Lei geral de proteção de dados pessoais (LGPD)

A LGPD (BRASIL, 2020) é uma lei que entrou em vigor no Brasil em setembro de 2020, visando proteger os direitos fundamentais de privacidade dos cidadãos brasileiros. A lei estabelece medidas para que haja a transparência na coleta e no tratamento de dados pessoais pelas organizações, que deve então prover a proteção adequada destes dados para garantir a privacidade dos seus usuários. 

O que devemos pensar é que, de acordo com a LGPD, os dados pessoais podem ser coletados mediante finalidade e base legal. O titular dos dados pessoais tem direitos, e a empresa que faz o tratamento dos dados pessoais passa a ser a responsável pelos dados pessoais coletados. E essa responsabilidade envolve, principalmente, a proteção, já que qualquer uso irregular, incluindo o seu vazamento, afeta a privacidade do titular. As empresas devem, assim, implementar controles de segurança da informação para evitar incidentes de segurança que podem levar ao vazamento de dados pessoais.

A disciplina da proteção de dados pessoais tem como fundamentos:

• I - o respeito à privacidade;
• II - a autodeterminação informativa;
• III - a liberdade de expressão, de informação, de comunicação e de opinião;
• IV - a inviolabilidade da intimidade, da honra e da imagem;
• V - o desenvolvimento econômico e tecnológico e a inovação;
• VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
• VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Vamos exemplificar? :)

Uma empresa que coleta dados de uma pessoa, como nome e CPF, deve dizer de uma forma explícita a finalidade daquela coleta, incluindo a forma como aqueles dados coletados serão protegidos, por quanto tempo, e se haverá compartilhamento com terceiros. A pessoa pode ou não aceitar estes termos, e terá direito a revisões dos dados sendo tratados pela empresa, podendo solicitar a remoção do banco da empresa. Há casos, como em hotéis, em que há a coleta de dados pessoais no momento do check-in, como número de documentos e endereço. A coleta deve obedecer à finalidade relacionada à hospedagem, de acordo com a legislação do setor. No caso de uso destes dados para outros fins, como o compartilhamento para um parceiro comercial do hotel, o hóspede deve ser informado sobre ele e dar um consentimento explícito. Além deste aspecto de transparência nas relações com as pessoas, o hotel deve proteger todas os dados coletados. Em caso de vazamento destes dados, sejam eles em papel ou em meio digital, o hotel estará sujeito às sanções previstas na lei.

A lei estabelece sanções para quaisquer organizações, sejam elas grandes ou pequenas empresas, que não cumpram os requisitos estabelecidos, envolvendo a transparência nas relações com as pessoas, e vazamentos de dados pessoais, que comprometem a privacidade das pessoas (figura a seguir).

A LGPD trata da privacidade e da proteção de dados pessoais. Do ponto de vista da segurança, qual é o princípio que deve ser trabalhado, considerando a tríade CID (confidencialidade, integridade, disponibilidade)? Privacidade tem relação com a confidencialidade. Assim, empresas já com nível de maturidade mais alto em segurança da informação já têm maior aderência com a lei, já que tratam as informações em todos os princípios da CID. Alguns exemplos de controles de segurança são a criptografia e o controle de acesso a sistemas e banco de dados. Outro ponto importante da LGPD é que os dados pessoais devem ser protegidos, logo, esses dados devem ser primeiramente mapeados. Já os Dados confidenciais e dados corporativos não fazem parte do escopo da LGPD.