, afinal, a partir da vigência da LGPD a relação de dados entre titular e as organizações que os armazenam será diferente.

Neste artigo falamos principalmente os principais direitos dos titulares na LGPD, mas caso você queira saber mais sobre o assunto, não deixe de conferir nosso artigo mais completo sobre o tema.

Principais direitos dos titulares previstos na LGPD

Como já deve ser amplamente conhecido hoje, a Lei Geral de Proteção de Dados garante essencialmente 10 direitos a todos os titulares de dados pessoais:

  1. Confirmação e acesso: Você pode solicitar a confirmação da existência de um tratamento e acesso aos seus dados pessoais, a razão pelas quais eles são armazenados, a origem da informação e quais os critérios de uso da empresa. Aqui também é possível descobrir quando seus dados não estão presentes na organização.
  2. Correção: Você tem o direito de solicitar que dados incompletos, desatualizados ou incorretos sejam prontamente corrigidos.
  3. Anonimização, bloqueio ou eliminação: Será possível solicitar que os dados sejam totalmente desvinculados das informações de reconhecimento pessoal (anonimização), suspensão temporário da operação de tratamento dos dados ou a exclusão de algo específico ou um conjunto de coisas dentro do banco de dados de uma organização, especialmente quando considerados desnecessários para a utilização da empresa.
  4. Portabilidade: É possível solicitar a transferência de dados pessoais para outros fornecedor, serviço, produto (e até mesmo internacionalmente).
  5. Revogação de Consentimento: É possível revogar a qualquer momento o consentimento de uso de seus dados pessoais tratados, pois mesmo após a autorização você ainda possui os mesmos poderes sobre eles.
  6. Eliminação: Sim, você pode manifestar o direito de pedir para que seus dados pessoais tratados, mesmo após consentimento anterior, sejam eliminados.
  7. Compartilhamento: Você tem o direito de saber informações sobre todas as entidades – públicas ou privadas com os quais suas informações pessoais são compartilhadas.
  8. Explicação: Você tem o direito de obter informações sobre as possibilidade e consequências de não fornecer o consentimento sobre determinadas ações de tratamento de dados pessoais.
  9. Oposição: Você pode negar o tratamento dos dados pessoais quando o processo é realizado de maneira ilegal – fora de compliance com a LGPD.
  10. Revisão de decisão automatizada: O titular dos dados pessoais tem o direito de solicitar informações sobre quais os critérios e processos utilizados na tomada de decisão da estrutura automatizada. Decisões como definição de perfil, profissional, consumo e de crédito são algumas das que afetam diretamente os interesses do titular.

Um detalhe importante é que o titular tem o direito de tomar diversas decisões em relação aos seus dados pessoais, conforme expostas nos itens anteriores, mas isso não o garante direito absoluto sobre eles, como em casos específicos e legais.

Os dados pessoais também podem ser tratados sem autorização quando são necessários para execução de contratos para o cumprimento de alguma obrigação legal, segredo comercial e industrial.

Por isso a LGPD não vai afetar somente as empresas, pois também vai envolver decisões e consequências críticas dos próprios titulares dos dados.

Direitos dos titulares previstos na LGPD e o impacto nas sanções e penalidades

Em nosso mais recente “Cybertalks”, conversamos com o José Anastácio, engenheiro de produto da Compugraf, sobre as principais sanções e penalidades que chegam com a vigência da LGPD.

Para aprofundar a imersão, separamos 5 artigos pra você:

  • Como entender a jornada da LGPD
  • ANPD: Como funcionará a gestão da LGPD
  • LGPD e os primeiros passos para entrar em compliance
  • Como criar uma cultura de privacidade de dados corporativos
  • Como funcionará o tratamento de dados com a LGPD?

Como Funciona a Classificação de Dados na LGPD

A classificação de dados na LGPD funciona como um processo focado na garantia do nível de adequação de proteção de dados. Isso é baseado na ISO 27001 e com isso traz o valor, criticidade e todos os requisitos legais que envolvem essas informações.

A princípio, essa classificação de informação tinha o objetivo de mitigar o vazamento de dados, ou impedir o acesso inadequado pela falta de informação sobre os tipos de dados que estariam disponíveis.

Mas a classificação de dados pode na verdade ser essencial para ajudar as empresas a manterem-se alinhadas a Lei Geral de Proteção de Dados, que define dentre outras coisas as práticas corretas de coleta, tratamento, proteção e publicação de dados e sensíveis de pessoas físicas.

Quanto mais organizada e madura estiver a classificação de dados de uma empresa, melhor será o tratamento da informação e menor são as chances de sofrerem com algum tipo de crise envolvendo a LGPD.

A classificação de dados pode ser feita pelo setor de TI da empresa, por estar muito ligada a segurança de dados, mas é recomendável que seja feita em conjunto com o setor jurídico ou o próprio DPO.

