La Loi Générale sur la Protection des Données Personnelles (LGPD) est une législation qui a pour objectif de protéger la liberté et la vie privée des consommateurs et des citoyens, spécifiquement en ce qui concerne les données des utilisateurs, définissant les responsabilités relatives au traitement, à l'utilisation et au partage de ces données.

Le 17/09/2020, le président Jair Bolsonaro a sanctionné la Loi n° 14.010/2020 qui a modifié le dispositif de vigueur de la loi, lui donnant une nouvelle rédaction et ainsi la LGPD (LOI 13.709/18) est entrée en vigueur le 18/09/2020. Cependant, les sanctions administratives déterminées dans les Articles 52, 53 et 54 entreront en vigueur le 01/08/2021.

Malgré l'impossibilité d'appliquer des sanctions administratives, appliquées par l'ANPD, les droits des titulaires peuvent déjà être exercés et, par conséquent, une série d'implications juridiques peuvent déjà être appliquées.

Après la publication au Journal Officiel de l'Union, une série de mesures pour protéger les données et la vie privée des citoyens, comme éviter les fuites de données, les entreprises et les organismes publics devront adopter des mesures pour se conformer à la nouvelle loi.

Pour les entreprises qui ne sont pas en conformité avec la LOI, elles seront soumises à une sanction limitée à 50 millions de R$, correspondant à 2 % du chiffre d'affaires annuel, à partir d'août 2021.

Avec l'augmentation des cas de fuites et de collecte de données ces dernières années, on a commencé à penser à la protection des données personnelles, afin de déterminer les façons dont les données sont collectées, faisant de la sécurité des données et de la vie privée un droit du citoyen. Une telle réglementation a des conséquences non seulement pour les particuliers mais aussi pour les entités publiques, amenant les gouvernements, les entreprises et la société à s'inquiéter de créer des mécanismes pour éviter les fuites et le partage non autorisé des données obtenues.

Nous utilisons de nombreux services qui collectent nos données avec notre consentement, cependant sans l'information adéquate, c'est-à-dire sans savoir exactement quels traitements seront appliqués ou même avec qui les données collectées seront partagées, en plus de cette part de services qui collectent des données sans le consentement de l'utilisateur, pour diverses finalités, y compris des fins obscures et visant uniquement à réaliser un profit avec la vente des données.

À ce stade, nous devons vous interroger, avez-vous déjà lu une politique de données, une politique de confidentialité ou la licence/contrat d'utilisation de n'importe quelle application avant d'utiliser le service proposé ? Vous êtes-vous déjà refusé à utiliser un service en raison des informations que vous avez obtenues à travers une politique de confidentialité lue ? Avez-vous déjà eu besoin de supprimer vos données d'un service dont vous n'êtes plus abonné ? N'est-ce pas tout obscur ?

C'est en pensant à ces situations, entre autres, que la LGPD vient réglementer ces droits des utilisateurs, voyons les principaux :

• Confirmation de l'existence d'un traitement.
• Accès à vos données.
• Correction de données incomplètes, inexactes ou obsolètes.
• Anonymisation, blocage ou élimination de données traitées en non-conformité avec la LGPD.
• Portabilité des données à un autre fournisseur de services ou de produits.
• Élimination des données personnelles traitées avec le consentement du titulaire.
• Information des entités publiques et privées avec lesquelles le contrôleur a partagé des données.
• Information sur la possibilité de ne pas donner son consentement et sur les conséquences du refus.
Révocation du consentement.
• Opposition au traitement effectué sur la base de l'une des hypothèses de dispense de consentement, en cas de non-respect des dispositions de la loi.
• Révision des décisions automatisées.

