Até bem pouco tempo, empresas dos mais diferentes segmentos eram acostumadas a utilizar dados de seus clientes e leads de uma determinada maneira. Seja para as estratégias de marketing, seja para manter um cadastro dos consumidores, organizações privadas e públicas têm como prática coletar, armazenar, processar e até comercializar os dados pessoais de cada usuário da sua base. 

Contudo, recentemente, no dia 27 de agosto, a Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LPGD) passou a entrar em vigor, regulamentando a política de proteção de dados pessoais e privacidade. 

A legislação modifica alguns dos artigos do Marco Civil da Internet e apresenta novas diretrizes para empresas e órgãos públicos. O instrumento legal visa assegurar a criação de um cenário de segurança jurídica no país.

Inspirada pela General Data Protection Regulation (GDPR), que vigora na União Europeia desde desde 25 de maio de 2018, a legislação brasileira exige uma série de adaptações e cuidados na gestão dos dados. Quem não se adaptar corre o risco de arcar com multa milionária e outros tipos de sanção previstos em lei.

Ainda assim, no início de 2020, 58,3% das empresas brasileiras não haviam iniciado o processo de adequação à Lei Geral de Proteção de Dados. O número foi levantado em pesquisa realizada pela ICTS Protiviti. Para muitas organizações, essa adaptação deve começar pelo básico. Isso porque o estudo apontou que 75% delas não possuem políticas ou normas de segurança.

Contudo, agora é preciso de adaptar. A LGPD já está em vigor e as multas serão aplicadas a partir de agosto de 2021. Mas é fundamental aproveitar esse prazo de carência, para entrar em conformidade.

Avance na leitura do artigo para saber tudo o que precisa sobre o tema!

Proteção de dados pessoais: o que é e como garantir?

Dentro do escopo da Lei, os dados pessoais protegidos pela lei são aqueles determinados ou determináveis. Na prática, qualquer informação que permita identificar uma pessoa natural ou torne a identificação possível.  

Veja, a seguir, como os dados são classificados pela LGPD:

Dados pessoais

  • Nome;
  • Sobrenome;
  • E-mail;
  • Números de documentos e de cartões de crédito;
  • Dados bancários;
  • Informações médicas;
  • Localização;
  • Endereços de IP;
  • Cookies.

Vale destacar que a lei visa proteger também os “dados pessoais sensíveis”. Ou seja, aqueles que podem gerar discriminação se expostos ou vazados. São exemplos:

  • Origem racial ou étnica;
  • Convicção religiosa;
  • Opinião política;
  • Filiação a sindicato ou organização de caráter religioso, filosófico ou político;
  • Relacionados à saúde ou à vida sexual, genético ou biomédico.

Dados não pessoais

  • Dados obtidos por um hospital ou médico que permitam identificar uma pessoa de forma inequívoca;
  • Número de registro de empresa;
  • Endereço eletrônico de empresa
  • Dados anônimos.

De acordo com a LGPD, a proteção desses dados se dá pelo tratamento adequado. Ou seja, pelo cuidado das empresas em todas as etapas de manipulação das informações: coleta, uso, armazenamento e difusão. 

Lembre-se de que as organizações devem seguir à risca um conjunto de princípios de privacidade.

Com esse processo, os clientes são beneficiados. Isso porque a LGPD visa assegurar a proteção integral da liberdade, privacidade, segurança, bem como o direito ao consentimento expresso e o acesso aos dados para correções ou exclusão.

Como funciona a lei geral de proteção de dados: principais aspectos

Entenda os principais aspectos da Lei Geral de Proteção de Dados.

Para compreender a Lei Geral de Proteção de Dados é preciso conhecer as principais mudanças trazidas pelo instrumento legal. Antes, tinha-se uma visão diferente das responsabilidades das empresas e bancos, agora, com a LGPD é possível estabelecer limites e responsabilidades para as instituições, principalmente em relação aos dados dos usuários.

Confira 5 aspectos centrais da  LGPD: 

Consentimento

A LGPD estabelece que os dados do cidadão podem ser tratados apenas com o seu consentimento, salvo algumas exceções. A lei permite tratar dados sem consentimento se isso for indispensável para: 

  • Cumprir uma obrigação legal; 
  • Realizar estudos via órgão de pesquisa; 
  • Executar política pública prevista em lei; 
  • Executar contratos; 
  • Defender direitos em processo; 
  • Tutelar ações feitas por profissionais das áreas da saúde ou sanitária;
  • Preservar a vida e a integridade física de uma pessoa;  
  • Prevenir fraudes contra o titular; 
  • Proteger o crédito; 
  • Atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Direitos dos usuários

Além do consentimento, a Lei Geral de Proteção de Dados prevê uma série de outros direitos ao usuário. Ele deve, por exemplo, ter acesso a todos os dados pessoais e a possibilidade de solicitar, via requerimento, a retificação, a atualização, a eliminação, o bloqueio e a portabilidade das informações para outras empresas.

