Bases legais da LGPD fornecem o apoio necessário para as empresas estarem dentro da lei bem como possibilita a antecipação do vazamento de dados.
Bases legais da LGPD adequam sua empresa.
São 10 bases legais da LGPD que servem para que as empresas operem dentro da lei. É essencial que estejam adequadas e alinhadas. Dessa forma, as organizações precisam definir suas bases legais para atuação. Assim, sem uma definição sobre qual base se apoiar, considerando que existem 10 opções, as empresas estarão vulneráveis às penalidades da lei. Enfim, é a utilização de argumentos que a empresa deve usar para legitimar o tratamento e o uso de dados pessoais.
A LGPD determina no art. 7º, as 10 hipóteses ou bases legais que devem justificar o tratamento de dados pessoais. Dessa forma, a empresa garante estar em conformidade com a lei e consequentemente adequada.
Bases legais da LGPD ou hipóteses
1. Consentimento
A princípio é a base legal mais famosa da LGPD é a do consentimento. É ele que dá permissão a empresa para tratar dados pessoais de seus clientes, mediante a autorização do titular dos dados. O consentimento deve informar aos titulares para quais finalidades específicas serão usados e, autorizações genéricas serão consideradas nulas.
O titular dos dados poderá recusar a autorização ou revogá-la quando desejar. Apesar de ser muito comentada, o consentimento não é a única hipótese e muito menos prioritário em relação as demais. Um exemplo clássico do consentimento são as inscrições em listas de e-mails ou recebimento de notificações de um site e aplicativo.
2. Cumprimento de obrigação legal ou regulatória
É a base legal para lidar com os dados pessoais no cumprimento de obrigação legal ou regulatória. É o caso das leis trabalhistas, que exigem que a empresa, mantenha dados de funcionários por longos períodos de tempo.
3. Execução de políticas públicas
Essa base legal é aplicada exclusivamente à administração pública. Assim, o público poderá verificar sua inclusão na colocação de dados em políticas públicas e regulamentos legais para contratos de convênios .
O Art. 4º da LGPD, explicita muito bem a não aplicação ao tratamento de dados para fins de defesa nacional, segurança pública ou atividades de investigação e repressão ao crime.
4. Realização de estudos por órgão de pesquisa
A LGPD valida o tratamento de dados pessoais para a realização de estudos por órgão de pesquisa, assim como o IBGE e o IPEA. Portanto, a lei aborda a realização específica de estudos em saúde pública, deixando claro que, nestes casos, os dados devem ser tratados exclusivamente dentro do órgão de pesquisa e estritamente para a finalidade do estudo.
5. Execução ou criação de contrato
Esta quinta base legal prevê que os dados pessoais possam ser utilizados para a execução ou preparação de um contrato, o qual o titular faça parte. Por exemplo, é o caso de uma contratação de um colaborador que precisa usar os seus dados.
6. Exercício regular de direitos
O uso de dados pessoais para o exercício regular de direitos é garantido pela LGPD e até possível utilizá-los para produzir provas que serão usadas em processos judiciais ou seja, trata-se de uma base legal que prevê a hipótese de tratamento de dados para exercer direitos em processos judiciais, administrativos e arbitrais.
7. Proteção da vida
Base legal da LGPD específica. É o tratamento de dados pessoais, para a proteção da vida, do mesmo modo, da integridade física do titular ou de terceiros. No caso de um acidente de moto ou carro por exemplo, em que a pessoa esteja impossibilitada de passar seus dados e, outro indivíduo usa os dados pessoais, garantindo a vida e a integridade física da pessoa, o ato estará amparado pela lei.
8. Tutela da saúde
A oitava base legal diz que profissionais da saúde, serviços de saúde ou autoridade sanitária, têm permissão para fazer o tratamento de dados pessoais. É o caso, por exemplo, de uma notificação para um paciente que deseja obter o resultado de um exame ou uma campanha de vacinação.
9. Legítimo interesse
Antes de tudo, estamos falando da mais genérica das bases legais previstas na LGPD. Ela diz que dados pessoais podem ser tratados “quando necessário para atender aos interesses legítimos do controlador ou de terceiro”.
As exceções são casos em que prevalecem direitos e liberdades do titular. Ao considerar o legítimo interesse como base legal aumenta a responsabilidade da empresa, que tem que estar preparada a qualquer momento, para justificar o uso dos dados.
Teste de proporcionalidade: validando base do legítimo interesse
Para que sua empresa fique em conformidade com a base do legítimo interesse, há o teste de proporcionalidade. Na prática, quatro pilares sustentam o teste. São eles:
– Legitimidade do interesse: diz respeito sobre a intenção de uso dos dados. Afinal, se o processamento não contraria qualquer tipo de lei e, principalmente, os direitos do titular dos dados, então é possível dizer que sua empresa atende um requisito do teste de proporcionalidade;
– Necessidade: o segundo pilar trata da necessidade do processamento das informações, ou seja, se realmente for preciso manipular qualquer tipo de dado, sempre respeitando a lei, então o pilar da necessidade também atenderá outro requisito importante do teste de proporcionalidade;
– Balanceamento: as informações precisam estar de acordo com o que o dono dos dados considera aceitável sobre a manipulação, ou seja, é preciso haver o equilíbrio entre os interesses do controlador dos dados pessoais com os do titular.
– Salvaguardas: para o último pilar, temos os mecanismos que uma empresa usa para garantir que os dados não sejam utilizados de forma indevida. Portanto, isso é o que garante um teste de proporcionalidade positivo e alinhado com os princípios da LGPD.
10. Proteção do crédito
Essa é a última base legal ou hipótese para o tratamento de dados pessoais. Trata-se da garantia aos órgãos de proteção ao crédito. É o caso da Serasa que mostra empresas ou consumidores com pendências financeiras.
