Pular para o conteúdo

LGPD na Prática: Inventário de Regulamentações

advogado adequação lgpd

Este é o quarto texto da Série LGPD na Prática, que tem por objetivo auxiliar na disseminação e compartilhamento de informações acerca da adequação dos procedimentos em atendimento à Lei Geral de Proteção de Dados. Neste texto, você compreenderá o que é e qual a importância do Inventário de Regulamentações e normas setoriais, bem vamos apresentar algumas das principais regulações do Brasil e do mundo que devem ser observadas no momento da adequação à LGPD.

Nos três primeiros textos da série explicamos os primeiros passos para o processo de adequação à LGPD, as fases do projeto de implementação dos procedimentos e processos visando a conformidade com a lei, bem como os principais pontos que uma startup deve se preocupar relacionados à privacidade e proteção de dados no momento da captação de recursos financeiros para escalar seu negócio e quem é e o que faz o encarregado de proteção de dados (DPO)

Neste texto, vamos explicar porque é importante para qualquer empresa buscando adequação à Lei Geral de Proteção de Dados (LGPD) mapear as demais legislações que podem ser relevantes para a proteção de dados, apresentando as principais regulamentações e como estas se aplicam na prática no dia-a-dia das empresas (Inventário de Regulamentações). 

Índice

Inventário de Regulamentações: Por que mapear legislações?

Os padrões e procedimentos exigidos para a segurança da informação, privacidade e proteção de dados estão dispersos por um grande número de legislações diferentes. A LGPD, como afirma seu nome, oferece um procedimento padrão geral, que serve para todos os setores da economia, bem como para os órgãos públicos. 

A coleta, o tratamento e o processamento de dados são cada vez mais comuns em quase todos os setores da economia, sendo os dados armazenados por meio físico ou digital. Os diferentes setores da economia possuem regulamentações específicas, distintas umas das outras, e, por sua vez, mais precisas e direcionadas às práticas comuns ao setor que a Lei Geral de Proteção de Dados. 

Adequação à LGPD – Agende uma reunião com nossos especialistas

Por exemplo, o setor médico e farmacêutico já contava com medidas e normas setoriais para a proteção da privacidade e do sigilo dos pacientes desde muito antes da aprovação da LGPD, e estas continuam em vigor e devem ser respeitadas por todos os atores do segmento. 

Do mesmo modo, mercados como o financeiro ou o de seguros também tem suas próprias normas, focadas na realidade do mercado que pretendem regular. É importante estar ciente de todas estas normas setoriais e regulamentações que podem se aplicar às suas práticas, e para isto o panorama regulatório que rege o escopo de sua empresa deve ser devidamente mapeado.  Afinal, em um conflito de regras, a regra específica prevalece sobre a regra geral.

De igual modo, também é necessário realizar o inventário de regulamentações internacionais que podem afetar a atuação de sua empresa em outro país. De forma prática, o inventário de regulamentações serve, ainda, para auxiliar na análise da base legal que respalda o tratamento de dados pessoais pelas empresas.

Inventário de Regulamentações: Qual a importância das legislações setoriais?

Inventário de Regulamentações
Inventário de Regulamentações

Alguns dos setores mais complexos da economia exigem que, para além da legislação aprovada pelo congresso nacional e pelos estados e municípios, normas e regras sejam definidas especificamente para o setor. 

Seja para aumentar a segurança jurídica que envolve negócios em setores específicos, para tutelar direitos dos consumidores em contextos em que estes se encontram em posição mais vulnerável ou para criar parâmetros e exigências mais rígidos para áreas que oferecem maiores riscos, as legislações setoriais regulam diversos aspectos de setores da economia brasileira, e por muitas vezes estas regulamentações têm influência direta na prática para a proteção da privacidade e dos dados pessoais. 

Alguns exemplos de órgãos que editam legislações setoriais que podem influenciar nas melhores práticas de proteção de dados são:

BACEN – Banco Central do Brasil

Vinculado ao Ministério da Economia, o Bacen é uma autarquia que tem como responsabilidade garantir a estabilidade econômica do país, sendo um dos principais órgãos reguladores do mercado financeiro no Brasil.

As empresas que estão incluídas no mercado financeiro, como bancos e Fintechs, necessitam de políticas próprias relacionadas com a segurança da informação, com a privacidade de seus clientes e com a proteção de dados. 

