LGPD: o que é, princípios e como o seguro cyber ajuda empresas a se adequarem a essa legislação?

Em sintonia com a crescente digitalização, o Brasil sancionou, em 2018, a Lei Geral de Proteção de Dados Pessoais, mais conhecida pela sigla LGPD. 

A sua finalidade é garantir segurança e transparência em relação às informações dos cidadãos por parte das empresas e instituições.

Logo, trata-se da regulamentação que determina regras sobre coleta, armazenamento, tratamento e compartilhamento de dados. 

Visto que a lei entrou em vigor em setembro de 2020, as organizações precisam se adaptar, lançando mão de processos mais seguros e de mecanismos de proteção mais eficientes. 

Nesse sentido, por cobrir danos decorrentes de riscos cibernéticos e minimizar prejuízos, o seguro cyber é uma das ferramentas que entra nessa lista. 

Quer saber mais sobre a LGPD e como a sua empresa deve agir diante do novo cenário regulatório? É sobre isso que trataremos neste artigo!

No entanto, antes de falarmos especificamente sobre essa legislação, precisamos esclarecer alguns conceitos.

O que é considerado tratamento de dados pessoais?

O tratamento de dados pessoais é qualquer atividade feita com informações que identifiquem ou possam identificar uma pessoa, desde a coleta até o descarte desses dados.

Quando a gente coloca esse conceito em termos mais práticos, esse tratamento vai englobar ações como coletar, armazenar, acessar, usar, compartilhar, transmitir, modificar, analisar ou eliminar dados.

E um detalhe importante é que tudo isso refere-se a ações feitas tanto em meios físicos quanto digitais. 

Fato é: sempre que um dado pessoal é utilizado em uma operação, independentemente da finalidade, a LGPD considera que há tratamento de dados pessoais.

São exemplos de tratamento de dados pessoais?

São exemplos de tratamento de dados pessoais a coleta de informações cadastrais, o armazenamento de dados em sistemas físicos ou digitais, o uso dessas informações para prestação de serviços e o compartilhamento com terceiros.

Também entram nessa lista de exemplos a transmissão de dados entre setores ou empresas, a análise de perfis de consumo, a atualização ou correção de cadastros e a eliminação de dados após o uso na finalidade para a qual foram coletados.

Qual é o crime de usar dados de outra pessoa?

Precisamos destacar que usar dados de outra pessoa de forma indevida não é um crime único.

O motivo disso é porque fazer esse tipo de ação pode configurar vários crimes e infrações. Tudo vai depender do jeito e da finalidade do uso.

Quando se olha para o âmbito criminal, em particular, o uso indevido de dados pode caracterizar, por exemplo, falsidade ideológica, estelionato, fraude eletrônica ou uso de identidade falsa.

Esse crime, claro, acontece quando esses dados são usados para enganar, obter vantagem ou causar prejuízo a alguém.

Agora, quando se trata do âmbito civil e administrativo, a gente tem outro cenário.

A LGPD considera ilícito o tratamento de dados pessoais sem base legal, o que pode gerar multas, advertências e indenização por danos morais e materiais.

Você, então, pode perguntar:

“Isso acontece mesmo que não haja crime penal, como os citados há pouco no âmbito criminal?”

Exatamente.

Em outras palavras, o que nós queremos ressaltar logo no começo deste artigo é que usar dados de outra pessoa sem autorização ou finalidade legítima pode não ser crime em todos os casos, no entanto… sempre vai gerar responsabilização legal.

Percebe a nuance nesses dois cenários?

Agora que isso está mais claro…

O que é LGPD?

A LGPD é, como mencionamos, a Lei Geral de Proteção de Dados Pessoais ou Lei Nº 13.709. 

Trata-se do marco regulatório brasileiro que estabelece normas específicas para definir limites e condições para coleta, guarda e tratamento das informações dos cidadãos.

Inspirada na General Data Protection Regulation (GDPR), que regulamenta a questão nos países europeus, a legislação brasileira foi aprovada em 2018, após oito anos de debates, e entrou em vigor de maneira escalonada. 

Em um primeiro momento, foi estabelecida a criação da Autoridade Nacional de Proteção de Dados (ANPD). Posteriormente, em 18 de setembro de 2020, a LGDP passou a ser vigente. 

Inicialmente, ainda não estavam sendo aplicadas sanções administrativas por descumprimento da lei. 

A previsão era que as multas começassem a ser aplicadas em agosto de 2021.