Por via de regra, o profissional que cria e manipula uma informação é o responsável por sua classificação, podendo alterar os níveis a qualquer momento. Essas boas práticas permite que o dado seja classificado e rotulado antes mesmo de ser manipulado, acessado e distribuído.

Como deve ser feita essa classificação?

A política de segurança da informação de uma empresa serve como documento para definir os níveis da classificação das informações e como elas devem ser utilizadas pelos colaboradores.

De maneira geral, não existe uma regra específica para essa classificação, sendo algo totalmente personalizado de acordo com as necessidades de cada gestor, que pode considerar determinadas informações como relevantes. Mas quando não existe nada em específico que o profissional responsável queira detalhar, é possível começar com a seguinte referência:

  • Público — Informações que podem ser disponibilizadas e acessíveis a qualquer pessoa.
  • Interno — Informações que podem ser acessadas apenas por colaboradores da empresa.
  • Confidencial — Informações acessíveis a apenas um grupo de pessoas autorizadas.
  • Restrito — Dados acessíveis apenas por pessoas pré-definidas.

Como vimos no post, a classificação da informação e a LGPD andam lado a lado, enquanto a lei define como deve ser feito a manipulação dos dados, o sistema de classificação limita o acesso a eles, garantindo mais segurança e ajudando a empresa a permanecer dentro da legislação.

Como regularizar sua empresa?

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

direitos dos titulares previstos na lgpd

A regularização de uma empresa para entrar em compliance com a LGPD não é um processo fácil, e é exatamente por isso que a figura de um encarregado (DPO) dedicado, é tão importante.

Para a profissional Carla Prado Manso, Gerente do time de LGPD da Compugraf, essa mudança deve ser muito bem planejada e orquestrada a partir dos seguintes pilares:

  • Processos da Empresa (arrumar a casa)

O processo da empresa, é a primeira “arrumação da casa”, e nele é feito um diagnóstico inicial sobre modo de operar da empresa para melhor adaptação na transição, então aqui funciona principalmente o modo atual de se fazer as coisas, as ferramentas disponíveis, etc.

  • Questões Técnicas

O processo técnico envolve o diagnóstico de estrutura necessária para essa mudança de modo de fazer as coisas, e ela deve ser feita com cuidado para que funcione a longo prazo, e é nesse ponto que fazer as coisas de última hora pode sair mais caro.

  • Questões Jurídicas

A parte jurídica é a mais delicada, assim como na parte técnica, vai envolver muito da expertise do DPO para que a empresa se alinhe de maneira integral à Lei Geral de Proteção de Dados. O processo jurídico pode ser particularmente complexo pelas lacunas que a Lei, que ainda não está 100% escrita, possui.

E de fato são esses os pontos que devem caminhar juntos para que uma empresa esteja funcionando em compliance com a LGPD.

Dentro de cada um desses tópicos apresentados acima, existem necessidades específicas, em relação às necessidades técnicas, o Matheus Intripode já adianta 3 pontos essenciais:

  • Inventário de Dados (dados coleta, processo que utiliza, base legal)

O inventário de dados é o momento de identificar todos os dados que a empresa coleta, a maneira como isso é feito, como é armazenado e tudo o que implica legalmente nesse processo. Considere essa como uma etapa avançada da “arrumação de casa”, pois é o momento em que tudo vai ser definido.

Possuir a ferramenta correta para a realização desse inventário, encontrada em soluções como a OneTrust, pode fazer toda a diferença a qualidade do controle a esses dados.

  • Pedidos dos Titulares

Conforme a Lei Geral de Proteção de Dados especifica, o controle total dos dados pessoais deve ser de responsabilidade de suas respectivas personalidades, isso significa que uma estrutura adequada ao LGPD deve contar com uma ferramenta capaz de atender as demandas do proprietário dos dados. Isso deve ser respeitado incondicionalmente.

  • Consentimento

O consentimento, ou a autorização de uso de dados é também uma etapa importante para a LGPD, não sendo possível que uma empresa armazene ou até mesmo solicite qualquer dado sem o consentimento dos clientes, salvo em casos de legítimo interesse*.

A Compugraf te ajuda a colocar a empresa em conformidade com a LGPD

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para a conformidade com a LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Read more
  • Published in Segurança da Informação
No Comments

LGPD em vigor e a transferência internacional de dados

quarta-feira, 02 setembro 2020 by Rodrigo Santos

A transferência internacional de dados na LGPD é um importante fator que deve mudar a maneira como diferentes países se relacionam na era da informação.

A transferência internacional de dados na LGPD é um fator de grande impacto entre países que possuem e os que ainda não regulamentaram o tratamento de dados, isso porque leis como a GDPR e até a própria LGPD possuem regras mais rígidas no processo de tratamento de dados nesses casos.