Ao mesmo tempo em que é essencial que estas empresas mantenham as informações de seus clientes a salvo, também é exigido destas que estejam de acordo com as legislações e melhores práticas na prevenção à lavagem de dinheiro e ao financiamento ao terrorismo (PLD-FT) e à prevenção contra o risco de fraudes e proteção ao crédito, por exemplo. 

O Bacen regula o mercado financeiro, inclusive sobre questões relacionadas à proteção de dados e segurança da informação, por meio de suas Resoluções. 

Inventário de Regulamentações
Inventário de Regulamentações: Regulações do BACEN

O papel do advogado especialista em proteção de dados aqui é garantir que a regulação específica relativa a prevenção à lavagem de dinheiro e ao financiamento do terrorismo seja plenamente cumprida levando em consideração os requisitos da LGPD. Ademais, as regulações específicas servem para o momento da análise da base legal que respalda o tratamento de dados pessoais pelas empresas.

ANATEL (Agência Nacional de Telecomunicações)

A ANATEL, primeira agência reguladora criada no Brasil, tem como função regulamentar e fiscalizar os serviços de telecomunicações no país. 

A Agência tem como algumas de suas funções expedir normas setoriais quanto à outorga, à prestação e à fruição dos serviços de telecomunicações nos regimes público e privado, expedir ou reconhecer a certificação de produtos, observados os padrões e normas setoriais por ela estabelecidos, fiscalizar e aplicar sanções relativas as infrações a regulamentação setorial e reprimir infrações dos direitos dos usuários. 

CGI.br (Comitê Gestor da Internet no Brasil)

O CGI é um comitê multissetorial formado por membros do setor público, do setor empresarial, do terceiro setor e da comunidade científica e tecnológica que tem como objetivo regular, dentro do setor das telecomunicações, a estrutura da internet no Brasil. 

O Comitê, que é responsável pelo registro de todos os domínios .br na internet, também tem como atribuição estabelecer diretrizes estratégicas e técnicas sobre o funcionamento da Internet e promover estudos e recomendar procedimentos, normas setoriais e padrões técnicos e operacionais, para a segurança das redes e serviços de Internet.

Agência Nacional de Saúde Suplementar (ANS)

Vinculada ao Ministério da Saúde, a ANS tem como função regular o mercado de planos privados de saúde no Brasil.

Ela tem como funções promover a defesa do interesse público na assistência suplementar à saúde, regular as operadoras setoriais, a relação entre prestadoras e consumidores e contribuir para o desenvolvimento das ações de saúde no país.

Superintendência de Seguros Privados(SUSEP)

A Superintendência de Seguros Privados brasileira é a autarquia responsável pela autorização, controle e fiscalização dos mercados de seguros, previdência complementar aberta, capitalização e resseguros no Brasil.

A SUSEP tem a função de fiscalizar tanto os seguros privados quanto os seguros públicos obrigatórios. 

Na Circular SUSEP n.º 564/2017, por exemplo, a autarquia obriga que empresas do setor de seguros coletem os dados de identificação dos segurados. Desta forma, a base legal para o tratamento desses dados pelas Seguradoras advém de uma obrigação legal ou regulatória, sendo dispensado o consentimento do titular para o seu tratamento.

Inventário de Regulamentações: Leis, Normas e Diretrizes sobre Proteção de Dados

Além das conhecidas LGPD e GDPR, existem algumas outras leis que regulam a proteção de dados em outros países. Essas legislações devem ser observadas, principalmente, no caso de sua empresa realizar transferências internacionais de dados. A seguir, confira algumas das principais legislações para proteção de dados.

Inventário de Regulamentações: Leis, Normas e Diretrizes sobre Proteção de Dados

LGPD – Lei Geral de Proteção de Dados (Lei 13.709/2018)

É a legislação Brasileira que regulamenta as atividades de tratamento de dados pessoais e que também altera os artigos 7 e 16 do Marco Civil da Internet.

A LGPD é a principal lei que vai reger a coleta e o tratamento de dados no país. Ela é aplicável para toda pessoa física ou jurídica, de direito público ou privado, que efetue qualquer atividade de tratamento de dados, sejam estes dados em meio digital ou meio físico.

A lei apresenta as principais definições de termos e conceitos que regem a área, diferencia os dados pessoais dos dados pessoais sensíveis, apresenta as bases legais que justificam o tratamento dos dados pessoais, dispõe sobre os direitos dos titulares de dados, dentre outros. 

A LGPD também cria uma estrutura de fiscalização, e as multas e sanções dispostas no texto da lei devem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).

