Entenda como a GDPR, a LGPD e o NIST ajudam na proteção de dados pessoais

Entenda como a GDPR, a LGPD e o NIST ajudam na proteção de dados pessoais
Geovane Fedrecheski
Geovane Fedrecheski

Compartilhe

Introdução

O ano é 2015, você acaba de descobrir uma nova loja virtual com promoções legais dos itens que você gosta. Você faz um cadastro (email, senha, endereço e CPF) e compra alguns itens, que em poucos dias chegam em sua casa. Você percebe, no entanto, que a sua caixa de email começa a receber promoções de lojas que você sequer conhece. Se você tivesse uma bola de cristal, saberia que são lojas parceiras daquela que você fez a compra, e elas compartilham os dados dos usuários entre si, pois isso ajuda nos negócios delas.

Claro que nenhum consumidor quer que seus dados pessoais sejam compartilhados na Internet sem controle algum, então para resolver isso, em 2018 a União Europeia lançou uma nova lei para proteger os dados dos consumidores na Internet. Entre outras coisas, essa lei faz com que empresas possam ser punidas caso coletem ou compartilhem dados de forma indevida.

Neste artigo, você vai aprender sobre as leis e diretrizes que determinam como os dados pessoais devem ser tratados por empresas de tecnologia. Você vai conhecer:

  • A lei de proteção de dados que surgiu lá da Europa (GDPR);
  • A lei brasileira (LGPD), que foi inspirada na europeia;
  • E também qual o papel de uma instituição norte-americana (NIST) nesse contexto.

Vamos lá?

Imersão dev Back-end: mergulhe em programação hoje, com a Alura e o Google Gemini. Domine o desenvolvimento back-end e crie o seu primeiro projeto com Node.js na prática. O evento é 100% gratuito e com certificado de participação. O período de inscrição vai de 18 de novembro de 2024 a 22 de novembro de 2024. Inscreva-se já!

A importância da GDPR

A GDPR (General Data Protection Regulation), ou Regulamento Geral de Proteção de Dados, é uma lei implementada pela União Europeia em 2018 que transformou a forma como os dados pessoais são tratados globalmente. A lei impõe normas rigorosas sobre a coleta, processamento e armazenamento de dados, garantindo mais transparência e fortalecendo o controle que os cidadãos têm sobre suas informações pessoais.

Por exemplo, vamos imaginar que você é um ávido jogador online e acabou de encontrar um novo jogo que deseja experimentar. No entanto, antes de começar, o jogo pede que você forneça alguns detalhes pessoais. Com a GDPR, a empresa por trás do jogo é obrigada a lhe informar de forma clara e simples quais dados está coletando, por que está coletando esses dados e como pretende usá-los. Além disso, eles precisam do seu consentimento explícito para coletar e usar esses dados.

Mas e se depois de um tempo você decidir parar de jogar? Aqui é onde entra outro aspecto crucial da GDPR - o direito à portabilidade e à exclusão de dados. Você tem o direito de solicitar todos os dados que o jogo coletou sobre você, e pode exigir que eles apaguem todas as suas informações. Além disso, se decidir mudar para um jogo concorrente, pode solicitar que seus dados sejam transferidos para o novo jogo.

A implementação da GDPR marcou uma importante mudança no paradigma da proteção de dados, colocando os interesses do usuário em primeiro lugar. A lei incentiva uma abordagem proativa à segurança dos dados, responsabilizando as empresas por qualquer violação e estabelecendo multas severas para não conformidades.

Bom, e se lá na Europa foi criada essa lei, você pode estar se perguntando se tem algo parecido para nós brasileiros. A resposta é que tem sim, confira a seguir.

LGPD e como ela se relaciona com a GDPR

A Lei Geral de Proteção de Dados (LGPD) é a resposta do Brasil às necessidades de regulação de dados pessoais, inspirada fortemente na GDPR europeia. Esta lei, que entrou em vigor em 2020, impõe restrições e obrigações semelhantes às da GDPR em relação ao tratamento de dados pessoais.