A Lei Geral de Proteção de Dados já é uma realidade em diversos países, que embora possuam leis com nomes diferentes, existem com a mesma finalidade: a proteção de dados pessoais.

Neste artigo falamos principalmente sobre a transferência de dados internacional na LGPD, mas caso você queira saber mais sobre o assunto, não deixe de conferir nosso artigo mais completo sobre o tema.

Separamos as seguir as principais diferenças envolvendo o cenário brasileiro e o europeu:

Transferência Internacional de Dados na LGPD

  • LGPD (Brasil) – Art 33 e seguintes

Permite a transferência de dados pessoais para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto.

A lei é breve quanto a este procedimento e elementos a serem considerados como adequados.

A LGPD estabelece apenas diretrizes genéricas a serem observadas pelas autoridades nacionais.

  • GDPR (União Europeia) – Art 44 e seguintes

Alega que a transferência internacional dos dados pode ser realizada independente de autorização específica caso a comissão europeia reconheça que o país terceiro assegure um nível de proteção adequado.

Caso não, a transferência internacional estará condicionada a garantias adequadas, que devem ser asseguradas pelo Agente.

Todos os procedimentos e elementos que são levados em consideração pela Comissão para a autorização da transferência estão descritos na GDPR.

Viu como a lei brasileira ainda possui lacunas em relação ao assunto? é por isso que tanta gente ainda segue utilizando a lei europeia como referência para sanar dúvidas, o que é um recurso mas não deve ser considerado como a palavra final.

Se você ainda tem dúvidas sobre a LGPD, não deixe de conferir nosso artigo mais completo sobre o tema. A seguir também enviamos um vídeo com as principais informações sobre a lei brasileira:

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

transferência internacional de dados na lgpd

A transferência internacional de dados desde o Marco Civil da Internet

Acho importante relacionarmos o Marco Civil da Internet com a Lei Geral de Proteção de dados, afinal, os dois possuem uma história um tanto parecidas, servindo de referência para aplicar as políticas de direito digital, o qual busca trazer conceitos tradicionais (como o código de defesa do consumidor) e outros que partem de demandas específicas, para a internet.

O Marco Civil da Internet foi a consequência de uma discussão que iniciou-se em 2009 pelo Ministério da Justiça em parceria com o Centro de Tecnologia e Sociedade, da Fundação Getúlio Vargas, mas só entrou em vigor em 2014.

Isso não quer dizer que a LGPD deveria demorar os mesmos cinco anos para ser praticado, até porque a maturidade da nossa relação com a tecnologia e as conexões amadureceu muito desde 2009, então já temos uma base mais lógica para entender a importância e como aplicar uma lei de proteção de dados.

Segundo o sociólogo espanhol Manuel Castells: “A internet tornou-se um meio de comunicação que permite, pela primeira vez, a comunicação de muitos com muitos.”

Junto à outros marcos alcançados nos últimos anos, como a Lei dos crimes informáticos e a Lei de acesso à informação, aos poucos o mundo digital foi preenchendo as lacunas em seu modo de funcionar e com isso passou a assegurar com mais precisão e qualidade a segurança de seus usuários domésticos e corporativos, o que também permite soluções mais aprimoradas.

Parte da discussão em relação a todas as Leis inclui, por exemplo, influências de políticas de outros países, como a GDPR – que inspirou a criação da LGPD.

Mas o que pouca gente sabe é que essa relação entre Direito e Internet teve como base a própria Constituição Federal de 1988, e também todo o material elaborado coletivamente pelo Comitê Gestor da Internet no Brasil (CGI.br) através do documento “Princípios para a governança e uso da internet”

Antes de qualquer avanço como a LGPD ou o próprio Marco Civil da Internet, as decisões sobre o que poderia ser considerado uma violação de dados, crimes e consequências, era muito subjetivo e os ambientes precários que muitas empresas forneciam não os impedia de ganhar ações pela prevalência do interesse corporativo, especialmente quando falamos sobre as grandes corporações do cenário, como Google, Microsoft, Apple, etc.

Portanto, as leis de fortalecimento ao direito digital estão fortemente relacionadas a necessidade de ter controle e um monitoramento mais eficaz das ações no ambiente.

Transferência Internacional de dados na LGPD e o impacto nas sanções e penalidades

Em nosso mais recente “Cybertalks”, conversamos com o José Anastácio, engenheiro de produto da Compugraf, sobre as principais sanções e penalidades que chegam com a vigência da LGPD.

Para aprofundar a imersão, separamos 5 artigos pra você:

  • Como entender a jornada da LGPD
  • ANPD: Como funcionará a gestão da LGPD
  • LGPD e os primeiros passos para entrar em compliance
  • Como criar uma cultura de privacidade de dados corporativos
  • Como funcionará o tratamento de dados com a LGPD?

