Em sintonia com a crescente digitalização, o Brasil sancionou, em 2018, a Lei Geral de Proteção de Dados Pessoais, mais conhecida pela sigla LGPD. A sua finalidade é garantir segurança e transparência em relação às informações dos cidadãos por parte das empresas e instituições.
Logo, trata-se da regulamentação que determina regras sobre coleta, armazenamento, tratamento e compartilhamento de dados. Visto que a lei entrou em vigor em setembro de 2020, as organizações precisam se adaptar, lançando mão de processos mais seguros e de mecanismos de proteção mais eficientes.
Assim, ao cobrir danos decorrentes de riscos cibernéticos e minimizar prejuízos, o seguro cyber é uma das ferramentas que entra nessa lista. Quer saber mais sobre a LGPD e como a sua empresa deve agir diante do novo cenário regulatório? É sobre isso que trataremos neste artigo!
O que é LGPD?
A LGPD é, como mencionamos, a Lei Geral de Proteção de Dados Pessoais ou Lei Nº 13.709. Trata-se do marco regulatório brasileiro que estabelece normas específicas para definir limites e condições para coleta, guarda e tratamento das informações dos cidadãos.
Inspirada na General Data Protection Regulation (GDPR), que regulamenta a questão nos países europeus, a legislação brasileira foi aprovada em 2018, após oito anos de debates, e entrou em vigor de maneira escalonada. Em um primeiro momento, foi estabelecida a criação da Autoridade Nacional de Proteção de Dados (ANPD). Posteriormente, em 18 de setembro de 2020, a LGDP passou a ser vigente.
Apesar disso, ainda não estão sendo aplicadas sanções administrativas por descumprimento da lei. A previsão é que as multas comecem a ser aplicadas em agosto de 2021, mas o órgão responsável ainda deve definir alguns pontos sobre a questão.
Qual é a finalidade da Lei Geral de Proteção de Dados?
Ao determinar hipóteses para utilização legítima de dados por terceiros, a Lei Geral de Proteção de Dados Pessoais tem, de forma mais genérica, a finalidade de assegurar os direitos fundamentais relacionados à esfera informacional do cidadão — ou seja, à liberdade e à privacidade.
Contudo, isso se desdobra em uma série de outros objetivos fundamentais também para fomentar o desenvolvimento econômico e tecnológico do país, como:
- determinar práticas transparentes e seguras;
- padronizar normas associadas ao tratamento de dados para o setor público e privado;
- consolidar a segurança das relações jurídicas e a confiança dos titulares dos dados;
- promover a livre concorrência e a defesa das relações comerciais e de consumo.
O que são dados pessoais conforme a LGPD?
De acordo com a ANPD, o conceito de dados pessoais adotado pela LGPD é aberto e definido como as informações relacionadas a uma pessoa natural identificada ou identificável.
Mas além das informações básicas (nome, RG, CPF, endereço), outros dados que permitam a identificação do indivíduo também estão incluídos nessa lista — como orientação sexual, filiação político-partidária, histórico médico, aspectos biométricos e também dados relacionados ao perfil comportamental.
Além disso, a lei também descreve o conceito de dados pessoais sensíveis, aos quais confere uma proteção maior. Trata-se de informações diretamente relacionadas aos aspectos mais íntimos dos indivíduos, o que inclui, por exemplo, raça, etnia, religião e dados relativos à saúde ou à vida sexual das pessoas.
Quais são os atores envolvidos na LGPD?
Para entender como funciona a LGPD, é importante conhecer os atores envolvidos e os seus papéis em situações associadas ao tratamento de dados. Por essa razão, a legislação descreve quatro agentes participantes.
Titular
Trata-se da pessoa física a quem pertencem os dados pessoais em questão, ou seja, todos nós somos titulares de informações.
Controlador
É o responsável pelos dados coletados, pela finalidade de uso e pelo seu tempo de armazenamento. Aqui, pode ser a empresa, órgão público ou pessoa física que coleta informações pessoais e decide como e por que irá tratá-las de uma determinada forma.
Operador
Consiste na empresa ou na pessoa física que realiza o tratamento e o processamento dos dados pessoais, conforme as orientações do controlador.
Encarregado
Como veremos mais adiante, é uma pessoa física que deve ser indicada pelo controlador para atuar como canal de comunicação entre as partes e a autoridade nacional. O encarregado também deve orientar os colaboradores do controlador sobre as práticas de tratamento de dados.
O que muda com a implantação da Lei nº 13.709?
Com a vigência da Lei Geral de Proteção de Dados Pessoais, os cidadãos passam a ter mais controle sobre as suas informações e as empresas e órgãos públicos precisam se adequar a uma série de normas.
