Lei Geral de Proteção de Dados e o que você deve fazer
Até bem pouco tempo, empresas dos mais diferentes segmentos eram acostumadas a utilizar dados de seus clientes e leads de uma determinada maneira. Seja para as estratégias de marketing, seja para manter um cadastro dos consumidores, organizações privadas e públicas têm como prática coletar, armazenar, processar e até comercializar os dados pessoais de cada usuário da sua base.
Contudo, recentemente, no dia 27 de agosto, a Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LPGD) passou a entrar em vigor, regulamentando a política de proteção de dados pessoais e privacidade.
A legislação modifica alguns dos artigos do Marco Civil da Internet e apresenta novas diretrizes para empresas e órgãos públicos. O instrumento legal visa assegurar a criação de um cenário de segurança jurídica no país.
Inspirada pela General Data Protection Regulation (GDPR), que vigora na União Europeia desde desde 25 de maio de 2018, a legislação brasileira exige uma série de adaptações e cuidados na gestão dos dados. Quem não se adaptar corre o risco de arcar com multa milionária e outros tipos de sanção previstos em lei.
Ainda assim, no início de 2020, 58,3% das empresas brasileiras não haviam iniciado o processo de adequação à Lei Geral de Proteção de Dados. O número foi levantado em pesquisa realizada pela ICTS Protiviti. Para muitas organizações, essa adaptação deve começar pelo básico. Isso porque o estudo apontou que 75% delas não possuem políticas ou normas de segurança.
Contudo, agora é preciso de adaptar. A LGPD já está em vigor e as multas serão aplicadas a partir de agosto de 2021. Mas é fundamental aproveitar esse prazo de carência, para entrar em conformidade.
Avance na leitura do artigo para saber tudo o que precisa sobre o tema!
Proteção de dados pessoais: o que é e como garantir?
Dentro do escopo da Lei, os dados pessoais protegidos pela lei são aqueles determinados ou determináveis. Na prática, qualquer informação que permita identificar uma pessoa natural ou torne a identificação possível.
Veja, a seguir, como os dados são classificados pela LGPD:
Dados pessoais
- Nome;
- Sobrenome;
- E-mail;
- Números de documentos e de cartões de crédito;
- Dados bancários;
- Informações médicas;
- Localização;
- Endereços de IP;
- Cookies.
Vale destacar que a lei visa proteger também os “dados pessoais sensíveis”. Ou seja, aqueles que podem gerar discriminação se expostos ou vazados. São exemplos:
- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política;
- Filiação a sindicato ou organização de caráter religioso, filosófico ou político;
- Relacionados à saúde ou à vida sexual, genético ou biomédico.
Dados não pessoais
- Dados obtidos por um hospital ou médico que permitam identificar uma pessoa de forma inequívoca;
- Número de registro de empresa;
- Endereço eletrônico de empresa
- Dados anônimos.
De acordo com a LGPD, a proteção desses dados se dá pelo tratamento adequado. Ou seja, pelo cuidado das empresas em todas as etapas de manipulação das informações: coleta, uso, armazenamento e difusão.
Lembre-se de que as organizações devem seguir à risca um conjunto de princípios de privacidade.
Com esse processo, os clientes são beneficiados. Isso porque a LGPD visa assegurar a proteção integral da liberdade, privacidade, segurança, bem como o direito ao consentimento expresso e o acesso aos dados para correções ou exclusão.
Como funciona a lei geral de proteção de dados: principais aspectos
Para compreender a Lei Geral de Proteção de Dados é preciso conhecer as principais mudanças trazidas pelo instrumento legal. Antes, tinha-se uma visão diferente das responsabilidades das empresas e bancos, agora, com a LGPD é possível estabelecer limites e responsabilidades para as instituições, principalmente em relação aos dados dos usuários.
Confira 5 aspectos centrais da LGPD:
Consentimento
A LGPD estabelece que os dados do cidadão podem ser tratados apenas com o seu consentimento, salvo algumas exceções. A lei permite tratar dados sem consentimento se isso for indispensável para:
- Cumprir uma obrigação legal;
- Realizar estudos via órgão de pesquisa;
- Executar política pública prevista em lei;
- Executar contratos;
- Defender direitos em processo;
- Tutelar ações feitas por profissionais das áreas da saúde ou sanitária;
- Preservar a vida e a integridade física de uma pessoa;
- Prevenir fraudes contra o titular;
- Proteger o crédito;
- Atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.
