Lei Proteção de Dados Pessoais BR – Resumo para CEOs e Executivos

Lei Proteção de Dados Pessoais BR – Resumo para CEOs e Executivos

Edison Fontes, CISM, CISA, CRISC, edison@pobox.com.

 

A Lei Proteção de Dados Pessoais do Brasil, está aguardando a promulgação pela Presidência da República, após sua aprovação no Congresso Nacional. É importante que o Corpo Diretivo da organização entenda os principais controles exigidos. Ela será aplicável em 18 meses. Tenha certeza: quando passar este tempo sua organização tem grandes chances de receber multas e ações judiciais cobrando indenização porque dados pessoais não foram protegidos adequadamente e em conformidade com a legislação.

Destaco a seguir os principais conceitos e controles da Lei de Proteção de Dados Pessoais Brasil, que impactam diretamente à organização.

  

Diretriz

A pessoa natural ou pessoa singular é a proprietária (Titular) dos seus dados pessoais.

Objetivo

Garantir os direitos de liberdade, privacidade e desenvolvimento da pessoa singular, pessoa natural.

 

Definição

  • Dado pessoal: informação relacionada à pessoa natural que identifique ou que possa identificar a mesma. Por exemplo: nome, apelido, CPF, RG, registro profissional, endereço IP, conjunto de dados médicos que possam identificar uma pessoa.
  • Não é dado pessoal, por exemplo, uma compra sem estar relacionada ao CPF de uma pessoa.
  • Dado sensível: dado pessoal relacionado à religião, etnia, opiniões e similar.

 

Aplicação

Tratamento de dados pessoais em qualquer tipo de tecnologia, por indivíduos, organizações privadas ou entidades públicas.

  1. Tratamento de dados realizado no território nacional.
  2. Não depende da localização física dos dados.
  3. Tratamento de dados para indivíduos localizados no território nacional.
  4. Coleta de dados quando o indivíduo se encontra no território nacional.

 

Diretrizes de Proteção para Tratamento de Dados Pessoais

  1. Necessário autorização (consentimento) do Titular (Pessoa Singular).
  2. Tem que explicitar a finalidade específica.
  3. Utilização exclusivamente para a finalidade declarada.
  4. Coleta mínima. Apenas o necessário para o tratamento dos dados.
  5. Permissão de consulta pelo Titular dos dados e do seu uso.
  6. Garantia de qualidade e atualização dos dados.
  7. Ter controles estruturados de segurança da informação.
  8. Não descriminar pessoa singular pelo tratamento de dados.
  9. A organização é responsável pelo tratamento que faz e pelo tratamento dos subcontratados.
  10. Mudanças no tratamento de dados exige novo consentimento do Titular.
  11. Tratamento de dados de crianças e adolescentes necessita autorização responsáveis.
  12. Uso dos dados exclusivamente durante o tempo do serviço ou similar.
  13. Direito de revisão pelo Titular quando de decisões por perfil automático.
  14. Transferência de dados pessoais tem que seguir o mesmo padrão de proteção.
  15. Comunicar à autoridade qualquer incidente aos dados pessoais.

 

Penalidade

Dois por cento do faturamento anual excluídos tributos, limitado até R$ 50.000.000,00 (cinquenta milhões de reais), por infração.

 

Outros

A lei prevê a criação do Conselho Nacional de Proteção de Dados, situações de exceções e uso de dados para pesquisas.

 

Resumo

A responsabilidade da organização e dos seus executivos, em especial o CEO, fica mais explícita e descrita em lei. A partir de agora, tratamento de dados pessoais é uma questão séria.

Para implementar os controles exigidos e ficar em conformidade com a lei, as organizações precisam ter um Processo Organizacional de Segurança da Informação e começar a trabalhar ou aprimorar sua proteção imediatamente.

por  Prof. Ms. Edison Fontes, CISM, CISA, CRISC

 

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Banco Hackers Exploraram Router desatualizado para roubar US$ 1 milhão
  2. MJB - MASTER JAVA BASICS
  3. Presidente Temer sanciona Lei de Proteção de Dados Pessoais

Deixe sua opinião!