A Compugraf te ajuda a colocar a empresa em conformidade com a LGPD

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para a conformidade com a LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Read more
  • Published in Segurança da Informação
No Comments

Existe o direito à explicação na LGPD?

terça-feira, 01 setembro 2020 by Rodrigo Santos

O direito à explicação na LGPD está previsto e será um importante recurso para as empresas que por algum motivo forem acionadas.

explicação na lgpd

Tratando-se de uma lei ampla mas com muitos pontos não especificados ainda, a Lei Geral de Proteção de Dados está sujeita a ser questionada, e isso é essencial para que empresas que estejam em processo de conformidade se defendam em situações injustas.

Baseada na lei europeia, GDPR, a LGPD possui seus próprios termos em relação ao direito à explicação, os quais se referem principalmente a decisões automatizadas.

Mas antes de seguirmos, não deixe de conferir nosso artigo mais completo sobre o tema.

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

explicação na lgpd

O direito à explicação na LGPD

Dentro da LGPD existe o direito à explicação.

Isso significa que durante um processo contra uma empresa envolvendo o desrespeito a Lei Geral de Proteção de Dados, uma empresa terá o direito de explicar as razões antes de ser multada.

Esse direito de explicação é uma derivação do princípio de transparência, algo previsto na maioria das Leis de proteção de dados no mundo – assim como a própria GDPR, que também garante aos titulares dos dados as informações de maneira precisa e acessível em relação a como determinada empresa realizou o tratamento dessas informações de acordo com seus agentes de tratamento.

Junto aos critérios de legitimidade e justiça, algumas das leis internacionais, como GDPR, Selbst e Powles defendem a importância da existência desse direito, ainda que não exista formalmente.

Pois os especialistas acreditam que o fato da GDPR já estabelecer os direitos de informação sobre a logística de processos de decisões automatizadas, já deveria ser interpretado como um direito implícito de explicação ao permitir que o titular dos dados exerça seus direitos no ordenamento jurídico.

O direito à explicação no contexto brasileiro

É claro que na medida em que a ANPD se aproxima do processo de multas, algumas explicações podem não ser mais aceitas por não fazerem sentido, como dizer a eles que a empresa “Não teve tempo” para se adequar, mesmo após aproximadamente 3 anos de preparo.

Foi quase uma década de discussões, consultas públicas, mais de 2500 contribuições, audiências públicas no Congresso Nacional e interações com os mais diversos atores nacionais e internacionais para que a Lei Geral de Proteção de Dados (Lei 13.709/2018) fosse aprovada no dia 14 de agosto de 2018.

Essa nova Lei foi elaborada de maneira transversal e multissetorial, contemplando direitos que já podiam ser encontrados em conjuntos de leis nacionais anteriores, como o direito à explicação e à transparência.

No entanto, antes da LGPD, esses direitos só poderiam ser garantidos em decisões automatizadas e relativas à concessão de crédito, modelagem e cálculo de risco de crédito, logo nenhum caso coberto pela LGPD hoje poderia ser defendido com base na legislação nacional até então.

Para entender o funcionamento da evolução da Lei, basta voltar a nossa linha do tempo.

A Lei Geral de Proteção de Dados evoluiu de uma proteção setorial para tornar-se uma proteção geral, capaz de englobar os discursos de tratamento do Código de Defesa do Consumidor e a Lei do Cadastro Positivo.

Outro fator decisivo sobre a Lei foi a decisão paradigmática do Superior Tribunal de Justiça, que permitiu a atual interpretação do texto da lei. Sem muita resistência a LGPD rapidamente tornou-se um assunto recorrente dentro da corte superior.

Também se analisa a decisão paradigmática do Superior Tribunal de Justiça (STJ), que conferiu a atual interpretação ao texto desta lei. Em seguida, verifica-se como a LGPD consolidou o entendimento da corte superior.

Linha do tempo da LGPD e o impacto nas sanções e penalidades

Em nosso mais recente “Cybertalks”, conversamos com o José Anastácio, engenheiro de produto da Compugraf, sobre as principais sanções e penalidades que chegam com a vigência da LGPD.

Para aprofundar a imersão, separamos 5 artigos pra você:

  • Como entender a jornada da LGPD
  • ANPD: Como funcionará a gestão da LGPD
  • LGPD e os primeiros passos para entrar em compliance
  • Como criar uma cultura de privacidade de dados corporativos
  • Como funcionará o tratamento de dados com a LGPD?

Explicação na LGPD e os efeitos nos diferentes setores

A Lei Geral de Proteção de Dados é uma maneira de regulamentar o uso de dados pessoais em determinadas ocasiões, especialmente no ambiente corporativo. Sendo assim, a Lei impactará, naturalmente, empresas que lidam com mais dados nesse sentido.