Foi exatamente isso o que aconteceu: as sanções administrativas da LGPD já passaram a valer e estão em vigor desde 1º de agosto de 2021, sendo aplicadas pela Autoridade Nacional de Proteção de Dados para empresas e órgãos públicos que descumprem a lei.

Quem a LGPD protege?

A LGPD protege todas as pessoas naturais, ou seja, qualquer indivíduo cujos dados pessoais sejam tratados.

Seu art. 1 esclarece bem isso quando diz que ela “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Partindo disso, a proteção se aplica sempre que houver tratamento de dados de pessoas que estejam no território brasileiro, seja por empresas, órgãos públicos ou organizações nacionais ou estrangeiras. 

Como deve ser o consentimento na LGPD?

Na LGPD, o consentimento deve ser livre, informado e inequívoco, dado de forma clara pelo titular dos dados para uma finalidade específica. 

A propósito, conceitualmente falando, essa legislação define esse consentimento como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5, XII).

Isso significa que a pessoa precisa saber exatamente quais dados serão tratados, para qual finalidade e por quem, sem qualquer tipo de imposição ou dúvida. 

Além disso, o consentimento pode ser revogado a qualquer momento, de maneira simples e gratuita, e não pode ser genérico nem presumido. É o que destaca o art. 8:

“O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular”.

Tudo isso nos leva naturalmente a outro questionamento:

E quando não há consentimento conforme a LGPD?

Bem, quando não há consentimento do jeito que a LGPD exige, o uso ou compartilhamento de dados pessoais vai configurar violação aos direitos da personalidade do titular. 

Conforme o entendimento da 3ª Turma do STJ, a disponibilização de informações pessoais a terceiros sem comunicação prévia e sem autorização do titular é considerada ilícita e pode gerar indenização por danos morais, mesmo quando os dados não são sensíveis. 

Esse aspecto reforça que a ausência de consentimento, aliada à falta de transparência, torna o tratamento de dados irregular e passível de responsabilização civil.

Quando a LGPD entrou em vigor no Brasil?

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no Brasil de forma escalonada: a maior parte da lei, incluindo o tratamento de dados, passou a valer em 18 de setembro de 2020.

No entanto, como dito anteriormente, as sanções administrativas começaram a valer em 1º de agosto de 2021, conforme a Lei 14.010/20 e Lei 14.058/20. 

Qual é a finalidade da Lei Geral de Proteção de Dados?

Ao determinar hipóteses para utilização legítima de dados por terceiros, a Lei Geral de Proteção de Dados Pessoais tem, de forma mais genérica, a finalidade de assegurar os direitos fundamentais relacionados à esfera informacional do cidadão — ou seja, à liberdade e à privacidade.

Contudo, isso se desdobra em uma série de outros objetivos fundamentais também para fomentar o desenvolvimento econômico e tecnológico do país, como:

• determinar práticas transparentes e seguras;

• padronizar normas associadas ao tratamento de dados para o setor público e privado;

• consolidar a segurança das relações jurídicas e a confiança dos titulares dos dados;

• promover a livre concorrência e a defesa das relações comerciais e de consumo.

O que são dados pessoais conforme a LGPD?

De acordo com a ANPD, o conceito de dados pessoais adotado pela LGPD é aberto e definido como as informações relacionadas a uma pessoa natural identificada ou identificável. 

Mas além das informações básicas (nome, RG, CPF, endereço), outros dados que permitam a identificação do indivíduo também estão incluídos nessa lista.

Estamos falando de orientação sexual, filiação político-partidária, histórico médico, aspectos biométricos e também dados relacionados ao perfil comportamental.

Além disso, a lei também descreve o conceito de dados pessoais sensíveis, aos quais confere uma proteção maior. 

Logo, trata-se de informações diretamente relacionadas aos aspectos mais íntimos dos indivíduos, o que inclui, por exemplo, raça, etnia, religião e dados relativos à saúde ou à vida sexual das pessoas.

Como a LGPD trata os dados de menores de idade: dados de crianças e adolescentes?

O art. 14 da LGPD traz que o “tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente”.

Sendo assim, o que se compreende com o texto legal que vem após esse artigo é que essa legislação estabelece que qualquer uso de dados deve priorizar a proteção, a segurança e o desenvolvimento integral dessas pessoas.

E mais: isso não deve levar em conta exclusivamente a LGPD. A “legislação pertinente”, como o Estatuto da Criança e do Adolescente, também tem seu peso na balança.

