Para garantir a privacidade dos dados, as organizações precisam começar com uma base sólida de proteção de dados e práticas de segurança, incorporando processos e tecnologia robustos. Os processos-chave precisam incluir uma colaboração com equipes da área jurídica e de governança para que a organização esteja em posição de cumprir esses novos regulamentos. Todas as funções organizacionais precisam interoperar para seguir os processos, para que haja conformidade. Desde o jurídico até vendas e marketing, quem quer que acesse os dados precisa se conscientizar das novas regulamentações e compreender os processos que envolvem o manejo e a privacidade dos dados.
Seguem abaixo os principais aspectos da LGPD que as organizações devem considerar ao analisar seus programas de segurança.
LGPD vs. GDPR: semelhanças e diferenças
A LGPD, que passou a vigorar em agosto de 2020, tem um escopo amplo e aplica-se a todas as organizações que processam dados de cidadãos brasileiros. Assim como o GDPR, a LGPD também visa garantir os direitos fundamentais de privacidade dos dados. Basicamente, as organizações precisam entender que a proteção dos dados é um componente necessário para a privacidade dos dados.
Em determinadas instâncias, tanto o GDPR quanto a LGPD exigem que as organizações contratem um Diretor de Proteção de Dados (DPO). A LGPD exige um DPO, exceto no caso “de empresas menores, que podem ser regulamentadas pela autoridade local”. A LGPD também determina que o governo pode estabelecer regras adicionais relacionadas à definição e às atribuições do DPO, inclusive a possibilidade de dispensar a necessidade de nomeação conforme a natureza e o porte da empresa ou o volume das operações de processamento de dados. As organizações também devem considerar o alinhamento do negócio como uma das principais responsabilidades do DPO. Garantir a privacidade e a proteção dos dados requer colaboração e comunicação multifuncionais em toda a organização. Isso é fundamental para entender onde existem vulnerabilidades nos ativos críticos para o negócio e como isso pode se traduzir em maiores riscos de segurança e privacidade para o negócio.
A diferença mais significativa entre a LGPD e o GDPR diz respeito ao que se qualifica como base jurídica para o processamento de dados. A LGPD dispõe uma base mais ampla para o processamento, o que dá mais flexibilidade às organizações que processam dados pessoais. É importante observar que isso inclui mais flexibilidade no uso de dados para fins de segurança cibernética.
O GDPR e a LGPD exigem que as organizações relatem violações de dados à autoridade de proteção de dados local; porém, enquanto o GDPR exige que o relato seja feito em até 72 horas após a descoberta, a LGPD diz “imediatamente”, sem a especificação de nenhum prazo objetivo. No geral, a LGPD exige que seja dada uma resposta aos titulares de dados dentro em um “período de tempo razoável”, embora o período de tempo também não seja definido e seja regulamentado pela autoridade local. No momento, a autoridade de proteção de dados para a LGPD, Autoridade Nacional de Proteção de Dados (ANPD), será autorizada a aplicar as sanções administrativas delineadas na LGPD a partir do dia 1 de agosto de 2021.
A multa máxima prevista pelo GDPR é de €20 milhões ou 4% do faturamento global anual, o que for maior, enquanto as multas previstas pela LGPD são menos severas: “2% do faturamento de uma pessoa jurídica privada, grupo ou conglomerado no Brasil, relativo ao ano fiscal anterior, excluindo impostos, até um total máximo de 50 milhões de reais”.
A penalidade mais importante pode não ser a multa, e sim o poder da LGPD de suspender ou proibir atividades de processamento de dados em decorrência de violações. Isso pode afetar a continuidade do negócio e a reputação da marca, o que pode causar impactos de longo prazo ao negócio.
As organizações podem transferir dados pessoais para outros países que ofereçam um “nível adequado de proteção de dados”, embora o Brasil ainda não tenha identificado os países que atendem a esse padrão. Os dados pessoais também podem ser transferidos mediante consentimento ou cláusulas contratuais vinculativas. A falta de um requisito preciso para a localização dos dados reflete o GDPR, mas aumenta a flexibilidade, o que inclui a ponderação dos regulamentos de segurança que existem em outros países. Essa maior flexibilidade pode evitar o ônus de estruturas especiais, como o recém-invalidado acordo do “Privacy Shield”, que permitia que as empresas dos EUA atendessem aos requisitos do GDPR adotando padrões de privacidade semelhantes aos da UE.
Importância da privacidade e da segurança dos dados na América Latina
O Brasil já mostrou abordagens inovadoras e forte interesse em proteger a privacidade dos dados. Isso é fundamental, pois a proteção dos dados é essencial para garantir a segurança deles. A LGPD exige que os processadores de dados adotem medidas técnicas e administrativas de segurança para proteger os dados contra acesso não autorizado, destruição, perda e modificação. Com a proteção de dados no centro da LGPD, as organizações podem tirar proveito de soluções de segurança sólidas para proteger os dispositivos e os sistemas onde estão localizados os dados dos clientes para ilustrar como elas priorizam a segurança dentro da organização. Para lidar com a recente implementação da LGPD e reduzir o risco, as organizações estão hoje investindo em soluções de segurança que sustentem sua postura de segurança e garantam a proteção de ativos e dados confidenciais para atender aos padrões regulatórios, garantindo que medidas de conformidade e práticas sólidas de segurança estejam em vigor para evitar penalidades.
A LGPD é significativa porque representa a expansão de leis globais sólidas de privacidade para a América do Sul. Isso sugere uma tendência de que os governos mundiais estão favorecendo uma proteção sólida para a privacidade dos dados e enfatizando a segurança dos dados como a base para a proteção da privacidade. As multas por violação de dados em outros mercados sugerem que os reguladores não têm receio de usar seus “chicotes” para punir práticas de segurança de dados deficientes que resultam em violações. Isso significa um ambiente de negócios no qual uma forte proteção e privacidade de dados deve ser prioridade.
*Adam Palmer, Chief Cybersecurity Strategist da Tenable, e Gilberto M. Almeida, Especialista Jurídico da MDA.