Nova lei mudou para sempre a forma como as empresas protegem os dados de seus empregados, clientes, consumidores e usuários de serviços. Se a sua empresa ainda não está adaptada à nova lei, veja aqui os 6 passos para chegar lá em segurança.
Inspirada na europeia General Data Protection Regulation (GDPR), a nova lei veio para regulamentar as atividades de todas as organizações que lidam com as informações pessoais dos usuários dos seus serviços e criou um novo marco jurídico-regulatório para o uso de dados pessoais no Brasil.
O objetivo central dessa importante medida é estabelecer os princípios, direitos e deveres que deverão passar a ser observados no tratamento de dados pessoais de todos os indivíduos – empregados, clientes, consumidores e usuários de serviços.
Basicamente, o objetivo tanto da nossa LGPD quanto da GDPR europeia é garantir que os dados das pessoas fiquem seguros e que só sejam coletados com o consentimento destas.
A iniciativa é boa, pois foi criada para conceber um ciberespaço mais seguro. Além disso, é um passo evoluído do Brasil nos quesitos de tratamento, confidencialidade e segurança de dados. A lei protege de atos de má fé, não só cometidos por empresas brasileiras, mas por qualquer empresa que tenha serviços no solo brasileiro. Porém, este passo exigirá das empresas um investimento maior em segurança da informação e um rápido timing de resposta para estar em dia com a nova legislação. A nova lei já está em vigor e vale para quase todos os tipos de empresa, online ou não.
Com poucas exceções, como segurança nacional e pública, pesquisa pura, fins artísticos e jornalísticos, qualquer empresa pública ou privada que processe dados pessoais está sujeita à nova lei e à sua fiscalização pela Autoridade Nacional de Proteção de Dados (ANPD) – órgão da administração pública que será criado com a finalidade de fazer cumprir a Lei Geral de Proteção de Dados.
O que muda com a nova lei
As empresas terão a obrigação, com a nova lei, de explicar o motivo das informações estarem sendo solicitadas e o usuário terá o direito, inclusive, de suspender qualquer autorização de compartilhamento de dados, a qualquer momento que desejar.
Trocando em miúdos: agora, todas as pessoas que tiverem os seus dados coletados, armazenados e tratados por qualquer empresa, terão o direito de saber o que será feito com tais dados e a empresa, não o justificando, poderá sofrer graves punições, incluindo multas milionárias.
A multa diária para as empresas denunciadas por manipular dados sem autorização ou com má fé, caso seja constatada esta ação, será de 2% do faturamento (limitado a 50 milhões por infração), bloqueio ou eliminação de dados tratados de maneira irregular e suspensão ou proibição de exercer qualquer atividade que envolva a manipulação de dados. Estas punições por desobediência à LGPD começarão a ser aplicadas a partir de agosto de 2021.
Como se adequar à LGPD?
Devido às diversas mudanças que devem ser promovidas e das elevadas penalidades para as empresas que não se adaptarem, o ideal é começar as mudanças o quanto antes. Para se adequar, as empresas precisarão:
identificar e realizar o inventário de dados pessoais, incluindo sua classificação, informações sobre quem controla, quem processa e como são transferidos;
avaliar o nível de proteção de dados de todos os envolvidos, sejam próprios ou de terceiros;
definir e implantar soluções, políticas e governança de dados em toda a organização;
controlar e auditar continuamente o nível de proteção, avaliando constantemente possíveis vazamentos interna e externamente.
Seguir estas novas diretrizes, sabemos, não é fácil. Por isso, caso a sua empresa já conte com um departamento de cibersegurança, criamos um a passo para que seus profissionais se organizem para se adequar a elas.
Passo a passo para a adequação à nova LGPD
1. Defina Agentes de Tratamento de Dados Pessoais
Segundo determinação da LGPD, é necessário nomear profissionais que ficarão responsáveis por adotar medidas de segurança de dados, zelar pela proteção das informações pessoais e barrar os acessos não autorizados, assim como prevenir qualquer uso inadequado, perda ou furto de dados.