No caso específico das crianças, a lei exige consentimento específico e em destaque de pelo menos um dos pais ou do responsável legal para que os dados possam ser tratados. 

Além disso, o controlador deve garantir transparência total, mantendo informações públicas e claras sobre quais dados são coletados, como são utilizados e quais são os canais disponíveis para o exercício dos direitos do titular, como acesso, correção e exclusão.

A gente também precisa deixar claro que a LGPD prevê exceções restritas ao consentimento, permitindo a coleta de dados de crianças sem autorização só quando for estritamente necessário para contatar os pais ou responsáveis ou quando os dados forem indispensáveis para a proteção da criança. 

E mesmo nesses dois cenários, esse tipo de ação deve ser de forma pontual e sem armazenamento.

Outro ponto relevante é a vedação ao uso excessivo de dados: a lei proíbe que a participação de crianças em jogos, aplicativos, plataformas digitais ou qualquer outra atividade seja condicionada ao fornecimento de informações além daquelas estritamente necessárias para a finalidade proposta.

Qual a diferença entre dados pessoais e dados pessoais sensíveis?

A LGPD diferencia dados pessoais e dados pessoais sensíveis com base no nível de risco que essas informações podem gerar ao titular. 

Para entender melhor isso, vamos começar pelos dados pessoais, que se tratam de todas as informações que permitem identificar uma pessoa, direta ou indiretamente.

É o caso do nome, CPF, endereço, telefone, e-mail, dados de localização ou histórico de consumo.

Como você sabe, essas informações fazem parte da rotina de cadastros e relações contratuais e, embora exijam proteção, não possuem, por si só, alto potencial discriminatório.

“Alto potencial discriminatório” é um aspecto muito importante para entender a diferença.

Enquanto isso, os dados pessoais sensíveis são aqueles que, pela sua natureza, podem expor o titular a discriminação, estigmatização ou violação mais grave de direitos fundamentais. 

A LGPD inclui nessa categoria informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, além de dados genéticos e biométricos. 

Por esse motivo, o tratamento de dados sensíveis está sujeito a regras mais rigorosas, com bases legais específicas e reforço nas medidas de segurança, justamente para reduzir riscos e proteger a dignidade e a privacidade do titular.

Para fundamentar tudo isso que acabamos de abordar, vale considerar o que traz o Laboratório Nacional de Computação Científica – LNCC:

“A Lei Geral de Proteção de Dados (LGPD) divide as informações em dados pessoais e dados pessoais sensíveis. Dados pessoais é o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa. E os dados pessoais sensíveis são aqueles que, quando revelados, podem gerar algum tipo de discriminação”

Quando a LGPD não se aplica?

A LGPD não incide sobre o tratamento de dados feito por pessoa natural para fins exclusivamente particulares e não econômicos.

Um exemplo disso? O uso de contatos pessoais no dia a dia. 

Também não se aplica ao tratamento de dados feito para fins jornalísticos, artísticos ou acadêmicos, respeitada a liberdade de expressão e de informação.

Além disso, a LGPD não se aplica ao tratamento de dados realizado para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, que são regulados por legislação própria. 

Não podemos esquecer também que essa lei não alcança dados anonimizados, desde que o processo de anonimização não possa ser revertido com meios técnicos razoáveis.

Só para deixar isso bem claro, esses “dados anonimizados” são informações pessoais que foram tratadas (com técnicas como remoção, substituição ou generalização) para que não seja possível identificar diretamente ou indiretamente uma pessoa.

Quais são os atores envolvidos na LGPD?

Para entender como funciona a LGPD, é importante conhecer os atores envolvidos e os seus papéis em situações associadas ao tratamento de dados. 

Por essa razão, a legislação descreve 4 agentes participantes.

Titular

Trata-se da pessoa física a quem pertencem os dados pessoais em questão, ou seja, todos nós somos titulares de informações.

Controlador

É o responsável pelos dados coletados, pela finalidade de uso e pelo seu tempo de armazenamento. 

Aqui, pode ser a empresa, órgão público ou pessoa física que coleta informações pessoais e decide como e por que irá tratá-las de uma determinada forma. 

Operador

Consiste na empresa ou na pessoa física que realiza o tratamento e o processamento dos dados pessoais, conforme as orientações do controlador.

Encarregado

Como veremos mais adiante, é uma pessoa física que deve ser indicada pelo controlador para atuar como canal de comunicação entre as partes e a autoridade nacional. 

O encarregado também deve orientar os colaboradores do controlador sobre as práticas de tratamento de dados.