GDPR – General Data Protection Regulation

É o regulamento do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Econômico Europeu. 

O GDPR foi a base a partir da qual foi construída a LGPD, sendo possível afirmar que se trata de uma versão mais extensa e detalhada de uma lei de proteção de dados pessoais. 

O GDPR é aplicável a todas as empresas que operem no Espaço Económico Europeu, bem como a todas as empresas que tratem dados de cidadãos europeus. O GDPR também trata sobre o compartilhamento internacional de dados, de modo que exige diversos parâmetros para que possa ocorrer o tratamento de dados pessoais de cidadãos europeus fora da europa, por exemplo.

Código de Defesa do Consumidor (Lei 8.078/90)

É o conjunto de normas que visam à proteção aos direitos do consumidor, bem como disciplinar as relações e as responsabilidades entre o fornecedor (fabricante de produtos ou prestador de serviços) com o consumidor final, estabelecendo padrões de conduta, prazos e penalidades. 

Apresenta diversas disposições que são relevantes a serviços e produtos relacionados ao e-commerce, marketplace, entre outros. 

Antes mesmo da criação da Lei Geral de Proteção de Dados, o Código de Defesa do Consumidor já disciplinava sanções de natureza criminal referentes ao tratamento de dados dos consumidores. Um exemplo são os artigos 72 e 73 do CDC:

Art. 72, CDC. Impedir ou dificultar o acesso do consumidor às informações que sobre ele constem em cadastros, banco de dados, fichas e registros:

Pena Detenção de seis meses a um ano ou multa.

Art. 73, CDC. Deixar de corrigir imediatamente informação sobre consumidor constante de cadastro, banco de dados, fichas ou registros que sabe ou deveria saber ser inexata: 

Pena Detenção de um a seis meses ou multa. 

BACEN Resolução 4.658 – Política de Segurança Cibernética

A Resolução 4.658 do Bacen, que é válida para todo o Mercado Financeiro Nacional, trata sobre as medidas de segurança que devem ser seguidas pelos bancos e instituições de pagamento para manter o nível de segurança necessário para a proteção dos consumidores.  

Determina que as instituições que são reguladas pelo Banco Central desenvolvam uma política de segurança cibernética, um plano de ação de resposta a incidentes, um plano de ação para continuidade de negócios e estipula requisitos para contratação de serviços terceirizados e em nuvem.

Procon – Do not call (Lei 13.226)

A Lei 13.226, institui no âmbito do Estado de São Paulo, o Cadastro para o Bloqueio do Recebimento de Ligações de Telemarketing

Após 30 dias de ter cadastrado seu número telefônico na lista junto ao Procon, o cidadão não poderá mais receber ligações de telemarketing que não sejam de instituições filantrópicas ou de empresas expressamente autorizadas pelo cidadão. Caso desrespeitem esta limitação, as empresas estão sujeitas a processos administrativos e multas de até R$ 9 milhões

Marco Civil da Internet (Lei 12.965/2014)

O Marco Civil da Internet é a lei que regula o uso da Internet no Brasil por meio da previsão de princípios, garantias, direitos e deveres para quem usa a rede, bem como da determinação de diretrizes para a atuação do Estado. 

Aprovado em 2014, após diversos anos de construção coletiva e ampla participação da sociedade civil e de especialistas na área, o Marco Civil da Internet é a principal lei que rege o funcionamento da rede no Brasil.

A lei dispõe de diversos temas como neutralidade de rede, a função social da internet, liberdade de expressão e a responsabilidade civil de usuários e provedores.

Além disso, a lei traz diversas disposições sobre a privacidade dos usuários e também sobre hipóteses de obrigatoriedade da retenção de dados dos usuários. 

O Artigo 7 da lei dispõe, por exemplo:

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;

Lei de Acesso à Informação (LAI, Lei 12.527/2011)

A Lei de Acesso à Informação é uma lei ordinária federal que regulamenta o art. 5, XXXIII, art. 37, 3, II, e art 216, 2, da Constituição Federal de 1988, que asseguram o direito fundamental de acesso às informações produzidas ou armazenadas por órgãos e entidades da União, Estados, Distrito Federal e Municípios. 

Ou seja, tem como função permitir a aplicação prática do direito fundamental do cidadão de ter acesso às informações referentes à atuação do Estado. 

Uma das principais funções da LAI é a de garantir o acesso à informação, enquanto a LGPD tem como função garantir a privacidade. As duas, porém, não são conflitantes no sentido que ambas tratam de dois extremos da ponderação necessária entre confidencialidade e disponibilidade da informação.