Para setores essenciais, como governo e saúde, que dependem de determinados dados pessoais para funcionarem da maneira correta, é provável que a Lei seja um pouco mais flexível, mas do setor secundário ao terciário, que inclui prestadores de serviço, profissionais liberais e comércio no geral, a adaptação precisa acontecer dentro do prazo.

A conclusão que fica é que seja com menor ou maior impacto, a LGPD irá sim afetar a maneira de sua empresa fazer as coisas, e até mesmo o modo como pessoas físicas lidam com os próprios dados, por isso, é preciso reunir todos os conhecimentos e ferramentas necessárias para que quando chegue a hora, seu negócio não ganhe os holofotes pelas razões erradas.

A Compugraf te ajuda a colocar a empresa em conformidade com a LGPD

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para a conformidade com a LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Read more
  • Published in Segurança da Informação
No Comments

Linha do tempo da LGPD: O que mudou desde o primeiro anúncio?

segunda-feira, 31 agosto 2020 by Rodrigo Santos

A linha do tempo da LGPD revela as diversas mudanças que ocorreram desde que foi lançada, em 2018.

linha do tempo da lgpd

Embora seja livremente inspirada na versão europeia, a LGPD tornou-se mais complexa e adaptada ao cenário brasileiro com o decorrer dos anos, além de uma série de alterações de datas ao decorrer do tempo.

Neste artigo separamos alguns desses principais momentos envolvendo a proteção de dados no Brasil, mas caso você queira saber mais sobre a LGPD, não deixe de conferir nosso artigo mais completo sobre o tema.

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

linha do tempo da lgpd

A linha do tempo da LGPD

Embora o cenário atual favoreça a popularidade da LGPD, a história diz que ela já existe desde os anos 90, com a formalização do direito à privacidade.

É preciso reconhecer todas as evoluções desde então para compreender como a relação entre as pessoas e a tecnologia mudou, e com isso novas demandas tornaram-se necessárias:

1890 – Direito à Privacidade

Em 1980, a sociedade brasileiro precisou de uma Lei para que pudesse ser deixada em “paz”, o termo privacidade aqui é usado com a sua conotação primária, o direito de manter-se sozinho ou não ser incomodado.

1948 – Declaração dos Direitos Humanos

No ano de 1948, a ONU oficializou sua “Declaração Universal dos Direitos Humanos”, e isso fez com que o mundo todo passasse a olhar para isso e na época até ajudou a tornar a lei de direito à privacidade mais popular.

2010 – Iniciativa Brasileira

Quando chegamos em 2010, países como os Estados Unidos já estavam bem maduros em relação às suas políticas de proteção de dados, mas no Brasil, foi quando as discussões mais sérias se intensificaram com diversas consultas públicas, debates e a delimitação de um escopo do anteprojeto.

2011 – Lei 12.527 de Acesso à Informação

Menos de um ano depois, nascia uma das leis mais promissoras do país, seu objetivo era o de promover a transparência das informações de posse do poder público, disciplinando o direito de acesso à informação previsto na Constituição Federal.

2012 – Lei 12.737 Carolina Dieckmann

Em 2012, um escândalo envolvendo uma famosa atriz foi responsável pela criação de uma nova Lei. Foi criada a Lei Carolina Dieckmann para criminalizar a invasão de aparelhos eletrônicos com a intenção de obtenção de dados pessoais.

2014 – Lei 12.965 Marco Civil da Internet

Conforme já mencionado anteriormente, é super importante compreender como o vigência de Leis ao longo da história estão relacionadas e se complementam. No caso do Marco Civil, ele reforçava (com a devida modernização) o direito à privacidade, mas ainda não garantia a proteção de dados como a LGPD propõe hoje.

2018 – Lei 13.709 Proteção de Dados

Agosto

A lei nacional de proteção de dados foi divulgada pouco tempo depois de sua versão européia, sua existência regulamenta o uso, proteção e transferência de dados no Brasil no âmbito público e privado. Apesar de sancionada, houve o veto à criação da Autoridade Nacional de Proteção de Dados e a condição de entrada em vigor 18 meses (fevereiro de 2020) após sua publicação.

Novembro

Ao final de 2018, o então Presidente da República Michel Temer promulga a Medida Provisória nº 869/2019 que autoriza a criação da Autoridade Nacional de Proteção de Dados e aumenta o prazo da entrada em vigor da Lei para 24 meses (agosto de 2020) e retira a obrigatoriedade de revisão humana de decisões tomadas no tratamento automatizado de dados pessoais.

