Os dados se tornaram-se um ativo fungível para quase todas as organizações, não importa se são lucrativas, ou sem fins lucrativos; grandes ou pequenas. Com a combinação de recursos tecnológicos crescentes para coleta de dados e o aumento do armazenamento em nuvem barato e potencialmente ilimitado, as organizações armazenam grandes quantidades de dados sobre pessoas físicas e, em muitos casos, usam esses dados como fonte de receita.
Do ponto de vista dos indivíduos cujas informações pessoais estão sendo compradas e vendidas, isso é um problema. A UE - União Européia - fez uma mudança inovadora para lidar com essas preocupações, introduzindo o GDPR - General Data Protection Regulation (RGPD - Regulamento Geral de Proteção de Dados). Este regulamento de privacidade de dados protege a privacidade de dados de cidadãos e residentes da UE, não importa onde a empresa que usa esses dados esteja localizada no mundo.
Desde então, legislações semelhantes foram promulgadas em países ao redor do mundo, incluindo a CCPA - California Consumer Privacy Act (Lei de Privacidade do Consumidor da Califórnia) - nos Estados Unidos, a LGPD - Lei Geral de Proteção de Dados Pessoais - no Brasil e a POPIA - Protection of Personal Information Act (Lei de Proteção de Informações Pessoais) - na África do Sul.
LGPD: versão brasileira do GDPR
Equipes de armazenamento, conformidade e segurança em todo o mundo estão revisando suas práticas de proteção de dados em resposta à LGPD, a lei brasileira de privacidade de dados semelhante ao GDPR.
O LGPD é a mais recente de uma série de Leis de Proteção de Dados mais rígidas que visam abordar a preocupação pública sobre o uso generalizado de seus dados. A nova lei está sendo elaborada há muito tempo.
Após um longo atraso, finalmente entrará em vigor em Agosto|21. Mas, devido ao impacto da pandemia do coronavírus, o governo brasileiro adiou a data de vigência mais uma vez para dar às organizações mais tempo para se prepararem para a legislação.
Mas com muitas empresas ainda lutando para cumprir outras novas regulamentações de privacidade de dados, o atraso do LGPD está dando às empresas a oportunidade de começar a fazer planos para atender os requisitos LGPD o mais rápido possível. Em alguns casos, as disposições serão idênticas às estabelecidas para atender aos padrões do GDPR. Mas em outros casos, haverá diferenças sutis.
Neste artigo, percorremos algumas características da tão esperada LGPD, a abordagem do Brasil em relação a essa legislação e como ela se compara à sua contraparte européia.
O LGPD em poucas palavras
Com a LGPD, o Brasil se propõe a harmonizar uma infinidade de estatutos díspares em um conjunto unificado de padrões. Ela fortalece os direitos de privacidade de dados dos cidadãos brasileiros por meio de controles mais rígidos sobre como as empresas podem armazenar e processar dados pessoais.
Ela também foi projetado para promover as práticas recomendadas de privacidade e ajudar as empresas a alavancar a conformidade como uma oportunidade de gerar mais receita. Além disso, libera a concorrência ao permitir que empresas privadas processem dados pessoais para uso pelo setor público.
Embora menos extensa do que as regulamentações europeias, a LGPD visa atingir os mesmos objetivos de privacidade. Como resultado, as duas leis são notavelmente semelhantes, compartilhando um foco comum em responsabilidade, segurança, minimização de dados, limitação de propósito e privacidade desde o projeto.
LGPD vs. GDPR: uma comparação
Âmbito Territorial
Em relação ao âmbito territorial de cada lei, o LGPD e o GDPR seguem o mesmo princípio básico. Ou seja, eles se aplicam a qualquer organização que armazene ou processe dados pessoais sobre os cidadãos na jurisdição territorial que cobrem, independentemente de onde eles estejam localizados no mundo.
Em outras palavras, onde quer que você esteja, se sua empresa oferece bens e serviços para o mercado brasileiro, você precisará adotar medidas para cumprir o LGPD.
Definição de Dados Pessoais
Enquanto o GDPR é muito específico sobre o que constitui dados pessoais, no LGPD ele é bem menos definido. No entanto, isso pode mudar no futuro, à medida que a lei entrar no uso diário.
Por outro lado, a LGPD espelha o GDPR ao designar certos tipos de informações, como as relativas à origem racial ou étnica, saúde ou filiação sindical de um indivíduo, como dados pessoais confidenciais, onde regras especiais se aplicam.
Base Legal para Processamento
Tal como acontece com o GDPR, o LGPD estabelece uma lista de motivos legais para o processamento de dados pessoais. Esses são amplamente semelhantes, como para cumprir uma obrigação legal ou contratual ou quando o indivíduo deu consentimento para que você processe seus dados pessoais para uma finalidade específica.
No entanto, com a LGPD, o Brasil permite explicitamente uma base legal para o uso de dados pessoais que não é diretamente coberta pelo GDPR: Processar os dados pessoais de alguém com o objetivo de proteger sua pontuação de crédito. No entanto, na maioria dos casos, o GDPR ainda interpretaria isso como uma base apropriada para o processamento, com o fundamento de que é do interesse legítimo do consumidor.