Será papel da Agência Nacional de Proteção de Dados (ANPD) garantir que a interpretação de ambas as leis ocorra de forma que elas se complementem, uma regulando a confidencialidade e a outra o acesso, ao invés de entrar em conflito entre si.

Califórnia Consumer Privacy Act of 2018 (CCPA)

A Lei de Privacidade do Consumidor da Califórnia é a lei que aumenta os direitos de privacidade e proteção ao consumidor para residentes na Califórnia, Estados Unidos. 

O CCPA garante ao cidadão californiano diversos direitos, como o de saber quais dados pessoais seus são coletados, saber se estes são comercializados e para quem, o direito de se recusar a ter seus dados pessoais revendidos, direito de acesso aos dados coletados, direito de exclusão de dados e direito de não ser discriminado com base em seus dados pessoais. 

Ainda que a legislação seja válida somente em relação aos residentes na Califórnia, como o estado é onde são sediadas diversas empresas de tecnologia, a legislação tem um impacto que transcende as fronteiras do estado. 

HIPAA – Health Insurance Portability and Accountability Act

A HIPAA é uma lei federal norte americana criada para modernizar o fluxo de informações de saúde e estipular como as informações de dados pessoais mantidas pelos setores de saúde e seguro de saúde devem ser protegidas contra fraude e roubo, além de abordar as limitações na cobertura de seguro de saúde. 

Trata sobre o sigilo das informações médicas protegidas, ou Protected Health Information (PHI), estipulando uma série de medidas e práticas que devem ser tomadas pelos planos de saúde e de seguro de saúde ao tratarem de informações médicas sigilosas. A partir de 2004, as empresas que não estiverem em Compliance com a lei estão sujeitas à multas e outras sanções administrativas.

Inventário de Regulamentações: Standards, Frameworks e Metodologias aplicáveis

Para a efetiva adequação dos procedimentos internos aos requisitos da LGPD, recomendamos a observação de alguns standards, frameworks e metodologias que visam a otimização das ações de implementação. A seguir, apresentamos as principais normas e regulações que auxiliam na conformidade técnica em privacidade, proteção de dados e segurança da informação.

European Data Protection Board

Organização de papel consultivo composto de representantes das autoridades de todos os países da União Europeia, possuem, ainda, o papel de coordenar as autoridades de proteção de dados da Europa. Contam com um extenso conteúdo de apoio às empresas e muito útil para a implementação da GDPR. 

Como a organização tem como uma de suas principais funções publicar orientações, recomendações e a identificação de melhores práticas relacionadas ao GDPR, constantemente oferece ao público documentos que esclarecem pontos controversos da legislação de proteção de dados.

Inventário de Regulamentações
Inventário de Regulamentações

ICO – Information Commissioner’s Office

O Information Commissioner’s Office é a autoridade de proteção de dados do Reino Unido. É papel do ICO não somente julgar os casos de desrespeito à legislação de proteção de dados no Reino Unido, mas também, assim como o European Data Protection Board, publicar conteúdo que simplifique a compreensão e a aplicação da legislação e das melhores práticas de proteção de dados. Possui excelente conteúdo para direcionamento no Compliance com GDPR. 

PETs – Privacy Enhancing Technologies 

As tecnologias de melhoria da privacidade (PET) são os métodos de proteção de dados de acordo com a lei. O PET permite que os usuários online protejam a privacidade de suas informações pessoais identificáveis (PII) fornecidas por serviços ou aplicativos. O PET usa técnicas para racionalizar a posse de dados pessoais sem perder a funcionalidade de um sistema de informações. Os métodos PET, que tem como exemplos métodos de criptografia, anonimizadores de identidade e privacidade diferencial, consistem em algumas das melhores práticas disponíveis na indústria para proteger a privacidade das partes envolvidas.

DMA – Data & Marketing Association

A DMA é uma organização internacional voltada para o mercado de marketing. Interessada nas práticas de marketing direcionado, microtargeting e outras novas técnicas de marketing que surgem no contexto do Big Data, a associação desenvolveu um excelente guia para atividades de marketing no contexto de privacidade de dados. 

ISO/IEC 27001 – Segurança da Informação

Padrão de Segurança da Informação, parte da família de padrões ISO/IEC 27000. Elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). 

A certificação de que a empresa está de acordo com a ISO 27001 garante que esta segue diversos padrões e medidas que protegem o trânsito de informações nos meios digitais, garantindo maior proteção contra vazamentos de dados, por exemplo.