2019 – Lei 13.709 Proteção de Dados

Julho

O Presidente da República promulga o decreto nº 9936/2019 que disciplina o tratamento de dados para a formação de histórico de crédito no Brasil (score)

Outubro

Projeto de lei (não acatada) sugere prorrogação da entrada em vigor da LGPD para 15 de agosto de 2022 (48 meses depois)

2020 – Lei 13.709 Proteção de Dados

Março

Projeto de lei (não acatada) sugere prorrogação da entrada em vigor da LGPD para 16 de fevereiro de 2022 (42 meses depois)

Junho

Depois de diversas sugestões de modificações, especialmente devido a pandemia do covid-19, o PL 1179/2020 é sancionado e convertido na Lei nº 14.010/2020 que mantém a vigência da LGPD para agosto de 2020 mas com a condição de que as multas e sanções só começariam a valer a partir de 1º de agosto de 2021

Fontes: Portal da Privacidade e Serpro

Curiosidade: Dentre sugestões e alterações menos populares, a LGPD foi movimentada ao menos 80 vezes desde sua assinatura, em 2018. Minha empresa será punida pela LGPD?

A Linha do tempo da LGPD e o impacto nas sanções e penalidades

Em nosso mais recente “Cybertalks”, conversamos com o José Anastácio, engenheiro de produto da Compugraf, sobre as principais sanções e penalidades que chegam com a vigência da LGPD.

Para aprofundar a imersão, separamos 5 artigos pra você:

  • Como entender a jornada da LGPD
  • ANPD: Como funcionará a gestão da LGPD
  • LGPD e os primeiros passos para entrar em compliance
  • Como criar uma cultura de privacidade de dados corporativos
  • Como funcionará o tratamento de dados com a LGPD?

Embora o início da vigência da Lei Geral de Proteção de Dados esteja, até então, agendado para agosto de 2020, suas sanções e punições só serão cobradas pela Autoridade Nacional de Proteção de Dados em 2021, e isso pode criar ideias errôneas sobre a importância de se regularizar o quanto antes.

É preciso entender, que com ANPD ou não, a partir do momento em que se constituiu uma Lei, ela passa a ser um direito para os favorecidos em suas ementas, e isso significa que outros órgãos poderão se envolver.

Isso mesmo, não é só a ANPD que vai estar de olho em sua empresa.

A partir do momento que um consumidor sentir-se lesado com o uso dos próprios dados e recorrer a um órgão regulamentador como à fundação Procuradoria de Proteção e Defesa do Consumidor (PROCON), ele poderá ser punido pelo não cumprimento da Lei, mas seguindo consequências diferentes e imprecisas, pois cada toma suas próprias decisões nesse sentido, e como o Procon não possui um padrão determinado por Lei, é difícil prever a punição.

Mas não é só isso. O Ministério Público também poderia se envolver em uma eventual infração de dados, por exemplo.

Aliás, não faz nem 10 anos desde que tivemos a Lei nº 12.965/14, mais especificamente em 2014, que denomina o Marco Civil da Internet. Apesar de ser pensada em um outro contexto e momento da sociedade, a Lei também possui a intenção de organizar melhor o uso da internet no Brasil e assim possibilitar o controle, estabelecer princípios, garantias, direitos e deveres.

Antes disso acontecer, é como se a internet fosse “terra de ninguém”, e embora o termo “controle” não seja a palavra mais amigável do mundo, acredite: você não vai querer sofrer com a perda de dados em um ambiente sem nenhuma garantia, sem ter recursos para reagir a isso.

E isso é justo, não é mesmo? Você foi avisado, na verdade, teve inclusive ao menos dois anos para se adequar a Lei Geral de Proteção de Dados.

A Compugraf te ajuda a colocar a empresa em conformidade com a LGPD

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para a conformidade com a LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Read more
  • Published in Segurança da Informação
No Comments

Com a Lei em vigor, quais as diferenças entre a LGPD e GDPR?

sexta-feira, 28 agosto 2020 by Rodrigo Santos

As diferenças entre LGPD e GDPR existem, embora a lei nacional tenha se inspirado na europeia.

diferenças entre lgpd e gdpr

Desde que foi anunciada a Lei Geral de Proteção de Dados, já sabíamos que ela seria fortemente baseada na recém lançada General Data Protection Regulation. Mas os cenários aos quais são aplicadas, são bem diferentes.

Neste artigo, iremos entender um pouco sobre a difença entre elas.

Mas antes, caso você queira saber mais sobre todas as novidades em relação a LGPD, não deixe de conferir nosso artigo mais completo sobre o tema.

Diferenças entre LGPD e GDPR

Tanto a LGPD quanto a GDPR são legislações funcionais para abordar a segurança e proteção de dados pessoais utilizados em corporações e organizações governamentais, mas para entender melhor a diferença entre uma e outra, precisamos considerar fatores que muitas vezes são mais relacionados a própria cultura local. Afinal, a LGPD foi assumidamente baseada na GDPR.