Segurança de dados
Para a Europa e o Brasil, a lei de privacidade de dados envolve segurança de dados. De acordo com o LGPD e o GDPR, você deve implementar medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, divulgação, alteração ou destruição.
O órgão brasileiro responsável por fazer cumprir a proteção de dados, a ANPD - Autoridade Nacional de Proteção de Dados, tem a tarefa de fornecer orientações mais detalhadas sobre os padrões técnicos mínimos que você deverá adotar.
O GDPR não especifica diretamente as medidas de segurança que você deve adotar. No entanto, as agências nacionais de fiscalização, como o ICO - Information Commissioner’s Office - no Reino Unido, oferecem, cada uma, um amplo guia para atender às suas obrigações de segurança.
Transferência de dados
A LGPD segue a mesma linha do GDPR ao proibir a transferência de dados pessoais para fora do território brasileiro, exceto em certas circunstâncias ou para países que oferecem um forte nível regulatório de proteção de dados.
Isso pode ter implicações na residência de dados para empresas sediadas nos Estados Unidos, que atualmente seguem uma abordagem de colcha de retalhos de regulamentações de proteção de dados de cada estado, em vez de uma estrutura jurídica nacional unificada.
Direitos dos Cidadãos
Ambas as leis concedem essencialmente aos titulares dos dados os mesmos direitos básicos. Por exemplo:
Consentimento: você só pode processar e armazenar dados sobre um indivíduo brasileiro com seu consentimento, que pode ser revogado a qualquer momento.
Solicitações de acesso de titulares de dados (DSARs): A LGPD concede aos brasileiros os mesmos direitos fundamentais de acesso, incluindo direito de correção e direito de apagamento, que o GDPR concede aos cidadãos da UE.
No entanto, de acordo com o LGPD, você deve responder a um DSAR dentro de 15 dias. Isso pode significar que você precisará melhorar seus procedimentos de resposta do DSAR, pois é um período significativamente mais curto do que o mês permitido pelo GDPR. Cumprir esse tipo de prazo apertado dependerá muito de sua capacidade de automatizar seus relatórios DSAR.
Marketing de email
Considerando que o GDPR aplica regras estritas ao marketing por e-mail e mensagens de texto, é uma área não diretamente coberta pelo LGPD.
No entanto, como acontece com o GDPR, ainda faz sentido buscar a aprovação de um indivíduo para receber e-mails de marketing e mensagens de texto, pois essa atividade provavelmente constituirá uma forma de processamento de dados que requer consentimento.
Avisos de consentimento e políticas de privacidade
A abordagem LGPD para obter consentimento é muito semelhante à do GDPR. De acordo com a LGPD, o consentimento do cliente deve ser específico, informado, inequívoco e dado livremente. Em outras palavras, você deve ser sincero sobre o que exatamente uma pessoa está consentindo e dar a ela um controle proativo sobre como você usa seus dados.
Você deve refletir esses requisitos no design de seus formulários de inscrição, checkouts online e avisos de consentimento de cookies. Embora o LGPD não faça referência direta às políticas de privacidade, você ainda deve revisar o texto da política para garantir que atenda às obrigações de transparência.
Além disso, o consentimento deve ser granular, com consentimento separado para diferentes atividades de processamento. Além do mais, você deve manter registros de consentimento válido. E os titulares dos dados também devem ser capazes de revogar facilmente o consentimento a qualquer momento.
Escritório de Proteção de Dados
Para cumprir o GDPR, você pode precisar nomear um oficial de proteção de dados (DPO). No entanto, isso se aplica apenas a organizações do setor público e empresas privadas que armazenam e processam dados pessoais em grande escala.
Por outro lado, no estado das coisas no LGPD, você deve nomear um DPO, como se aplica a qualquer organização que processe dados pessoais de cidadãos brasileiros. No entanto, na prática, isso provavelmente se mostrará problemático e inevitavelmente exigirá esclarecimentos por parte das autoridades brasileiras de aplicação da lei.
As funções do DPO não precisam ser necessariamente desempenhadas por um indivíduo. Eles podem ser realizados por uma equipe interna ou terceirizada, como um serviço especializado de DPO. Observe também que a função do DPO é separada e exclusiva da função do CPO - Chief Privacy Officer.
Relatando uma violação de dados
No caso de uma violação que possa potencialmente infringir os direitos de privacidade dos titulares dos dados, nos termos do LGPD e do GDPR, você deve notificar a autoridade de proteção de dados (DPA) e os indivíduos afetados
A LGPD apenas declara que você deve fazer isso em um período de tempo razoável, conforme definido pela ANPD. O GDPR é mais específico, dando a você apenas 72 horas para notificar o DPA depois de saber de uma violação.
Penalidades Financeiras
As penalidades monetárias por quebrar as regras LGPD são relativamente modestas em comparação com o GDPR. A multa máxima para uma violação é de 2% da receita anual brasileira de uma empresa e é limitada a R$ 50 milhões (cerca de € 7,84 milhões ou $ 9,28 milhões) por crime.
Isso se compara às multas GDPR de até 4% da receita anual global ou € 20 milhões, o que for mais alto.