A listagem das entidades públicas e privadas com as quais ele compartilhou seus dados também deve estar acessível. 

A LGPD protege os dados pessoais digitais e também aqueles obtidos em coletas feitas em papel, como fichas de cadastro e cupons promocionais,  e em formato de imagem e aúdio. 

A finalidade e a necessidade de tratamento de dados também precisam ser previamente informadas ao cidadão. 

Por exemplo, se o objetivo de uma manipulação de dados, feita com machine learning, é construir um perfil pessoal e de consumo, o usuário deve ser informado. Além disso, ele pode intervir, solicitando a revisão da análise realizada pela máquina.

Fiscalização e agentes de tratamento

Para garantir que as novas diretrizes sejam respeitadas e cumpridas, a LGPD criou a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). O órgão é responsável pela fiscalização e aplicação de multas sempre que necessário. Além disso, cabe à ANPD regular e orientar empresas e cidadão sobre a correta aplicação da lei.

Contudo, como a autoridade ainda está em formação, ela não é a única responsável por esse processo. As organizações devem contar com os agentes de tratamento de dados que têm papel decisivo na execução da LGPD. Entenda quem são e como eles devem atuar: 

  • Controlador: é a empresa que demanda ao tratamento de dados e toma as decisões em relação a eles. Ela pode contratar um operador; 
  • Operador: é o processador de dados pessoais. Ou seja, pessoa física ou jurídica que realiza o tratamento de dados, em nome do controlador, seguindo as diretrizes definidas por ele e pela lei; 
  • Encarregado: é a pessoa responsável por mediar a interação e estabelecer a comunicação com os cidadãos e autoridade nacional. A figura do encarregado pode ser exigida ou não, dependendo do porte da empresa e do volume de dados. 

Conforme a LGPD, todos os agentes de tratamento sujeitam-se à lei. Ou seja, diante de qualquer incidente tanto as empresas quando as subcontratadas devem responder pelos danos causados.

Administração de riscos e falhas

Para assegurar a proteção de informações pessoais, a LGPD prevê que as empresas responsáveis pela gestão da base de dados devem assumir vários compromissos, entre eles:

  • Redigir normas de governança; 
  • Adotar medidas preventivas de segurança; 
  • Replicar boas práticas e certificações existentes no mercado; 
  • Elaborar planos de contingência; 
  • Realizar auditorias periódicas;
  • Resolver incidentes, como vazamento de dados, com agilidade, informando à ANPD e os usuários titulares das informações. 

Na prática, de acordo com a lei,  as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil, sendo respeitado o limite de R$ 50 milhões por infração. Cabe à ANPD estabelecer as penalidades, considerando a gravidade da falha. Além disso, a autoridade deve encaminhar alertas e orientações antes de penalizar as organizações.

LGPD: como se adequar em 5 passos

É importante se adequar diante da LGPD, veja como

Agora que você já conhece os principais aspectos da Lei Geral de Proteção de Dados, o próximo passo é voltar esforços para a adaptação dos processos corporativos. Afinal, é preciso atender às exigências do instrumento legal. 

Confira, a seguir, cinco etapas que irão ajudá-lo nesta fase de adequação.

1. Invista na conscientização do seu time

É preciso sensibilizar os colaboradores da empresa sobre a importância de cumprir a lei. Portanto, planeje e realize atividades de formação sobre a LGPD para o time. Os profissionais precisam de conhecimento para entender o compromisso deles com a proteção de dados dos usuários. 

2. Forme um comitê de compliance e nomeie um encarregado

Para garantir o cumprimento da lei, é fundamental que você crie um comitê com os profissionais do jurídico e de outros setores impactados pela LGPD.  O grupo será responsável pelas avaliações de risco e definição de códigos de conduta, visando assegurar que a empresa opere atendendo aos requisitos legais da LGPD. 

Além disso, é interessante nomear um encarregado de proteção de dados, conforme prevê o Artigo 3 da lei. Geralmente, as companhias escolhem um profissional da área de Tecnologia da Informação, que fica responsável pelos esclarecimentos e orientações acerca do armazenamento e da segurança dos dados.

