Lei Proteção de Dados Pessoais BR – Resumo para CEOs e Executivos
Edison Fontes, CISM, CISA, CRISC, edison@pobox.com.
A Lei Proteção de Dados Pessoais do Brasil, está aguardando a promulgação pela Presidência da República, após sua aprovação no Congresso Nacional. É importante que o Corpo Diretivo da organização entenda os principais controles exigidos. Ela será aplicável em 18 meses. Tenha certeza: quando passar este tempo sua organização tem grandes chances de receber multas e ações judiciais cobrando indenização porque dados pessoais não foram protegidos adequadamente e em conformidade com a legislação.
Destaco a seguir os principais conceitos e controles da Lei de Proteção de Dados Pessoais Brasil, que impactam diretamente à organização.
Diretriz
A pessoa natural ou pessoa singular é a proprietária (Titular) dos seus dados pessoais.
Objetivo
Garantir os direitos de liberdade, privacidade e desenvolvimento da pessoa singular, pessoa natural.
Definição
- Dado pessoal: informação relacionada à pessoa natural que identifique ou que possa identificar a mesma. Por exemplo: nome, apelido, CPF, RG, registro profissional, endereço IP, conjunto de dados médicos que possam identificar uma pessoa.
- Não é dado pessoal, por exemplo, uma compra sem estar relacionada ao CPF de uma pessoa.
- Dado sensível: dado pessoal relacionado à religião, etnia, opiniões e similar.
Aplicação
Tratamento de dados pessoais em qualquer tipo de tecnologia, por indivíduos, organizações privadas ou entidades públicas.
- Tratamento de dados realizado no território nacional.
- Não depende da localização física dos dados.
- Tratamento de dados para indivíduos localizados no território nacional.
- Coleta de dados quando o indivíduo se encontra no território nacional.
Diretrizes de Proteção para Tratamento de Dados Pessoais
- Necessário autorização (consentimento) do Titular (Pessoa Singular).
- Tem que explicitar a finalidade específica.
- Utilização exclusivamente para a finalidade declarada.
- Coleta mínima. Apenas o necessário para o tratamento dos dados.
- Permissão de consulta pelo Titular dos dados e do seu uso.
- Garantia de qualidade e atualização dos dados.
- Ter controles estruturados de segurança da informação.
- Não descriminar pessoa singular pelo tratamento de dados.
- A organização é responsável pelo tratamento que faz e pelo tratamento dos subcontratados.
- Mudanças no tratamento de dados exige novo consentimento do Titular.
- Tratamento de dados de crianças e adolescentes necessita autorização responsáveis.
- Uso dos dados exclusivamente durante o tempo do serviço ou similar.
- Direito de revisão pelo Titular quando de decisões por perfil automático.
- Transferência de dados pessoais tem que seguir o mesmo padrão de proteção.
- Comunicar à autoridade qualquer incidente aos dados pessoais.
Penalidade
Dois por cento do faturamento anual excluídos tributos, limitado até R$ 50.000.000,00 (cinquenta milhões de reais), por infração.
Outros
A lei prevê a criação do Conselho Nacional de Proteção de Dados, situações de exceções e uso de dados para pesquisas.
Resumo
A responsabilidade da organização e dos seus executivos, em especial o CEO, fica mais explícita e descrita em lei. A partir de agora, tratamento de dados pessoais é uma questão séria.
Para implementar os controles exigidos e ficar em conformidade com a lei, as organizações precisam ter um Processo Organizacional de Segurança da Informação e começar a trabalhar ou aprimorar sua proteção imediatamente.
por Prof. Ms. Edison Fontes, CISM, CISA, CRISC
Veja também:
- Projeto de lei geral de proteção de dados pessoais é aprovado no Senado
- Violação de dados na Telefonica deixa dados em milhões expostos
- Vulnerabilidades Críticas e Altas no CISCO Policy Suite, Webex, SD-WAN e Nexus
- Hackers usam solução MDM maliciosa para espionar os usuários do iPhone
- Hacker vende acesso ao sistema de segurança de Aeroporto na Dark Web por apenas US$ 10
- Tesla processa ex-funcionário que automatizou vazamento de dados
- Perfis de clientes de Macys e Bloomingdales hackeados
Deixe sua opinião!