ANPD e LGPD: como funciona essa fiscalização?

Como destaca o Ministério da Justiça e Segurança Pública, a “ANPD visa criar um ambiente que incentive o cumprimento das normas e estimule  a adoção de comportamentos e tomada de decisões em conformidade com a LGPD”.

Em prol disso, toda a atuação fiscalizatória se fundamenta em “princípios como cooperação, eficiência, racionalidade, proporcionalidade e transparência. Esses são os elementos fundamentais da regulação responsiva.”

Começamos respondendo a essa pergunta dessa maneira para explicar que a fiscalização da LGPD é feita pela Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por zelar, implementar e fazer cumprir a lei no Brasil. 

Nesse sentido, a ANPD atua de forma orientadora, preventiva e sancionadora, regulando a aplicação da LGPD, editando normas, guias e recomendações, além de promover ações educativas para agentes de tratamento e para a sociedade.

DPO na LGPD: quem é?

O DPO, chamado pela LGPD de encarregado pelo tratamento de dados pessoais, é a pessoa indicada pelo controlador para atuar como canal de comunicação entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

Sua principal função é orientar e fiscalizar internamente o cumprimento da LGPD, recebendo reclamações e solicitações dos titulares, prestando esclarecimentos e adotando providências em relação à proteção de dados.

Além disso, o encarregado deve orientar funcionários e parceiros sobre boas práticas de tratamento de dados pessoais, acompanhar a gestão de riscos e incidentes de segurança e colaborar com a ANPD sempre que necessário. 

O que muda com a implantação da Lei nº 13.709?

Com a vigência da Lei Geral de Proteção de Dados Pessoais, os cidadãos passam a ter mais controle sobre as suas informações e as empresas e órgãos públicos precisam se adequar a uma série de normas.

Falando especialmente dos cidadãos, a LGPD amplia a proteção da privacidade e garante mais controle sobre suas informações pessoais. 

Afinal de contas, como abordado anteriormente, a partir da lei, os titulares passam a ter direitos claros, como saber quais dados estão sendo tratados, para qual finalidade, com quem são compartilhados.

Além disso, eles também têm o direito de acessar, corrigir, limitar, portar ou solicitar a exclusão de seus dados (quando aplicável).

Já para empresas e órgãos públicos, a LGPD impõe a necessidade de adequação a regras específicas, como:

• Definir bases legais para o tratamento de dados;

• Utilizar os dados apenas para finalidades legítimas, específicas e informadas;

• Adotar medidas técnicas e administrativas de segurança;

• Implementar políticas de governança e boas práticas em proteção de dados;

• Registrar e documentar os processos de tratamento;

• Nomear um encarregado pelo tratamento de dados (DPO), quando exigido;

• Estar preparado para responder a incidentes e fiscalizações da ANPD.

Quais são as 10 bases legais da LGPD?

A regulamentação determina dez princípios a serem respeitados para garantir a proteção de dados e o cumprimento da legislação:

1. Finalidade: especificar e informar de forma explícita ao titular o objetivo do uso das informações;

2. Adequação: agir de forma adequada à finalidade acordada;

3. Necessidade: limitar-se ao uso dos dados essenciais para alcançar a finalidade;

4. Acesso livre: permitir acesso fácil e gratuito dos titulares ao modo como seus dados são tratados;

5. Qualidade dos dados: manter as informações exatas e atualizadas, conforme a necessidade de tratamento;

6. Transparência: informar o titular de modo claro e acessível sobre o tratamento e os seus responsáveis;

7. Segurança: tomar medidas para assegurar a proteção contra situações acidentais ou ilícitas, como invasão, destruição, perda ou divulgação de dados;

8. Prevenção: tomar medidas preventivas, a fim de evitar danos ao titular e demais envolvidos;

9. Não discriminação: não permitir atos ilícitos ou abusivos;

10. Responsabilização: o agente é obrigado a demonstrar a eficácia das medidas adotadas.

Como funciona a LGPD na prática?

As organizações terão, portanto, que criar meios para respeitar esses princípios e todas as outras exigências previstas pela lei. 

Na prática, por exemplo, sempre que realizar alguma forma de coleta de dados pessoais — claro, autorizada pelo cliente — a empresa terá que indicar a finalidade de uso e o termo de consentimento deve ficar armazenado para eventuais consultas.

Além disso, tanto formulários físicos quanto digitais também devem ser armazenados de forma segura e dados sensíveis terão que ter tratamento diferenciado, conforme já mencionamos.