Sendo neste cenário a primeira a exigir e entrar em vigor, a GDPR foi aprovada em meados de 2016 e aplicada em toda União Europeia, sua sigla significa General Data Protection Regulation, e com todas as alterações até ser efetivamente aplicada, passou a funcionar meses antes da nossa LGPD ser aprovada: em maio de 2018.

Desde então, a GDPR é considerada uma das maiores referências de uma leii de proteção de dados no mundo.

Sendo a GDPR válida apenas no território da União Europeia, outros países sentiram a necessidade de ter uma lei semelhante para manter os direitos dos seus dados exportados, e foi exatamente daí que surgiu a demanda de uma versão brasileira.

Em geral, a LGPD é muito parecida com a GDPR, mas a lei brasileira ainda possui lacunas e menos especificações do que sua base de inspiração, e por isso existem alguns pontos de divergência aos quais precisamos nos atentar, de modo geral.

Por exemplo, a lei europeia é bem mais específica em relação a determinados fatores, como os parâmetros que devem ser considerados para determinar quando uma pessoa é potencialmente identificável. No caso da LGPD, essa especificação ainda não existe.

O regulamento europeu também possui termos que detalham melhor as categorias especiais de dados pessoais, por exemplo, existe a diferenciação de categorias envolvendo “dados de saúde”, “dados biométricos” e “dados genéticos.

Na versão brasileira, essas categorias não existem, e são mencionadas de maneira discreta pelo termo “dados pessoais sensíveis”, e como não existe ainda uma definição muito objetiva para o que pode ser considerado um dado sensível, o termo passa a ser subjetivo.

Outro ponto chave é a definição de aviso de vazamento de dados, pois a lei brasileira apenas menciona solicita que seja realizado o comunicado a pessoa física “dentro de um tempo razoável”, enquanto a versão europeia especifica a quantidade de dias, para evitar que esse tempo torne-se subjetivo.

Diferenças entre LGPD e GDPR e o impacto nas sanções e penalidades

Em nosso mais recente “Cybertalks”, conversamos com o José Anastácio, engenheiro de produto da Compugraf, sobre as principais sanções e penalidades que chegam com a vigência da LGPD.

Para aprofundar a imersão, separamos 5 artigos pra você:

  • Como entender a jornada da LGPD
  • ANPD: Como funcionará a gestão da LGPD
  • LGPD e os primeiros passos para entrar em compliance
  • Como criar uma cultura de privacidade de dados corporativos
  • Como funcionará o tratamento de dados com a LGPD?

Diferenças entre LGPD e GDPR – Tabela Comparativa

Conforme mencionamos, a LGPD e GDPR são facilmente confundíveis em alguns momentos. Inclusive, muitas das informações não amplamente explícitas na LGPD são deduzidas com a informação disponibilizada na LGPD, embora sejam diferentes.

Preparamos uma tabela comparativa para que você entenda, na prática, as diferenças essenciais da LGPD para a GDPR. Confira:

Tratamento de dados sensíveis

  • LGPD (Brasil) – Art 11, II, ‘b’ e ‘g

Estabelece proteção especial aos dados sensíveis. O tratamento poderá ocorrer apenas nas hipóteses previstas na lei, independente do consentimento do titular.

  • GDPR (União Europeia) – Art 9, §2º, ‘d’ e ‘e’

Proíbe o tratamento de dados sensíveis, estabelecendo algumas exceções.

Tratamento de dados de menores

LGPD (Brasil) – Art 14, §1º

  • LGPD (Brasil) – Art 14, §1º

A todos os menores de 18 anos, é necessário que o consentimento seja dado pelos pais ou responsáveis.

  • GDPR (União Europeia) – Art 8, §1º

Aceita o consentimento dado por crianças, desde que tenham pelo menos 16 anos. Para o caso de menores de 16 anos, o consentimento deve ser dado pelos pais.

Políticas de proteção de dados

  • LGPD (Brasil) – Art 50

A lei brasileira trata a implementação de programa de governança e privacidade como faculdade dos controladores de dados.

  • GDPR (União Europeia) – Art 24, §2º

Atribui aos controladores de dados a obrigação de adotar medidas técnicas e administrativas adequadas para assegurar o comprimento da legislação.

Representantes

  • LGPD (Brasil) – Art 61

Prevê que a empresa estrangeira será notificada e intimada de todos os atos processuais na pessoa do agente, representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado no Brasil.

  • GDPR (União Europeia) – Art 27

A figura do controlador ou processador deve constituir, por escrito, um representante seu em um dos seus Estados-Membros.