Nesse sentido, a regulamentação determina dez princípios a serem respeitados para garantir a proteção de dados e o cumprimento da legislação:
- Finalidade: especificar e informar de forma explícita ao titular o objetivo do uso das informações;
- Adequação: agir de forma adequada à finalidade acordada;
- Necessidade: limitar-se ao uso dos dados essenciais para alcançar a finalidade;
- Acesso livre: permitir acesso fácil e gratuito dos titulares ao modo como seus dados são tratados;
- Qualidade dos dados: manter as informações exatas e atualizadas, conforme a necessidade de tratamento;
- Transparência: informar o titular de modo claro e acessível sobre o tratamento e os seus responsáveis;
- Segurança: tomar medidas para assegurar a proteção contra situações acidentais ou ilícitas, como invasão, destruição, perda ou divulgação de dados;
- Prevenção: tomar medidas preventivas, a fim de evitar danos ao titular e demais envolvidos;
- Não discriminação: não permitir atos ilícitos ou abusivos;
- Responsabilização: o agente é obrigado a demonstrar a eficácia das medidas adotadas.
[mautic type=”form” id=”61″]
Como funciona a LGPD na prática?
As organizações terão, portanto, que criar meios para respeitar esses princípios e todas as outras exigências previstas pela lei. Na prática, por exemplo, sempre que realizar alguma forma de coleta de dados pessoais — claro, autorizada pelo cliente — a empresa terá que indicar a finalidade de uso e o termo de consentimento deve ficar armazenado para eventuais consultas.
Além disso, tanto formulários físicos quanto digitais também devem ser armazenados de forma segura e dados sensíveis terão que ter tratamento diferenciado, conforme já mencionamos.
Mais um exemplo do que acontecerá na prática é o fato de que, para comunicar ou compartilhar informações pessoais com outras instituições, será necessária autorização específica do consumidor. Além disso, em caso de qualquer problema em relação aos dados, os titulares deverão ser notificados, assim como as autoridades.
Outro ponto de atenção é a questão da disponibilização de informações e o acesso aos dados. Os clientes precisam ser informados de maneira clara, adequada e ostensiva sobre o tratamento que os dados terão e devem poder acessá-los quando desejarem.
Quais as principais ações necessárias para se adequar à LGPD?
Para cumprir essas determinações e atuar de forma legal, empresas e poder público devem se adequar às medidas estipuladas pela LGPD para proteger os dados pessoais. A seguir, descrevemos algumas das principais ações que precisam ser feitas nesse sentido. Acompanhe!
Identificação de bases legais
A entrada em vigor da nova legislação determinou que o tratamento de informações pessoais pode ser realizado quando verificada a ocorrência de qualquer uma das hipóteses previstas no artigo 7º ou no 11º.
A LGPD prevê dez bases legais para justificar as atividades de tratamento de dados pessoais e oito para legitimar o tratamento de dados pessoais sensíveis. Dentre elas estão: fornecimento de consentimento pelo titular, execução de políticas públicas, proteção da vida, tutela de saúde, proteção do crédito etc.
Portanto, para estar de acordo com a lei, toda empresa ou entidade deve identificar qual desses itens corresponde ao seu caso e autoriza o uso dos dados na sua atuação.
Mapeamento e organização dos dados
Entre as informações que são gerenciadas, é importante que seja feita uma avaliação da natureza de cada uma delas. Essa análise também serve para identificar dados sensíveis, que deverão ser destinados a um tratamento diferenciado.
Além disso, nessa etapa, também é crucial examinar os meios nos quais eles se encontram, sejam físicos ou digitais, para estruturar uma forma de organização e visibilidade das informações.
Revisão de políticas de segurança e adoção de novas práticas e ferramentas
A organização deverá revisar as suas políticas internas de segurança, criando ou atualizando contratos que tenham alguma relação com a proteção de dados — termos de uso, política de cookies e privacidade etc.
Além disso, tudo deve ter por finalidade a adoção de processos que assegurem o cumprimento das normas de proteção de dados, ou seja, reforcem a segurança. Uma dessas medidas pode ser, por exemplo, a contratação de um seguro para riscos cibernéticos.
Estabelecimento de um canal de contato
A lei determina a necessidade de indicação de um encarregado para atuar como canal de comunicação entre o controlador, os titulares das informações e a ANPD. Mas essa medida pode ser dispensada em determinadas circunstâncias, a depender da natureza e do porte da entidade ou do seu volume de operações. No entanto, trata-se, em princípio, de uma das regras do marco.
Quem deve cumprir a lei? Minha empresa precisa seguir a LGPD?
De acordo com o seu Art. 3º, a LGPD “aplica-se a qualquer operação de tratamento realizada por pessoa natural ou pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
- a operação de tratamento seja realizada no território nacional;
- a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
- os dados pessoais objeto do tratamento tenham sido coletados no território nacional.”
Isso significa que todas as empresas e órgãos públicos estão obrigados a cumprir a legislação. Portanto, em princípio, todas as organizações devem se adequar à LGPD, não obstante, a sua natureza jurídica, porte, setor ou o volume de dados com o qual trabalha.
Existem exceções?