Mais um exemplo do que acontecerá na prática é o fato de que, para comunicar ou compartilhar informações pessoais com outras instituições, será necessária autorização específica do consumidor. 

Além disso, em caso de qualquer problema em relação aos dados, os titulares deverão ser notificados, assim como as autoridades.

Outro ponto de atenção é a questão da disponibilização de informações e o acesso aos dados. Os clientes precisam ser informados de maneira clara, adequada e ostensiva sobre o tratamento que os dados terão e devem poder acessá-los quando desejarem.

O que é proibido na LGPD?

A LGPD proíbe qualquer tratamento de dados pessoais que viole os direitos do titular ou desrespeite os princípios e regras previstos na lei. 

É vedado, por exemplo, coletar ou usar dados sem base legal, tratar informações para finalidades diferentes daquelas informadas ao titular, manter dados excessivos ou desnecessários e compartilhar dados pessoais sem transparência ou autorização legal.

Também é proibido tratar dados pessoais sensíveis de forma inadequada, utilizá-los para fins discriminatórios ilícitos ou abusivos, condicionar o acesso a serviços ao fornecimento de dados além do necessário, deixar de adotar medidas de segurança para proteger as informações e omitir incidentes ou vazamentos relevantes. 

Junto a tudo isso, a LGPD veda o descumprimento dos direitos do titular, como impedir o acesso, a correção ou a exclusão de dados, bem como a ausência de responsabilização e prestação de contas por parte dos agentes de tratamento.

Quais as principais ações necessárias para se adequar à LGPD? 

Para cumprir essas determinações e atuar de forma legal, empresas e poder público devem se adequar às medidas estipuladas pela LGPD para proteger os dados pessoais. 

A seguir, descrevemos algumas das principais ações que precisam ser feitas nesse sentido. Acompanhe!

Identificação de bases legais

A entrada em vigor da nova legislação determinou que o tratamento de informações pessoais pode ser realizado quando verificada a ocorrência de qualquer uma das hipóteses previstas no artigo 7º ou no 11º.

A LGPD prevê dez bases legais para justificar as atividades de tratamento de dados pessoais e oito para legitimar o tratamento de dados pessoais sensíveis. 

Dentre elas estão: fornecimento de consentimento pelo titular, execução de políticas públicas, proteção da vida, tutela de saúde, proteção do crédito etc. 

Portanto, para estar de acordo com a lei, toda empresa ou entidade deve identificar qual desses itens corresponde ao seu caso e autoriza o uso dos dados na sua atuação.

Mapeamento e organização dos dados

Entre as informações que são gerenciadas, é importante que seja feita uma avaliação da natureza de cada uma delas. 

Essa análise também serve para identificar dados sensíveis, que deverão ser destinados a um tratamento diferenciado. 

Além disso, nessa etapa, também é crucial examinar os meios nos quais eles se encontram, sejam físicos ou digitais, para estruturar uma forma de organização e visibilidade das informações. 

Revisão de políticas de segurança e adoção de novas práticas e ferramentas

A organização deverá revisar as suas políticas internas de segurança, criando ou atualizando contratos que tenham alguma relação com a proteção de dados — termos de uso, política de cookies e privacidade etc.

Além disso, tudo deve ter por finalidade a adoção de processos que assegurem o cumprimento das normas de proteção de dados, ou seja, reforcem a segurança. 

Uma dessas medidas pode ser, por exemplo, a contratação de um seguro para riscos cibernéticos (vamos abordá-lo em detalhes mais adiante).

Estabelecimento de um canal de contato

A lei determina a necessidade de indicação de um encarregado para atuar como canal de comunicação entre o controlador, os titulares das informações e a ANPD. 

Essa medida, porém, pode ser dispensada em determinadas circunstâncias, a depender da natureza e do porte da entidade ou do seu volume de operações. No entanto, trata-se, em princípio, de uma das regras do marco.

Quem deve cumprir a lei: minha empresa precisa seguir a LGPD?

De acordo com o seu art. 3º, a LGPD “aplica-se a qualquer operação de tratamento realizada por pessoa natural ou pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

1. a operação de tratamento seja realizada no território nacional;
2. a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
3. os dados pessoais objeto do tratamento tenham sido coletados no território nacional.”

Isso significa que todas as empresas e órgãos públicos estão obrigados a cumprir a legislação. 

