A tendência global de promulgar leis de privacidade de dados mais rigorosas continua a crescer, uma vez que a Lei Geral de Proteção de Dados do Brasil (conhecida como "LGPD") entrou recentemente em vigor. Muitos países têm reformulado suas leis antigas e aprovado novas leis de privacidade de dados para abordar questões relacionadas às informações dos consumidores. Uma vez que os dados estão se multiplicando a cada dia, as informações privadas dos consumidores estão em um risco maior de comprometimento do que nunca. Para proteger informações privadas, como números de segurança social e dados financeiros, muitos órgãos reguladores estão aprovando leis mais focadas no consumidor, que implementam padrões e diretrizes que as organizações devem seguir para proteger dados sensíveis. Essas leis também abordam o que fazer em caso de violação de dados e as penalidades por violações.

Compreendendo a Nova Lei de Privacidade do Brasil

A LGPD foi aprovada em 14 de agosto de 2018 e entrou em vigor em agosto de 2020. A data efetiva foi anterior ao esperado, uma vez que houve um pedido inicial para adiar até o próximo mês de maio, que foi negado. Embora a lei esteja atualmente em vigor, ainda há questões a serem resolvidas. Por exemplo, o Brasil deveria criar um órgão administrativo para impor sanções e criar regulamentações para auxiliar na interpretação da lei. No entanto, esse órgão ainda não foi criado, deixando a aplicação da lei e a decodificação das intenções por trás do texto da lei em aberto. Embora não possa haver sanções administrativas até 1º de agosto de 2021, indivíduos e promotores podem apresentar ações privadas e civis por perdas decorrentes de violações da LGPD.

No momento, é importante para as organizações determinar se a lei se aplica a elas. Uma organização pode estar sujeita à LGPD se processar dados pessoais que estão no Brasil, coletados no Brasil, inclusive dados com o propósito de oferecer ou fornecer bens e serviços a consumidores localizados no Brasil. Assim como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, essa lei pode abranger muitas organizações localizadas fora do Brasil. Para processar dados pessoais, uma organização precisa de um motivo válido, como consentimento individual ou uma base contratual. Existem também vários outros motivos válidos enumerados na lei.

Se uma organização processa legalmente dados pessoais, é essencial compreender os direitos que os indivíduos possuem sob a nova lei. No que diz respeito aos direitos dos consumidores, esta é uma área em que a LGPD oferece mais para o consumidor do que o GDPR. Além dos direitos de acessar e apagar informações pessoais, sob a LGPD, os indivíduos também podem acessar informações sobre qualquer pessoa que tenha recebido suas informações da organização. Os indivíduos também têm o direito de solicitar se uma organização armazena determinados dados. Em relação às transferências de dados fora do Brasil, isso é permitido se o outro país tiver leis de privacidade em vigor, oferecendo proteção adequada aos dados pessoais. O que constitui "proteção adequada" ainda não foi definido e, uma vez que o órgão responsável pela aplicação da LGPD for criado, espera-se que ele forneça orientações adicionais nessa área.

Agindo de Forma Proativa em Relação à Conformidade com a LGPD

Se uma organização estiver sujeita à abrangência da LGPD, ela deve implementar as seguintes práticas para alcançar a conformidade:

• Estar ciente dos princípios-chave da lei e fazer as mudanças internas necessárias. As organizações devem atualizar todas as políticas e procedimentos para refletir a conformidade com a lei. Isso pode incluir a implementação de protocolos de segurança mais rigorosos ou a atualização de planos de governança de informações para garantir a preservação dos dados. Acompanhar quaisquer alterações na lei ou regulamentos interpretativos é fundamental para a conformidade contínua.
• Criar um sistema para responder a solicitações de dados dos consumidores. Implementar sistemas de mapeamento de dados, manter um registro abrangente do processamento de dados e atualizar a tecnologia de auto-classificação são mudanças cruciais na governança de informações que facilitarão a gestão, localização e recuperação de dados em caso de solicitações sob a LGPD.
• Para alcançar a conformidade universal, as organizações sujeitas a várias leis de privacidade devem compreender todas as semelhanças e diferenças. Por exemplo, embora semelhante ao GDPR, a LGPD tem várias diferenças distintas. Até o momento, o GDPR é a lei de privacidade de dados mais rigorosa do mundo e as regras do Brasil parecem ser mais flexíveis. Por exemplo, enquanto ambas as leis exigem que algumas organizações designem oficiais de proteção de dados, o GDPR oferece requisitos que o indivíduo designado precisa cumprir antes de assumir esse cargo. A lei de privacidade do Brasil não oferece requisitos ou orientações sobre quem pode ocupar esse cargo dentro de uma organização.
• Designar um oficial de proteção de dados se a LGPD exigir que uma determinada organização tenha um. Após o órgão administrativo começar a criar regulamentações, deve haver mais informações sobre quem pode ser um oficial de proteção de dados e como deve ser o papel deles.
• Preparar-se para sanções administrativas potenciais, que o órgão regulador pode emitir diariamente e que serão baseadas em até dois por cento da receita da organização. Embora seja desconhecido quando o Brasil criará o órgão administrativo responsável por essas sanções, é importante ser proativo e antecipar o que poderia acontecer no futuro se uma organização não alcançar a conformidade.

Essas são apenas algumas maneiras importantes de as organizações prevenirem futuras violações de conformidade com a LGPD. O fortalecimento das práticas de governança de informações e protocolos de segurança não apenas ajudará na conformidade com todas as leis de privacidade de dados atualmente em vigor, mas também melhorará a maneira como uma organização conduz seus negócios como um todo. Quando se trata de leis de privacidade de dados, é crucial compreender quais leis se aplicam e como alcançar a conformidade com todas elas. À medida que a LGPD entra nos sistemas judiciais e eventualmente na aplicação administrativa, a forma como a conformidade deve ser vista para essa lei se tornará ainda mais clara.

Para saber como a LGPD se compara ao GDPR ou à CCPA de forma mais detalhada, visite nossos blogs recentes que abordam ambos os tópicos. Saiba como as empresas estão lidando com cada vez mais governos prestando atenção à privacidade individual.