No mínimo deverá haver dois profissionais: um agente deve ser o controlador – responsável pelas decisões sobre o tratamento dos dados pessoais – e, o outro, o operador – responsável por efetuar o tratamento dos dados sob o comando do controlador.
Estes agentes podem ser pessoas físicas ou jurídicas, de direito público ou privado. De preferência, devem ser especialistas em proteção de dados pessoais ou de inteligência, pois serão responsáveis por elaborar relatórios, avaliando riscos à segurança da informação, sugerindo medidas para mitigar a vulnerabilidade e impacto à proteção de dados pessoais (entre outras atividades, como prevê o artigo 41, da LGPD), além de servir como ponte entre os titulares dos dados pessoais e a futura autoridade nacional, a ANPD.
2. Realize uma auditoria de dados
Antes de criar as novas políticas de proteção de dados, é preciso examinar o sistema que se utiliza, as configurações de guarda dos dados, históricos, logs de acessos e compartilhamentos efetuados.
Esta auditoria é importante para não deixar nada para trás servindo para verificar a segurança de dados do sistema quanto ao controle de acesso, backups e plano de recuperação, além de analisar o perfil dos dados armazenados quanto à sua qualidade, integração e tratamento.
3. Atualize as políticas de segurança de dados
Para estar de acordo com a nova lei, é importante rever as políticas de segurança de dados da empresa para prevenir, detectar ou corrigir possíveis violações dos dados.
Esta medida visa fortalecer a segurança dos sistemas e orientar colaboradores sobre os novos procedimentos de segurança de dados a serem adotados.
É recomendável redigir as políticas de segurança de dados da empresa contendo informações sobre as condições de instalação dos equipamentos, restrições de acesso, procedimentos adequados, controle, etc. e compartilhá-las com todas as pessoas da organização para maior engajamento na segurança da informação.
Essa é uma medida fundamental, pois serve como atenuante em caso de eventual penalização administrativa.
4. Crie uma diretriz de consentimento para o tratamento de dados
O consentimento do titular é o primeiro requisito para autorizar o tratamento de dados (Art. 7º, I) e um dos pilares sobre o qual a LGPD foi criada. Portanto, é de suma importância que a coleta de dados seja feita de uma forma clara e livre.
O titular das informações deverá estar de acordo e consciente do tratamento dos seus dados pessoais para uma determinada finalidade, que deverá sempre estar escrita de forma clara, em cláusula destacada. Além disso, nos casos de comunicação ou compartilhamento de dados com terceiros (outros controladores), é preciso consentimento específico para o ato.
5. Revise os contratos
A revisão de contrato é um dos itens mais importantes da LGPD. É necessário adequar este documento para que ele atenda às normas de confidencialidade, transparência e liberdade dos usuários.
De acordo com a nova lei, o contrato deve deixar claro para quais finalidades os dados pessoais serão utilizados, assim como as informações sobre o tratamento de dados quanto à sua duração, uso compartilhado, identificação do controlador e responsabilidades dos agentes de tratamento.
É necessário lembrar que o documento deve prever a retirada e portabilidade dos dados para outros servidores – tal como está garantido pela LGPD.
Para aqueles que mantêm contratos com fornecedores que possuem, direta ou indiretamente, acesso às informações, vale a pena também revisar os contratos firmados com eles. No novo contrato é preciso estabelecer novas cláusulas contratuais, exigindo a conformidade legal no tratamento dos dados pessoais, sob pena de responsabilização solidária.
6. Audite continuamente os dados pessoais e a transparência
Os dados já coletados e processados deverão ser reavaliados continuamente, verificando o objetivo de sua coleta e o correspondente fundamento jurídico. Também será necessário informar aos titulares sempre que houver a coleta de seus dados pessoais.
Precisa de ajuda?
Caso sua empresa não tenha know-how adequado para a implementação destas medidas ou não possua um departamento exclusivo de cibersegurança, entre em contato conosco.
Podemos ajudá-lo a fazer um diagnóstico do cenário atual do seu negócio com relação à nova lei e criar já um plano de ação para a sua adequação em conjunto com o seu departamento jurídico, de tecnologia, marketing e demais áreas. Conte conosco!
Fontes: Delphos, Thales eSecurity, itforum365, gerencianet
Comments