Portanto, em princípio, todas as organizações devem se adequar à LGPD, não obstante, a sua natureza jurídica, porte, setor ou o volume de dados com o qual trabalha.

Existem exceções?

Não está determinada na lei nenhuma exceção em relação a médias ou pequenas empresas, nem ao processamento de informações em pequenas escalas. 

As únicas exceções descritas pela regulamentação são casos de tratamento de dados pessoais provenientes de fora do território nacional ou que seja realizado para fins exclusivamente:

• particulares e não econômicos;
• jornalísticos, artísticos ou acadêmicos;
• de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

Quais as 5 coisas que a LGPD exige das empresas?

A LGPD exige que as empresas atuem com transparência, informando claramente como os dados são usados e obtendo consentimento quando necessário.

Além disso, também exige que elas adotem medidas de segurança para prevenir vazamentos e acessos indevidos, realizem o mapeamento e controle dos dados pessoais tratados, bem como garantam o atendimento aos direitos dos titulares (como acesso, correção e exclusão).

Ainda, a LGPD também exige que as empresas nomeiem um Encarregado de Dados (DPO) para supervisionar a conformidade e atuar como ponto de contato com os titulares e a ANPD.

Qual a relação entre a governança de dados e a LGPD?

A governança de dados é o conjunto de políticas, processos e controles que orientam como os dados são coletados, utilizados, armazenados e protegidos dentro de uma organização.

Só isso já demonstra como essa governança é importante para o cumprimento da LGPD.

A lei, em particular, exige que o tratamento de dados pessoais seja feito com base em princípios como transparência, segurança, prevenção e responsabilização, o que só é possível quando existe uma estrutura clara de governança de dados.

Certo?

Na prática, o que acontece é que a governança de dados permite que a empresa organize responsabilidades, defina regras internas, gerencie riscos e monitore o ciclo de vida dos dados.

O resultado de tudo isso é que ocorre a facilidade da comprovação de conformidade com a LGPD. 

Ou seja, a governança é o meio pelo qual a organização demonstra que adota medidas eficazes para proteger dados pessoais, atender os direitos dos titulares e responder adequadamente a incidentes e fiscalizações da ANPD.

Quais as penalidades previstas para o não cumprimento da LGPD?

Naturalmente, a Lei Geral de Proteção de Dados elenca um conjunto de penalidades para casos de violação das normas previstas. 

Entre elas estão desde advertências, com possibilidade de medidas corretivas, até multa de 2% do faturamento com limite de até R$ 50 milhões. 

Além disso, também há sanções de bloqueio ou eliminação de informações relacionadas à irregularidade e suspensão parcial do funcionamento do banco de dados. 

Em algumas situações, pode ser estipulada, ainda, a proibição parcial ou total da atividade de tratamento.

Qual a multa ao infringir a LGPD?

O art. 52 da LGPD nos informa que os agentes de tratamento de dados, por conta das infrações cometidas às normas previstas na lei, ficam sujeitos a algumas sanções.

São elas:

• Advertência, com indicação de prazo para adoção de medidas corretivas;

• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

• Multa diária, observado o limite total a que se refere o inciso II;

• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

• Eliminação dos dados pessoais a que se refere a infração.

Um exemplo de infração da LGPD foi quando a ANPD aplicou sanções à empresa Telekall Infoservice após concluir processo administrativo por descumprimento da LGPD. 

Essa empresa foi penalizada por realizar tratamento de dados pessoais sem base legal e por não comprovar a indicação de encarregado de dados, além de infringir regras do regulamento de fiscalização.

Como se trata de uma microempresa, as multas foram limitadas a 2% do faturamento bruto, totalizando R$ 14.400,00, além de uma advertência. 

A fiscalização teve início após denúncia de venda de listas de contatos de WhatsApp de eleitores para campanhas eleitorais em 2020, no município de Ubatuba/SP.

Conforme o relatório da CGF/ANPD que embasou esse decisão, a descrição da infração foi:

“Oferta aos candidatos às eleições municipais de uma listagem de contatos de WhatsApp de eleitores de Ubatuba/SP para fins de disseminação de material de campanha eleitoral sem hipótese de tratamento; ausência de comprovação de registro das operações de tratamento de dados pessoais; ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento; falta de comprovação da indicação de encarregado”.

Como a LGPD se relaciona com a segurança cibernética?

A LGPD se relaciona diretamente com a segurança cibernética porque exige que dados pessoais sejam protegidos contra acessos não autorizados, vazamentos, perdas, alterações e qualquer forma de uso indevido. 

