LGPD: o que muda na prática com a Lei 13.709/18

Start adding items to your reading lists:
or
Save this item to:
This item has been saved to your reading list.
Edgar D'Andrea1
Eduardo Batista2
Maressa Juricic3

O Brasil passa a fazer parte do grupo de países que possuem uma Lei Geral de Proteção de Dados.

A proposta foi inspirada na regulamentação europeia (GDPR). Até a última versão divulgada, o texto da nova lei estabelece 10 bases legais para legitimação do tratamento de dados pessoais e garante direitos aos titulares dos dados como: acesso, correção, eliminação, portabilidade e revogação do consentimento. Desta forma, empodera o consumidor e garante a indenização na ocorrência de danos causados ao titular.

A Lei 13.709/18 estabelece que dado pessoal é toda informação relacionada a pessoa natural “identificada” ou “identificável” e determina que o tratamento desses dados deve considerar os 10 princípios de privacidade descritos na lei. Ao segui-los as organizações demonstrarão que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade, atendem uma finalidade de negócio válida dentre outras características.  

As empresas deverão garantir a segurança dos dados pessoais tratados e comunicar incidentes de segurança da informação ao órgão regulador, sendo que, dependendo do incidente, o titular dos dados também deverá ser comunicado. Outra mudança significativa é quanto ao tratamento de dados pessoais de crianças e adolescentes que exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.

Uma categoria especial foi criada para dados pessoais “sensíveis” que abrangem registros sobre raça, opiniões políticas, crenças, dados de saúde e características genéticas e biométricas. A lei estabelece condições específicas para tratamento dessa categoria de dados, como por exemplo, a obtenção de consentimento do titular antes do tratamento.

Outro ponto em comum com a GDPR é que a lei será aplicada às empresas com sedes estrangeiras, desde que, os dados sejam tratados em território nacional. Adicionalmente, dados tratados em outros países também estão sujeitos à lei caso tenham sido coletados no Brasil.

A lei também prevê que o órgão regulador poderá solicitar relatórios de riscos de privacidade para certificar-se de que as organizações estão tratando o tema internamente. As multas previstas para o descumprimento variam de 2% do faturamento bruto até R$ 50 milhões (por infração).

Com a lei sancionada, as empresas passam a ter 18 meses para se adequar às novas exigências. De forma geral, muitas organizações já possuem processos implementados para atendimento da GDPR que poderão ser adaptados para a LGPD. Por outro lado, inúmeras organizações deverão estruturar novos programas de implementação para garantir a conformidade dentro do prazo estabelecido.

O primeiro passo para adequação é realizar um mapeamento detalhado dos dados pessoais tratados e o seu ciclo de vida. Saber onde estão, como estão armazenados, quem tem acesso, se os dados são compartilhados com terceiros no Brasil ou exterior e quais riscos associados ao ciclo de vida, são algumas perguntas essenciais que todas as organizações devem responder antes estabelecer o programa de implementação.

As tecnologias também serão um dos componentes importantes para as organizações, uma vez que a nova lei traz desafios de gestão e governança de privacidade tais como: a gestão de consentimentos (e respectivas revogações), gestão das petições abertas por titulares (que, em alguns casos, devem ser respondidas imediatamente), gestão do ciclo de vida dos dados pessoais (data mapping & data discovery) e implementação de técnicas de anonimização (os dados anonimizados não serão considerados dados pessoais pela lei desde que o processo não seja reversível).
 

¹Edgar D'Andrea é sócio de Cibersegurança e Privacidade da PwC.
2Eduardo Batista é sócio de Cibersegurança e Privacidade da PwC.
3Maressa Juricic é líder de privacidade de dados da PwC.

Siga-nos