Lei Proteção de Dados Pessoais BR – Resumo para CEOs e Executivos

Author Photo
10:41 am - 19 de julho de 2018

Edison Fontes, CISM, CISA, CRISC, [email protected].

A Lei Proteção de Dados Pessoais do Brasil, está aguardando a promulgação pela Presidência da República, após sua aprovação no Congresso Nacional. É importante que o Corpo Diretivo da organização entenda os principais controles exigidos. Ela será aplicável em 18 meses. Tenha certeza: quando passar este tempo sua organização tem grandes chances de receber multas e ações judiciais cobrando indenização porque dados pessoais não foram protegidos adequadamente e em conformidade com a legislação.

Destaco a seguir os principais conceitos e controles da Lei de Proteção de Dados Pessoais Brasil, que impactam diretamente à organização.

1. Diretriz
A pessoa natural ou pessoa singular é a proprietária (Titular) dos seus dados pessoais.

2. Objetivo
Garantir os direitos de liberdade, privacidade e desenvolvimento da pessoa singular, pessoa natural.

3. Definição
Dado pessoal: informação relacionada à pessoa natural identificada ou identificável.
Dado sensível: dado pessoal relacionado à religião, etnia, opiniões e similar.

4.. Aplicação
Tratamento de dados pessoais em qualquer tipo de tecnologia, por indivíduos, organizações privadas ou entidades públicas.
a. Tratamento de dados realizado no território nacional.
b. Não depende da localização física dos dados.
c. Tratamento de dados para indivíduos localizados no território nacional.
d. Coleta de dados quando o indivíduo se encontra no território nacional.

5. Diretrizes de Proteção para Tratamento de Dados Pessoais
a. Necessário autorização (consentimento) do Titular (Pessoa Singular).
b. Tem que explicitar a finalidade específica.
c. Utilização exclusivamente para a finalidade declarada.
d. Coleta mínima. Apenas o necessário para o tratamento dos dados.
e. Permissão de consulta pelo Titular dos dados e do seu uso.
f. Garantia de qualidade e atualização dos dados.
g. Ter controles estruturados de segurança da informação.
h. Não descriminar pessoa singular pelo tratamento de dados.
i. A organização é responsável pelo tratamento que faz e pelo tratamento dos subcontratados.
j. Mudanças no tratamento de dados exige novo consentimento do Titular.
k. Tratamento de dados de crianças e adolescentes necessita autorização responsáveis.
l. Uso dos dados exclusivamente durante o tempo do serviço ou similar.
m. Direito de revisão pelo Titular quando de decisões por perfil automático.
n. Transferência de dados pessoais tem que seguir o mesmo padrão de proteção.
o. Comunicar à autoridade qualquer incidente aos dados pessoais.

6. Penalidade
Dois por cento ou até R$ 50.000.000,00 (cinquenta milhões de reais).

7. Outros
A lei prevê a criação do Conselho Nacional de Proteção de Dados, situações de exceções e uso de dados para pesquisas.

Resumo.
A responsabilidade da organização e dos seus executivos, em especial o CEO, fica mais explícita e descrita em lei. A partir de agora, tratamento de dados pessoais é uma questão séria.

Para implementar os controles exigidos e ficar em conformidade com a lei, as organizações precisam ter um Processo Organizacional de Segurança da Informação e começar a trabalhar ou aprimorar sua proteção imediatamente.

Prof. Ms. Edison Fontes, CISM, CISA, CRISC
Consultor em Segurança da Informação, Proteção de Dados Pessoais, Gestão de Risco, Continuidade de Negócio.
[email protected]
Núcleo Consultoria em Segurança
www.nucleoconsult.com.br

Notícias relacionadas

Notícias
Cohesity obtém patente para aplicar IA diretamente em dados de backup corporativos
Notícias
Para Diogo Cortiz, maior desafio da IA é a falta de capacidade crítica para questionar suas respostas
Notícias
Agentes de IA vão dar “superpoderes” a profissionais de TI, diz DJ Sampath, da Cisco
Inteligência Artificial
Chatbots de bancos e fintechs não entendem as emoções dos clientes, aponta estudo
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.