Câmara aprova projeto para proteção de dados pessoais: Estaria nascendo uma GDPR brasileira?

AGRADEÇA AO AUTOR COMPARTILHE!

Na terça-feira da semana passada (29/05), a câmara aprovou o projeto de lei nº 4060/2012, que dispõe sobre o tratamento de dados pessoais, inclusive em meios digitais, de pessoa natural ou jurídica, de direito público ou privado.

O PL, que tem como objetivo “garantir o direito de liberdade e privacidade, assim como o livre desenvolvimento da personalidade da pessoa natural”, já circulava na câmara por 6 anos, mas tomou novo fôlego com acontecimentos como o caso de uso ilícito de dados de usuários do Facebook, pela empresa de consultoria Cambridge Analytica, e também pela chegada do GDPR, o Regulamento Geral sobre a Proteção de Dados Pessoais (GPDR) de cidadãos da União Europeia.

regulation-3246979_1280

O projeto agora vai para aprovação no senado, onde já existe uma outra iniciativa bem parecida caminhando a passos largos. A expectativa geral é que os projetos sejam aglutinados, facilitando sua aprovação e efetivação.

Como profissional de Segurança da Informação, não há como deixar de ficar feliz e, ao mesmo tempo, bastante preocupado. A primeira pergunta é: Qual o impacto na prática para as empresas?

O projeto, que tem 60 artigos e mais de 30 páginas, define requisitos claros para o tratamento de dados pessoais, direitos dos titulares, regras para transferência internacional de dados, e também (uhuu!) boas práticas de Segurança da Informação e Governança.

Alguns pontos interessantes:

  • Como se trata de uma lei, vale para toda e qualquer empresa pública ou privada que recolha e processe dados pessoais no Brasil;
  • Será necessário o consentimento do titular para tratamento de informações pessoais;
  • A exclusão de dados passa a ser obrigatória após encerramento da relação ou caso não tenha havido solicitação;
  • Permite que os titulares dos dados podem solicitar o acesso aos dados mantidos sobre ele por uma empresa;
  • Os titulares ganham o direito de corrigir seus dados que estejam em posse de uma empresa;
  • Dados de crianças somente poderão ser tratados com o consentimento dos pais ou do responsável legal;
  • Informações ligadas à saúde do titular só poderão ser usadas com a finalidade específica de pesquisa e deverão ser mantidos em ambientes seguros;
  • Vazamentos de dados precisam ser comunicados imediatamente;
  • Transferência internacional de dados pessoais fica restrita a países com tenham ‘nível adequado’ de proteção de dados ou a empresa responsável pela transferência garantir os princípios da lei brasileira;
  • Empresas serão responsabilizadas pelo vazamento de dados que acontecem diretamente em sua infraestrutura ou mesmo quando um parceiro/fornecedor for comprometido;
  • As multas podem chegar até 2% do faturamento da companhia, sendo limitadas a um valor máximo de R$ 50 milhões por infração;
  • Quando entrar em vigor, as empresas terão um ano meio para se adaptarem às novas regras.

50000000

Não é preciso uma análise aprofundada para dizer que a maioria significativa das empresas não está preparada para lidar com essa nova situação, lembrando que todas as organizações devem ser aderentes, das grandes instituições financeiras, até o consultório do seu dentista, se existe manipulação dados pessoais/privados, será necessário estar em conformidade.

O que eu peso sobre isso? Bem, como o amadurecimento da proteção de dados pessoais é uma tendência global, as empresas mais precavidas já deveriam iniciar projetos para adequação, mesmo que o projeto de lei ainda fique um bom tempo transitando entre câmara e senado. A verdade nua e crua é que a maioria dos negócios vai esperar o PL ser aprovado e deixar para as ultimas semanas para tentar entrar em conformidade.

Tenho apenas uma única certeza: Vai ser muito legal trabalhar com Segurança da Informação nos próximos anos, se você tem interesse em desenvolver uma carreira na área, não perca tempo! A melhor hora para iniciar é agora!

Fonte: G1Valor EconômicoCâmara

AGRADEÇA AO AUTOR COMPARTILHE!

Cláudio Dodt - claudiododt.com

Mais artigos deste autor »

Evangelista em Segurança da Informação e Cloud, consultor, instrutor e palestrante, atua na área de tecnologia há mais de 15 anos, exercendo atividades como Analista de Suporte, Analista de Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança.

Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participando no Brasil e no exterior em projetos de segurança de diversos segmentos como Educacional, Financeiro, Telecomunicações, Saúde, Agroindústria, Indústria Alimentícia, Naval, Metal-Mecânica e Têxtil.

ITIL® Expert;
Certified Information Systems Security Professional (CISSP®);
Certified Information Security Manager (CISM);
Certified Information Systems Auditor (CISA);
Certified in Risk and Information Systems Control (CRISC);
ISO 27001 Lead Auditor;
ISO/IEC 20000 Foundation;
Information Security Foundation (ISFS) based on ISO/IEC 27002;
Information Security Management Advanced based on ISO/IEC 27002;
CobiT 4 Foundation;
CobiT 5 Foundation;
EXIN Cloud Computing Foundation;
EXIN Certified Integrator Secure Cloud Services;
EXIN Accredited Trainer – (ITIL Foundation; ISO 20000 Foundation, ISFS, ISMAS, Cloud Foundation).

Geek convicto, mergulhador autônomo, amante incondicional da leitura, cinema e dos videogames.


1 Comentários

Ricardo Pereira
1

Boa tarde!

Parabéns pelo artigo simples e objetivo!

Agora, o que estou tentando entender e ainda não achei algo muito específico é: Qual deverá ser a primeira atitude a tomar na empresa que trabalho?

Sou profissional de TI de uma indústria automotiva e estou buscando entender esta lei para criar um material no qual conseguiremos saber quais serão os impactos em nosso negócio e que atitudes, digamos obrigatórias, teremos que tomar para nos adequar. A ideia é apresentar isso para nossa Diretoria e Presidência, pois acredito que, talvez, teremos que realizar algum investimento (R$) para nos adequar e teremos que justificar isso.

Se puder me ajudar, agradeço muito!

Obrigado e grande abraço!

Ricardo Pereira

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">