Voici quelques mesures nécessaires pour que votre entreprise se conforme à la LGPD, à titre d'exemple :

• La première mesure nécessaire est la nomination d'un DPO, qui peut être une personne physique ou morale, responsable des évaluations et mises à jour constantes des politiques de données et de confidentialité, ainsi que des traitements effectués.
• Il devra documenter tout le processus d'acquisition, de traitement et d'élimination des données des utilisateurs. Par exemple : Comment les données ont été acquises, à quelles fins elles seront utilisées, avec qui elles seront partagées, comment elles seront traitées, quelles mesures de sécurité seront mises en place pour garantir la confidentialité de ces données, combien de temps les données resteront stockées. Cela signifie que chaque donnée obtenue aura un cycle de vie, afin qu'elle puisse être révisée.
• Avoir une bonne politique de confidentialité, décrivant les données collectées, l'objectif de la collecte, comment le titulaire peut exercer ses droits et la politique adoptée en cas de défaillance ou de fuite de données, ainsi que le rapport d'impact des événements de fuite.
• L'entreprise devra supprimer les données qu'elle juge non nécessaires (comme la fermeture d'un compte, par exemple), sauf si elle est légalement obligée, ou pour un autre motif justifiable, de les conserver.
• Adopter des mesures de sécurité de l'information, basées sur les meilleures pratiques telles que ISO 27001/27002, ITIL et Cobit.
• En plus de tout cela, des politiques de formation doivent être constantes, alertant les collaborateurs sur la sécurité de l'information et la protection des données, en illustrant les risques juridiques et les mesures procédurales qui seront mises en œuvre.

Un autre point important est que la LGPD ne s'applique pas seulement aux données obtenues et stockées sous forme numérique, mais aussi aux données physiques, comme, par exemple, le papier. Elle doit suivre la même politique, le même cycle de vie et être prévue dans les rapports d'impact et de sécurité des données, en cas de fuite fortuite.

Avec tout cela à faire, l'idéal est de faire appel à un professionnel ou à une entreprise spécialisée pour réaliser l'inventaire de tous les processus de l'entreprise pour la révision des politiques de données et de confidentialité, ainsi que d'exiger de ses systèmes et équipes informatiques qu'ils fassent de même, afin de garantir la conformité totale à la LGPD.

La LGPD dans ChatSeguro

Chat Seguro est une alternative légère et puissante aux outils de communication existants, toujours avec une pensée orientée vers la sécurité, nous avons pris dès le départ l'engagement de protéger la vie privée des données de nos clients.
Nous ne commercialisons ni ne partageons indûment les données, seulement les données nécessaires à la détermination des impôts et celles que, par disposition légale, nous sommes obligés de fournir.
Nous respectons nos clients et leur garantissons une transparence dans la gestion de leurs données à tout moment, nous les stockons de manière sécurisée sur nos serveurs et systèmes strictement nécessaires au maintien et au bon fonctionnement de l'outil auquel vous êtes abonné.

Voici quelques conseils pour l'utilisation de Chat Seguro :

• L'entreprise doit créer un document de politique d'utilisation du communicateur.
• Le collaborateur doit être orienté à utiliser Chat Seguro uniquement à des fins professionnelles.
• Les collaborateurs doivent être orientés à ne pas partager d'informations confidentielles par des moyens non sécurisés, comme le courrier électronique et WhatsApp, par exemple.
• En utilisant Chat Seguro, votre entreprise prévient d'éventuelles fuites de données.
• Nous sommes en conformité avec la LGPD.

La sécurité des données devient une obligation expresse de la loi, soumise à des pénalités. Pour cette raison, il est impératif que les gestionnaires de l'organisation exercent la gouvernance numérique, c'est-à-dire qu'ils connaissent les risques impliqués, identifient les lacunes actuelles et mettent en œuvre les mesures correctives.

À partir de maintenant, donc, la fuite de données impliquera la responsabilité de l'entrepreneur ou de son organisation pour les dommages causés, compte tenu des vulnérabilités de la sécurité de l'information.

Consultez la loi dans son intégralité : http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm

Article rédigé par :
Genilto Dallo
Diplômé en Sciences de l'Informatique, Postgradué en Gestion des Systèmes d'Information et PDG de Chat Seguro

Lucas Balena
Avocat OAB/PR 85.011
www.balenaadvogados.adv.br