A Lei n° 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais – LGPD, foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade, e a livre formação da personalidade de cada indivíduo.
A Lei fala sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, por pessoa física ou jurídica de direito público ou privado, englobando um amplo conjunto de operações. Define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, estão sujeitos à regulação e estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada, autorizando também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos.
No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, o Controlador e o Operador. Além deles, há a figura do Encarregado, que é a pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, o Operador, os(as) titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
A Lei estabelece uma estrutura legal de direitos dos(as) titulares de dados pessoais. Esses direitos devem ser garantidos durante toda a existência do tratamento dos dados pessoais realizado pelo órgão ou entidade. Para o exercício dos direitos dos(as) titulares, a LGPD prevê um conjunto de ferramentas que aprofundam obrigações de transparência ativa e passiva, e criam meios processuais para mobilizar a Administração Pública.
Para fiscalizar e aplicar penalidades pelos descumprimentos da LGPD, o Brasil conta com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição tem as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. No entanto, apenas a ANPD (Lei nº 13.853/2019) não basta, e é por isso que a Lei Geral de Proteção de Dados Pessoais também prevê a existência dos agentes de tratamento de dados e estipula suas funções, nas organizações, como: o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com os titulares dos dados pessoais e a autoridade nacional.
Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados.
Podemos dizer que muitos avanços já ocorreram, mas ainda assim, poucas empresas estão completamente preparadas para adotar as medidas presentes na Lei Geral de Proteção de Dados, seja por complexidade, ausência de pessoas especializadas ou falta de conhecimento necessário.
A Duosystem faz parte de um seleto grupo de empresas brasileiras que valorizam e investem em segurança da informação. Recentemente, a companhia foi recertificada pela ISO 27001:2013, padrão e referência internacional para a gestão da Segurança da informação. No Brasil, apenas 133 empresas possuem esta certificação e, no mundo, são cerca de 36.000 empresas certificadas, sendo que no segmento de Saúde este número se reduz a aproximadamente 410 empresas.