Não está determinada na lei nenhuma exceção em relação a médias ou pequenas empresas, nem ao processamento de informações em pequenas escalas. As únicas exceções descritas pela regulamentação são casos de tratamento de dados pessoais provenientes de fora do território nacional ou que seja realizado para fins exclusivamente:
- particulares e não econômicos;
- jornalísticos, artísticos ou acadêmicos;
- de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
Quais as penalidades previstas para o não cumprimento da LGPD?
Naturalmente, a Lei Geral de Proteção de Dados elenca um conjunto de penalidades para casos de violação das normas previstas. Entre elas estão desde advertências, com possibilidade de medidas corretivas, até multa de 2% do faturamento com limite de até R$ 50 milhões.
Além disso, também há sanções de bloqueio ou eliminação de informações relacionadas à irregularidade e suspensão parcial do funcionamento do banco de dados. Em algumas situações, pode ser estipulada, ainda, a proibição parcial ou total da atividade de tratamento.
No entanto, para permitir que as organizações tenham tempo para se adequar, a aplicação das penalidades pelo descumprimento da LGPD ainda não teve início, mas está prevista para começar em agosto de 2021.
Quais os riscos cibernéticos que minha empresa pode enfrentar?
Definitivamente, não é por acaso que os países estão criando regulamentações para proteção dos dados dos seus cidadãos. Ao passo que o mundo se torna cada vez mais digital, a incidência de ataques cibernéticos aumenta significativamente.
Os ciberataques são crimes que podem, por exemplo, resultar em sequestro e exposição de dados e prejudicar tanto a organização quanto os clientes e colaboradores. As invasões de sistemas costumam ser feitas por meio de ransomwares que bloqueiam as informações para as empresas. Para reaver os dados, muitas vezes, são exigidos resgates de valores altíssimos.
Além disso, cabe ainda mencionar que, no Brasil, infelizmente, os riscos de crimes cibernéticos são muito elevados. Um levantamento da Kaspersky revelou que, além do aumento exponencial do número de crimes desse tipo em 2020, o Brasil liderou a lista mundial dos países mais afetados por ataques de ransomware empresariais.
Como o seguro cyber se relaciona com a LGPD?
O seguro cyber é uma modalidade voltada para garantir indenização de eventuais danos causados por incidentes relativos a roubo, vazamento de dados e outros crimes cibernéticos. Assim, a apólice pode cobrir, por exemplo, custos de extorsão, sanções administrativas e lucros cessantes da empresa e de terceiros.
É por isso que, em função do crescimento do risco e das exigências da LGPD, o seguro cyber passou a ser mais conhecido no Brasil. Como vimos, a legislação pode levar as empresas a serem punidas por tratamento inadequado e falta de segurança em relação a dados.
Sendo assim, o seguro é uma importante ferramenta de proteção para as organizações, pois tem o objetivo de minimizar prejuízos relacionados à violação da sua segurança digital.
Seguro para riscos cibernéticos: o que preciso saber?
A apólice do seguro para riscos cibernéticos pode garantir coberturas de responsabilidade civil por danos a terceiros e à própria empresa. Algumas das situações que costumam estar cobertas pelo seguro cyber são:
- Evento de responsabilidade de dados: quando informações não-públicas de terceiros que sejam de responsabilidade do segurado são perdidas;
- Evento de responsabilidade da mídia: quando ocorre a publicação ou divulgação de informações de terceiros nos canais digitais da empresa;
- Evento de segurança de rede: quando um malware é transmitido pela rede do segurado;
- Processos LGPD: no caso de violação, real ou alegada, da legislação referente à proteção de dados.
Como escolher o seguro cyber?
A corretora de seguros pode fornecer todo o suporte necessário e orientar a escolha do seguro mais adequado para cada organização. Nesse sentido, é essencial buscar a opção que ofereça a maior segurança possível para o tratamento de dados da empresa, ajude a evitar prejuízos que podem impactar a sua saúde financeira e garanta o cumprimento da LGPD.
Cabe ressaltar que não são apenas as grandes corporações que podem contar com uma apólice desse tipo para se proteger. Nesse caso, pequenas e médias empresas são mais vulneráveis a crimes cibernéticos e também podem encontrar um seguro que se encaixe no seu perfil.
- Leia também: PCI DSS: o que é e quais são os requisitos
Como cotar um seguro cyber para a minha empresa?
A cotação de um seguro cyber pode ser solicitada pela internet, por meio de uma corretora de seguros digital. Depois de analisar as necessidades e as informações da empresa, o corretor apresenta as melhores soluções e ajuda a realizar a contratação da apólice aprovada pelo cliente.
Contar com uma apólice desse tipo é uma parte importante da adequação à regulamentação imposta pela LGPD. Além disso, traz maior tranquilidade aos negócios e aos clientes, já que demonstra a preocupação e o compromisso da organização em relação à segurança no tratamento de dados.
Ficou com alguma dúvida?