Base legal é sinônimo de hipóteses que justificam o tratamento dos dados, enquanto os princípios tratam-se dos pilares da lei. Para uma empresa estar adequada à LGPD, ela precisa respeitar ambos. Portanto, uma empresa pode eleger uma base legal para determinada ação que envolva dados pessoais, mas isso não quer dizer que ela está, de fato, em conformidade com a lei. Portanto, não misture bases legais com os princípios da LGPD.
Bases legais da LGPD são diferentes de princípios
Princípios: são os pilares da LGPD que fundamentam à lei.
Bases legais da LGPD: são as hipóteses ou os argumentos que as empresas utilizam para validar tudo que se refere a dados pessoais.
A empresa pode adotar uma base legal como justificativa para a utilização de dados pessoais, mas do mesmo modo, poderá desrespeitar a lei.
É o caso de uma empresa que usa o consentimento como a base legal. Porém, utiliza os dados arbitrariamente.
Bases legais da LGPD adequada para a sua empresa
A Lei Geral de Proteção de Dados traz hipóteses para o tratamento de dados que vão além do consentimento. O correto seria que cada empresa fizesse uma análise sobre sua situação específica e depois escolhe em qual base legal se enquadra melhor.
Antecipe-se ao vazamento de dados e escolha sua base legal
O vazamento de dados pode ocorrer quando os dados de uma organização são liberados de maneira acidental ou proposital para pessoas não autorizadas. Normalmente o vazamento ocorre em uma situação em que as informações são acessadas indevidamente, fora da empresa ou por terceiros. Por isso, é importante buscar maneiras de evitar os vazamentos.
Manter a segurança, proteção contra vulnerabilidades e ameaças são exercícios contínuos. A identificação oportuna de pontos cegos, controle de acesso dos colaboradores e conscientização de sua equipe sobre as melhores práticas ajudam a analisar a sua estratégia de segurança e preencher suas lacunas enquanto revisa seus investimentos.
Se uma organização ainda não foi violada, isso não significa que não enfrentará vazamentos de dados ou violações no futuro.
Os vazamentos de dados mais comuns são:
CPF e identidade;
Cartão de crédito;
Informações corporativas;
Processos de fabricação;
Lista de clientes.
Soluções que podem evitar o vazamento de dados
O investimento em segurança cibernética é a melhor opção para proteger os dados de uma empresa. Ainda mais, diminuindo as vulnerabilidades. Há também, uma abordagem cibernética envolvendo ações que evitam os ataques bem como, é capaz de conter o vazamento de dados. O monitoramento integral é mais uma ferramenta poderosa tanto na prevenção como no vazamento em si.
Automatização de processos
A automatização é capaz de organizar o processo de maneira quase que instantânea. O resultado demonstra aumento de produtividade em diversos setores da empresa e do mesmo modo, conta com a redução de erro.
Backups
O backup diminui muitos dos riscos de perda e vazamento de dados associados a ataques cibernéticos. Da mesma forma, uma boa dica é fazer três backups em ambientes diferentes. Uma cópia armazenada deve ficar em outro local.
Controle de acesso
É fundamental que as empresas respeitem e criem uma hierarquia para acesso de dados.
Autenticação em dois fatores
A autenticação multifatorial ajuda a mitigar os riscos associados ao acesso ao usuário. Caso um cibercriminoso roube sua senha e tente entrar em um recurso na nuvem, a autenticação multifatorial, exige que eles usem mais do que apenas a palavra-chave roubada.
O que fazer em caso de vazamento de dados
Existem três práticas recomendadas que devem ser seguidas em caso de violação de dados:
- – Boletim de ocorrência
Quando há a descoberta de vazamento de dados, a primeira coisa que a empresa deve fazer, é um boletim de ocorrência eletrônico. Dessa forma, a empresa comprova que as ações não partiram da organização.
2 – Restrição de acesso
Autenticação, autorização e políticas de segurança ajudam a comprovar, que os usuários são mesmo quem eles dizem que são. Assim, o acesso estará adequado aos dados da empresa.
A Restrição de Acesso nada mais é de um componente da segurança de dados que aponta quem pode acessar e usar as informações da empresa.
3 – Plano de Recuperação de Desastre
De acordo com o Plano de Recuperação de Desastres, tem como objetivo, garantir rapidamente que as operações sejam reiniciadas. Caso ocorra uma parada das atividades por muito tempo, com certeza, afetará a reputação e as finanças da empresa. Em resumo, o foco é manter os negócios e retomar o trabalho, o mais rápido possível.
Plano de resposta a vazamento de dados
Um conjunto de ações, que visa reduzir o acesso, não autorizado, a dados e que ainda, consiga conter os danos causados. Isso é o que conhecemos como Plano de Resposta a Vazamento de Dados. Posteriormente, na elaboração do processo, cada etapa servirá de base para suas políticas e para a segurança. Acompanhe:
Métodos para recuperação de desastre;
Identificação dos dados confidenciais e críticos da sua organização;
Definição de ações para proteção com base na gravidade do impacto de um ataque;
Análise da atual legislação sobre violação de dados;
Avaliação de riscos do seu ambiente de TI e igualmente, identificação de áreas vulneráveis;
Análise de impacto nos negócios; etc.
Os recursos disponibilizados na nuvem possuem atributos próprios que impulsionam a construção e a execução dos planos.
Bases legais da LGPD devem ser respeitadas
Empresas devem investir em segurança, em plataformas transparentes com acesso a fiscalização por parte dos titulares e em criptografia de banco de dados. Além, do cumprimento a LGPD através da figura do encarregado de dados.
Há ações que podem evitar o vazamento de dados com respaldo da LGPD.