Responsabilização dos agentes

  • LGPD (Brasil) – Art 42 e seguintes

Existem três hipóteses em que o controlador/operador não é responsabilizado:

  1. Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados;
  2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação,
  3. Quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
  • GDPR (União Europeia) – Art 82

Existem duas hipóteses em que o controlador ou operador não é responsabilizado:

  1. Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados;
  2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação.

Marketing direto

  • LGPD (Brasil) – Art 61

Aplicam-se as regras gerais de consentimento, transparência e direito de objeção dos titulares dos dados pessoais.

  • GDPR (União Europeia) – Art 21

O titular dos dados tem o direito de se opor a qualquer momento ao tratamento de seus dados pessoais, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.

Relação Entre Controlador e Operador

  • LGPD (Brasil) – Art 39

O operador deverá realizar o tratamento de dados conforme a instrução do controlador. Não há exigência de formalização por meio de contrato.

  • GDPR (União Europeia) – Art 28 §3º

Prevê que o tratamento de dados realizado por operador deve ser regido por contrato ou outro ato jurídico que vincule o controlador ao operador.

Relatório de Impacto

  • LGPD (Brasil) – Art 38

Não foram especificadas em quais situações o controlador será obrigado a realizar um relatório de impacto à proteção de dados pessoais, delegando a uma regulamentação posterior o tratamento desta matéria.

  • GDPR (União Europeia) – Art 25

Está previsto que o controlador deve prover um relatório de impacto à proteção de dados pessoais, quando o tratamento resultar em um elevado risco para o direito e a liberdade das pessoas. A GDPR traz ainda uma detalhada descrição do que deve ser abordado neste relatório.

Transferência Internacional de Dados

  • LGPD (Brasil) – Art 33 e seguintes

Permite a transferência de dados pessoais para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto.

A lei é breve quanto a este proceTransferência Internacional de Dadosados como adequados.

A LGPD estabelece apenas diretrizes genéricas a serem observadas pelas autoridades nacionais.

  • GDPR (União Europeia) – Art 44 e seguintes

Alega que a transferência internacional dos dados pode ser realizada independente de autorização específica caso a comissão europeia reconheça que o país terceiro assegure um nível de proteção adequado.

Caso não, a transferência internacional estará condicionada a garantias adequadas, que devem ser asseguradas pelo Agente.

Todos os procedimentos e elementos que são levados em consideração pela Comissão para a autorização da transferência estão descritos na GDPR.

Órgão Regulador

  • LGPD (Brasil) – Art 68 e seguintes

Previa a criação da Autoridade Nacional de Proteção de Dados em sua origem, seguido a mesma linha do regulamento europeu.

Porém, os dispositivos que previam a sua criação e responsabilidades foram vetados, por incorrerem em inconstitucionalidade do processo legislativo.

  • GDPR (União Europeia) – Art 68 e seguintes

Estabelece a criação do Comitê Europeu para Proteção de Dados, responsável por assegurar a aplicação coerente da GDPR.

Diferenças entre LGPD e GDPR nos prazos e multas

Seguindo exemplo da GDPR, a LGPD estabelece previsão de sanções administrativas para infrações. A multa pode chegar a R$ 50 milhões por infração.

No entanto, a aplicação da multa é equivalente a até 2% do faturamento bruto da empresa em seu último exercício, sendo o valor de R$ 50 milhões um teto. Vale lembrar, ainda, que a multa pode ser aplicada para cada instância de irregularidade.

A empresa ainda pode sofrer penalidades que determinam a suspensão de atividades que envolvam o tratamento de dados pessoais. Da mesma forma, pode ser determinada a suspensão de atividades da empresa como um todo no mercado até a regularização.

Com penalidades tão extensas, a adaptação das empresas à LGPD torna-se uma prioridade.

Por sua vez, a lei europeia aplica multas de até 20 milhões de euros ou 4% do volume de negócios global da empresa (o que for maior). Também estão previstas na GDPR advertências, determinações de bloqueio ou eliminação de dados e suspensão total, ou parcial do banco de dados correspondente.

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

diferenças entre lgpd e gdpr

A Compugraf te ajuda a colocar a empresa em conformidade com a LGPD

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para a conformidade com a LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Read more
  • Published in Segurança da Informação
No Comments
  • 1
  • 2
  • 3
  • 4
  • 5

Procurar Fóruns

Somos especialistas em segurança
digital e comunicação corporativa, oferecendo estratégias inovadoras e larga experiência em projetos de segurança da informação.

Endereço
Av. Angélica, 2346, São Paulo SP
Telefone
(11) 3323-3323
Central de Suporte
(11) 3323-3322 | 3003-4747
Onde nos encontrar
  • Home
  • A Compugraf
  • Parceiros
  • Blog
  • Contato
  • Código de Conduta e Ética

2018 todos os direitos reservados - ® - Compugraf | Desenvolvido por UP2Place Digital

TOP