Na prática? A segurança cibernética é um dos principais meios para cumprir a lei.

A LGPD determina que controladores e operadores adotem medidas técnicas e administrativas de segurança capazes de proteger os dados pessoais durante todo o seu ciclo de vida (da coleta ao descarte).

Essas medidas incluem, por exemplo, controles de acesso, criptografia, backups, monitoramento de sistemas, gestão de vulnerabilidades e políticas internas de segurança da informação.

Quando há falhas de segurança cibernética que resultam em incidentes, como vazamentos de dados, a LGPD entra em ação ao exigir a avaliação de riscos, a adoção de ações corretivas e, nos casos em que houver risco ou dano relevante aos titulares, a comunicação à ANPD e aos titulares dos dados.

Quais riscos cibernéticos minha empresa pode enfrentar?

Definitivamente, não é por acaso que os países estão criando regulamentações para proteção dos dados dos seus cidadãos. Ao passo que o mundo se torna cada vez mais digital, a incidência de ataques cibernéticos aumenta significativamente.

Os ciberataques são crimes que podem, por exemplo, resultar em sequestro e exposição de dados e prejudicar tanto a organização quanto os clientes e colaboradores. 

As invasões de sistemas costumam ser feitas por meio de ransomwares que bloqueiam as informações para as empresas. Para reaver os dados, muitas vezes, são exigidos resgates de valores altíssimos. 

Além disso, cabe ainda mencionar que, no Brasil, infelizmente, os riscos de crimes cibernéticos são muito elevados. 

Um levantamento da Kaspersky revelou que, além do aumento exponencial do número de crimes desse tipo em 2020, o Brasil liderou a lista mundial dos países mais afetados por ataques de ransomware empresariais.

O que a LGPD diz sobre vazamento de dados pessoais?

A LGPD determina que, em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, como o vazamento de dados pessoais, o controlador deve comunicar o fato à ANPD e aos próprios titulares, em prazo razoável. 

É isso que define o art. 4 da Resolução CD/ANPD nº 15, de 24 de abril de 2024:

“O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.

Essa comunicação deve informar a natureza dos dados afetados, os riscos envolvidos, as medidas adotadas para conter o incidente e as ações para mitigar os possíveis danos.

Além disso, a lei exige que as organizações adotem medidas preventivas de segurança para evitar vazamentos e estabelece que a omissão ou a falha na proteção dos dados pode gerar responsabilização administrativa, civil e até reputacional, incluindo advertências, multas e outras sanções previstas na LGPD.

Quando um incidente deve ser comunicado à ANPD e aos titulares de dados?

Um incidente de segurança deve ser comunicado à ANPD e aos titulares de dados sempre que possa acarretar risco ou dano relevante aos titulares, conforme definido pela Resolução CD/ANPD nº 15/2024. 

Seu art. 6 diz que essa comunicação de incidente de segurança deve ser feita à ANPD “pelo controlador no prazo de três dias úteis, ressalvada a existência de prazo para comunicação previsto em legislação específica”.

Essa obrigação reforça o dever de transparência e de proteção dos titulares, permitindo que medidas sejam adotadas para mitigar possíveis danos decorrentes do vazamento ou acesso indevido aos dados pessoais.

Como o seguro cyber se relaciona com a LGPD?

O seguro cyber é uma modalidade voltada para garantir indenização de eventuais danos causados por incidentes relativos a roubo, vazamento de dados e outros crimes cibernéticos. 

Assim, a apólice pode cobrir, por exemplo, custos de extorsão, sanções administrativas e lucros cessantes da empresa e de terceiros.

É por isso que, em função do crescimento do risco e das exigências da LGPD, o seguro cyber passou a ser mais conhecido no Brasil. 

Como vimos, a legislação pode levar as empresas a serem punidas por tratamento inadequado e falta de segurança em relação a dados. 

Sendo assim, o seguro é uma importante ferramenta de proteção para as organizações, pois tem o objetivo de minimizar prejuízos relacionados à violação da sua segurança digital. 

Seguro para riscos cibernéticos: o que preciso saber?

A apólice do seguro para riscos cibernéticos pode garantir coberturas de responsabilidade civil por danos a terceiros e à própria empresa. 

Algumas das situações que costumam estar cobertas pelo seguro cyber são:

• Evento de responsabilidade de dados: quando informações não-públicas de terceiros que sejam de responsabilidade do segurado são perdidas;

• Evento de responsabilidade da mídia: quando ocorre a publicação ou divulgação de informações de terceiros nos canais digitais da empresa;

• Evento de segurança de rede: quando um malware é transmitido pela rede do segurado;

• Processos LGPD: no caso de violação, real ou alegada, da legislação referente à proteção de dados.