ISO 22301 – Business Continuity Management 

Padrão de sistema de gerenciamento que especifica requisitos para planejar, estabelecer, implementar, operar, monitorar, revisar, manter e melhorar continuamente um sistema de gerenciamento documentado para proteção, reduzir a probabilidade de ocorrência, preparar, responder e recuperar dados de incidentes de segurança quando surgirem. 

Sua implementação garante que a empresa tem um bom plano de gestão de continuidade operacional, de modo a minimizar os custos e os riscos decorrentes de alguma possível ocorrência de incidentes de segurança.

ISO 31000 – Risk Management

O padrão ISO 31000 estabelece princípios e orientações que garantem as melhores práticas de gestão de riscos em uma empresa. O padrão consiste de um framework que permite o gerenciamento de processos de diversos tipos de riscos de qualquer organização de qualquer segmento independente do seu tamanho.

ISACA – Information Systems Audit and Control Association

Associação Internacional que suporta e patrocina o desenvolvimento de metodologias e certificações para o desempenho das atividades de auditoria e controle em sistemas de informação.

Oferece certificações que garantem boas práticas em áreas como segurança da informação e gestão de riscos. 

PCI DSS – Payment Card Industry Data Security Standard

Padrão de Segurança de Dados do Setor de Cartões de Pagamento – Se trata de um padrão de segurança da informação para organizações que lidam com cartões de crédito e operações financeiras, garantindo boas práticas de controle sobre os dados dos usuários dos cartões de pagamento, bem como implementando medidas de prevenção à fraude. 

NIST Cybersecurity Framework – National Institute of Standards and Technology 

Fornece uma estrutura política de diretrizes de segurança de computadores de como as organizações do setor privado nos Estados Unidos podem avaliar e melhorar sua capacidade de prevenir, detectar e responder a ataques cibernéticos. 

Se trata de um framework que pode ser utilizado por empresas individuais ou outros tipos de negócio para efetuar uma auto-avaliação sobre os riscos que podem encontrar. 

Inventário de Regulamentações
Inventário de Regulamentações: TI

COBIT – Control Objectives for Information and Related Technologies

É um framework de boas práticas criado pela ISACA para a governança de tecnologia da informação. 

A orientação da COBIT aos negócios consiste em vincular metas comerciais a objetivos de TI, fornecendo métricas e modelos de maturidade para medir sua conquista e identificando as responsabilidades associadas dos proprietários de processos comerciais e de TI.

ITIL – Information Technology Infrastructure Library

Conjunto de boas práticas detalhadas para o gerenciamento de serviços em TI que se concentra no alinhamento de serviços de TI com as necessidades dos negócios. 

O ITIL descreve processos, procedimentos, tarefas e listas de verificação que não são específicos da organização nem específicos da tecnologia, mas podem ser aplicados por uma organização para estabelecer a integração com a estratégia da organização, entregando valor e mantendo um nível mínimo de competência. 

ITSM – Information Technology Service Management 

Tem por objetivo prover um serviço de TI com qualidade e alinhado às necessidades do negócio, buscando redução de custos em longo prazo. Consiste de um framework baseado em 5 fases, que tem como objetivo cobrir o serviço de ponta a ponta, desde o entendimento da sua contribuição para o sucesso da estratégia do negócio do cliente, sua elaboração e implantação, até a operação e melhoria contínua do serviço.

Um advogado especialista em proteção de dados deverá observar todas essas regras, regulações e padrões técnicos no momento da implantação da LGPD nos procedimentos internos da sua empresa. Desta forma, sugerimos a busca por uma consultoria jurídica especializada de forma a acelerar o seu processo de adequação à LGPD garantindo a sua total conformidade com a norma.

Time BL Consultoria Digital – Direito Digital e Análise Regulatória

Este artigo “Série LGPD na Prática: Inventário de Regulamentações foi escrito Por MSc. Graziela Brandão e Rodrigo Glasmeyer.  Conheça o BL Consultoria Digital, acesse aqui!

Evite multas, adeque sua empresa aos requisitos da LGPD!

    Time BL Consultoria
    Time BL Consultoria
    Time BL Consultoria Digital - Direito Digital e Análise Regulatória

    Posts Relacionados

    Fale Conosco

      Categorias

      Assine nossa Newsletter

      Open chat
      Olá, tudo bem? Como podemos te ajudar?
      Olá! Como podemos ajudar?