Assim como a GDPR, a LGPD também proporciona a você o direito de acessar, corrigir, excluir e transferir seus dados. No entanto, a LGPD tem seu próprio conjunto de regras e regulamentos específicos. Por exemplo, enquanto a GDPR se aplica a todos os cidadãos europeus, não importa onde estejam localizados, a LGPD se aplica a qualquer operação de processamento de dados que ocorra no Brasil ou que envolva dados coletados no Brasil, independente da nacionalidade da pessoa.

Além disso, a multa por infringir a GDPR pode ser de até 4% do faturamento anual (com um teto de € 20 milhões), enquanto a multa por infringir a LGPD é de até 2% do faturamento da empresa (limitada a R$ 50 milhões).

Por isso, é fundamental que as organizações estejam cientes das diferenças entre as duas leis. Estar em conformidade com a GDPR não significa automaticamente conformidade com a LGPD, e vice-versa. As empresas que operam tanto na Europa quanto no Brasil devem estar atentas para garantir a conformidade com ambas as legislações.

Além dessas duas leis, que focam na privacidade, temos ainda um instituto americano que trabalha num escopo mais abrangente, determinando como implementar diretrizes de segurança, confira a seguir.

O papel do NIST

O Instituto Nacional de Padrões e Tecnologia (NIST), uma agência norte-americana, tem como objetivo a criação de normas e recomendações tecnológicas para aprimorar a segurança em ambientes digitais. No âmbito da proteção de dados, o NIST tem uma contribuição significativa por meio das diretrizes e normas que estabelece para proteger sistemas e dados de organizações.

Consideremos um exemplo prático para entender melhor o papel do NIST: Imagine que você é proprietário de uma pequena empresa que desenvolve aplicativos de fitness. Seu aplicativo coleta dados sensíveis dos usuários, como informações sobre a saúde e o desempenho físico. Garantir a segurança desses dados é uma alta prioridade, mas como uma pequena empresa, você pode não ter acesso a um especialista em segurança cibernética. Aqui é onde o NIST entra!

O Framework de Cibersegurança do NIST é um guia que sua empresa pode utilizar para melhorar a segurança dos dados. O framework descreve cinco funções principais: identificar, proteger, detectar, responder e recuperar. Ao seguir estas diretrizes, você pode melhorar a segurança dos dados coletados pelo seu aplicativo e mostrar aos usuários que leva a privacidade deles a sério.

Essencialmente, a GDPR e a LGPD estabelecem o cenário legal para a proteção de dados, enquanto o NIST oferece orientações práticas sobre como realizar essa proteção de maneira eficaz. Assim, as três entidades atuam em sinergia para assegurar a segurança e a privacidade dos dados dos usuários.

Conclusão

Vivemos em uma era digital onde a quantidade de dados que produzimos e compartilhamos diariamente é avassaladora. Em meio a isso, a proteção de dados pessoais se tornou uma questão importante. Enquanto a GDPR e a LGPD criam o arcabouço regulatório para proteção de dados, o NIST estabelece as diretrizes técnicas para efetivamente implementar essas regulamentações.

Ou seja, de uma maneira bem simplificada:

  • A GDPR e a LGPD dizem o que deve ser feito, e o NIST mostra como.

Assim, cada entidade, em seu próprio papel, contribui para o ecossistema de proteção de dados, promovendo práticas éticas e seguras no uso da informação. Nesse contexto, a compreensão e a aplicação destas orientações é essencial para as organizações que buscam não apenas a conformidade legal, mas também a confiança de seus usuários e clientes no ambiente digital.

Geovane Fedrecheski
Geovane Fedrecheski

Geovane pesquisa e desenvolve soluções e protocolos, com foco em segurança pra Internet das Coisas. Bacharel em Ciência da Computação e Doutor em Engenharia Elétrica, já trabalhou com Android quando a LG ainda fazia smartphones, já fez uns backend aqui e uns frontend acolá, e hoje seu foco é em software embarcado (IoT). Colabora com a Alura desde 2022, além de também ser engenheiro pesquisador no Instituto Nacional de Pesquisa em Computação e Automação (Inria), na França.

Veja outros artigos sobre DevOps