Como escolher o seguro cyber?

Uma corretora de seguros confiável vai fornecer todo o suporte necessário e orientar a escolha do seguro mais adequado para cada organização. 

Nós, a Mutuus Seguros, somos a melhor alternativa nesse sentido, sobretudo porque você consegue cotar e contratar o seguro de forma complementar online. 

Vale dizer que é essencial buscar a opção que ofereça a maior segurança possível para o tratamento de dados da empresa, ajude a evitar prejuízos que podem impactar a sua saúde financeira e garanta o cumprimento da LGPD.

Com a gente, você consegue montar uma apólice de seguro cyber alinhada com suas necessidades. Na prática, você só contrata coberturas que realmente precisa.

Ah, e cabe ressaltar que não são apenas as grandes corporações que podem contar com uma apólice desse tipo para se proteger. 

Nesse caso, pequenas e médias empresas são mais vulneráveis a crimes cibernéticos e também podem encontrar um seguro que se encaixe no seu perfil.

• Leia também: PCI DSS: o que é e quais são os requisitos

Como cotar um seguro cyber para a minha empresa?

A cotação de um seguro cyber pode ser solicitada pela internet, por meio de uma corretora de seguros digital. 

Como falamos há pouco, nós, a Mutuus Seguros, somos a melhor corretora de seguros digital.

Depois de analisar as necessidades e as informações da sua empresa, nós apresentamos as melhores soluções e ajudamos a realizar a contratação da apólice.

Contar com uma apólice desse tipo é uma parte importante da adequação à regulamentação imposta pela LGPD. 

Além disso, traz maior tranquilidade aos negócios e aos clientes, já que demonstra a preocupação e o compromisso da organização em relação à segurança no tratamento de dados.

FAQ sobre a LGPD

Além de todos os pontos que abordamos, confira mais alguns esclarecimentos.

O principal objetivo da LGPD é agir?

O principal objetivo da LGPD é proteger os direitos fundamentais de liberdade e de privacidade, garantindo que os dados pessoais sejam tratados de forma segura, transparente e responsável. 

Como abordado ao longo de todo este artigo, a lei busca dar ao titular maior controle sobre suas informações, ao mesmo tempo em que cria um ambiente de segurança jurídica para empresas e órgãos públicos.

A LGPD se aplica apenas a empresas?

Não. A LGPD não se aplica apenas a empresas. 

A lei alcança órgãos públicos, entidades do terceiro setor, associações, fundações e qualquer pessoa física ou jurídica, de direito público ou privado, que realize tratamento de dados pessoais. 

Isso inclui desde grandes organizações até pequenos negócios, profissionais autônomos e instituições públicas que coletam, utilizam, armazenam ou compartilham dados de pessoas naturais.

LGPD: há cursos?

Existem cursos sobre LGPD (Lei Geral de Proteção de Dados). Eles são amplamente oferecidos por instituições como GOV.BR, Sebrae, SENAI, SEST SENAT, Escola de Pessoas, Fundação Bradesco, Alura e outras.

Ao pesquisar mais a fundo, verá que existem opções gratuitas e pagas, abordando desde conceitos básicos até a implementação prática para profissionais, titulares de dados e o setor público.

LGPD: o que diz o princípio da necessidade?

O princípio da necessidade na LGPD determina que o tratamento de dados pessoais deve ser limitado ao mínimo essencial para alcançar a finalidade informada, coletando só os dados pertinentes, proporcionais e não excessivos.

Em outras palavras, não se deve pedir informações desnecessárias para a prestação de um serviço, evitando o excesso e o risco à privacidade do titular. 

LGPD: o que significa?

A sigla LGPD significa Lei Geral de Proteção de Dados Pessoais, uma legislação brasileira (Lei nº 13.709/2018) que estabelece regras para a coleta, tratamento, armazenamento e compartilhamento de dados pessoais. 

LGPD: o que diz sobre site?

A Lei Geral de Proteção de Dados (LGPD) aplica-se a qualquer site que coleta e trata dados pessoais de usuários localizados no Brasil, independentemente de onde o site esteja hospedado. 

A legislação exige que essas operações de tratamento de dados sejam realizadas com transparência, segurança e com o consentimento explícito do titular dos dados.