Após quase uma década de concepção e disputas em Brasília, a Lei Geral de Proteção de Dados (LGPD) começou a vigorar nesta última sexta-feira (18). Inspirada na legislação europeia, ela regulamenta o tratamento de dados pessoais por parte de empresas públicas e privadas. Com isso, qualquer empresa que incluir em sua base informações de seus clientes, por mais básicas que sejam —como nome e email—, deve seguir os procedimentos da nova lei que passou a vigorar em setembro, mas de forma retroativa a agosto.
Quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma vale para coletas operadas em outro país, desde que estejam relacionadas a bens ou serviços ofertados a brasileiros, ou que tenham sido realizada no país. Mas há exceções. É o caso da obtenção de informações pelo Estado para segurança pública, defesa nacional e investigação e repressão de infrações penais. Essa temática deverá ser objeto de uma legislação específica. A lei também não se aplica a coletas para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos e acadêmicos.
A LGPD lista um conjunto de sanções para o caso de pessoas e empresas violarem as regras previstas, entre as quais destacam-se advertência, com possibilidade de medidas corretivas; multa de até 2% do faturamento com limite de até R$ 50 milhões; bloqueio ou eliminação dos dados pessoais relacionados à irregularidade, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total da atividade de tratamento. A fiscalização da lei e aplicação das punições às infrações ficará a cargo do Autoridade Nacional de Proteção de Dados (ANPD), órgão criado com vinculação à Presidência da República.
Além da necessidade de adequação das empresas quanto a LGPD, o mercado de seguros brasileiro disponibiliza o Seguro de Proteção de Dados e Responsabilidade Cibernética. Para as pessoas que estão em território nacional, é uma importante garantia de proteção, que em caso descumprimento da LGPD, as empresas estão sujeitas a diversas penalidades, como multas de até 2% do faturamento (limitadas a R$ 50.000.000,00 por infração).
Entre as obrigações, estão a exigência de respostas aos incidentes, com a notificação das pessoas que tiveram seus dados vazados, e o pronto restabelecimento do sistema e dos serviços invadidos. Isso significa que, na ocorrência de um ataque cibernético, a empresa deverá acionar uma série de prestadores de serviços para ajudá-la a identificar a fonte do ataque, a restabelecer o sistema e a recuperar os dados perdidos.
A SICCS lhe ajuda a definir cenários de perda, analisar gaps de cobertura e desenhar o melhor programa para sua necessidade, garantindo transferência de risco e suporte contínuo.