3. Faça um mapeamento dos dados armazenados 

As empresas que já têm uma base de dados precisam fazer um mapeamento de tudo o que está armazenado. Para essa etapa, contar com uma auditoria externa pode fazer toda a diferença. Assim, todas as informações da base são extraídas e, na sequência, podem ser atualizadas e corrigidas.

Os auditores são responsáveis por analisar uma série de aspectos. Veja alguns deles:

  • Configurações de armazenamento dos dados;
  • Históricos;
  • Logs de acessos;
  • Compartilhamentos efetuados;
  • Backups e plano de recuperação.

Além disso, eles avaliam também o perfil dos dados armazenados no que tange à sua qualidade, integração e tratamento.

Feita a auditoria, busque fazer uma limpeza e manter somente os dados estritamente necessários na sua base. Assim, é possível reduzir a exposição ao risco. 

4. Foque na revisão das políticas de segurança da informação

Para assegurar o cumprimento das exigências da LGPD, além de orientar os colaboradores, é importante revisar as políticas de segurança de informação da empresa. Dessa maneira, a organização tem condições de mapear possíveis ameaças. 

Como medida prática, para orientar o time, invista na redação de um documento com a política corporativa de segurança de dados. Inclua orientações sobre os processos de instalação dos equipamentos, controle e restrições de acesso, por exemplo. Essa política será o manual dos colaboradores.

5. Revise os contratos e faça as adequações necessárias

Considerando o desafio de atender às normas de confidencialidade, transparência e liberdade, asseguradas como direito aos usuários, a revisão de contrato é indispensável. 

Isso porque o documento deve deixar claro para quais finalidades os dados pessoais serão utilizados. Além disso, o contrato deve fornecer outros detalhes sobre o tratamento de dados, como duração de armazenamento, uso compartilhado, identificação do controlador e responsabilidades dos agentes de tratamento.

Os melhores recursos para se adequar à LGPD

Como você viu, o conjunto de exigências e requisitos previstos na LGPD é bastante amplo. Ainda que a empresa tenha uma área de Tecnologia da Informação bem estruturada, contar com um parceiro que seja capaz de fornecer as melhores soluções pode ajudar muito. 

A INGRAM Micro possui um portfólio repleto de tecnologias e ferramentas perfeitas para auxiliar sua empresa nessa jornada de adaptação. Veja, a seguir, como o distribuidor de soluções tecnológicas com o mais completo modelo de atendimento pode apoiá-lo neste desafio: 

Solução de Data Protection 

No movimento de adequação à LGPD, é fundamental que as corporações priorizem o investimento em uma ferramenta de proteção de dados, com backup e plano de recuperação. 

Afinal, sua empresa não pode correr o risco de perder os dados dos clientes em um vazamento e ainda ter prejuízos com multas. 

Com a INGRAM Micro como parceira, você tem ao seu alcance soluções de proteção e gerenciamento de dados dos melhores fornecedores do mercado. Assim, independentemente de qual escolher, poderá ter a garantia da disponibilidade e da integridade das informações. 

Gestão e segurança de dados

A estratégia de segurança da informação das corporações também precisa ser fortalecida. Por isso, é importante que os gestores busquem soluções de cibersegurança.

A INGRAM Micro oferece uma série de ferramentas para atender essa demanda. Desde softwares, soluções de segurança e backup na nuvem até firewalls físicos.

Tudo o que você precisa para entrar em conformidade com a LGPD e garantir a máxima proteção dos dados, a INGRAM Micro tem.

Os desafios trazidos pela LGPD são muitos. Conte com quem é especialista no assunto para otimizar a jornada de adaptação da sua empresa. 

Gostou do artigo e quer saber mais sobre esse e outros temas? Continue acompanhando o blog da INGRAM Micro!  

Este artigo foi útil?

Você já votou neste post

Tags

Alexandre Nakano

Alexandre Nakano

Diretor de Segurança e Networking da Ingram Micro Brasil. A frente da diretoria de novos negócios para a área de Enterprise, Colaboração e Cybersec na Ingram Micro Brasil, possui mais de 20 anos no mercado de tecnologia e esteve sempre em cargos de gestão e direção de vendas em grandes empresas do setor de TI. Tem, em seu currículo, passagem por empresas como Cisco Systems, Cyclades/Avocent, Westcon/Comstor e Scansource/Network1. Além da experiência profissional, traz na bagagem acadêmica dois MBAs executivos, o primeiro em gestão corporativa pela FGV, o segundo em finanças, pelo Insper, além da graduação em Engenharia Eletrônica.