Direitos dos usuários
Além do consentimento, a Lei Geral de Proteção de Dados prevê uma série de outros direitos ao usuário. Ele deve, por exemplo, ter acesso a todos os dados pessoais e a possibilidade de solicitar, via requerimento, a retificação, a atualização, a eliminação, o bloqueio e a portabilidade das informações para outras empresas.
A listagem das entidades públicas e privadas com as quais ele compartilhou seus dados também deve estar acessível.
A LGPD protege os dados pessoais digitais e também aqueles obtidos em coletas feitas em papel, como fichas de cadastro e cupons promocionais, e em formato de imagem e aúdio.
A finalidade e a necessidade de tratamento de dados também precisam ser previamente informadas ao cidadão.
Por exemplo, se o objetivo de uma manipulação de dados, feita com machine learning, é construir um perfil pessoal e de consumo, o usuário deve ser informado. Além disso, ele pode intervir, solicitando a revisão da análise realizada pela máquina.
Fiscalização e agentes de tratamento
Para garantir que as novas diretrizes sejam respeitadas e cumpridas, a LGPD criou a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). O órgão é responsável pela fiscalização e aplicação de multas sempre que necessário. Além disso, cabe à ANPD regular e orientar empresas e cidadão sobre a correta aplicação da lei.
Contudo, como a autoridade ainda está em formação, ela não é a única responsável por esse processo. As organizações devem contar com os agentes de tratamento de dados que têm papel decisivo na execução da LGPD. Entenda quem são e como eles devem atuar:
- Controlador: é a empresa que demanda ao tratamento de dados e toma as decisões em relação a eles. Ela pode contratar um operador;
- Operador: é o processador de dados pessoais. Ou seja, pessoa física ou jurídica que realiza o tratamento de dados, em nome do controlador, seguindo as diretrizes definidas por ele e pela lei;
- Encarregado: é a pessoa responsável por mediar a interação e estabelecer a comunicação com os cidadãos e autoridade nacional. A figura do encarregado pode ser exigida ou não, dependendo do porte da empresa e do volume de dados.
Conforme a LGPD, todos os agentes de tratamento sujeitam-se à lei. Ou seja, diante de qualquer incidente tanto as empresas quando as subcontratadas devem responder pelos danos causados.
Administração de riscos e falhas
Para assegurar a proteção de informações pessoais, a LGPD prevê que as empresas responsáveis pela gestão da base de dados devem assumir vários compromissos, entre eles:
- Redigir normas de governança;
- Adotar medidas preventivas de segurança;
- Replicar boas práticas e certificações existentes no mercado;
- Elaborar planos de contingência;
- Realizar auditorias periódicas;
- Resolver incidentes, como vazamento de dados, com agilidade, informando à ANPD e os usuários titulares das informações.
Na prática, de acordo com a lei, as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil, sendo respeitado o limite de R$ 50 milhões por infração. Cabe à ANPD estabelecer as penalidades, considerando a gravidade da falha. Além disso, a autoridade deve encaminhar alertas e orientações antes de penalizar as organizações.
LGPD: como se adequar em 5 passos
Agora que você já conhece os principais aspectos da Lei Geral de Proteção de Dados, o próximo passo é voltar esforços para a adaptação dos processos corporativos. Afinal, é preciso atender às exigências do instrumento legal.
Confira, a seguir, cinco etapas que irão ajudá-lo nesta fase de adequação.
1. Invista na conscientização do seu time
É preciso sensibilizar os colaboradores da empresa sobre a importância de cumprir a lei. Portanto, planeje e realize atividades de formação sobre a LGPD para o time. Os profissionais precisam de conhecimento para entender o compromisso deles com a proteção de dados dos usuários.
2. Forme um comitê de compliance e nomeie um encarregado
Para garantir o cumprimento da lei, é fundamental que você crie um comitê com os profissionais do jurídico e de outros setores impactados pela LGPD. O grupo será responsável pelas avaliações de risco e definição de códigos de conduta, visando assegurar que a empresa opere atendendo aos requisitos legais da LGPD.
Além disso, é interessante nomear um encarregado de proteção de dados, conforme prevê o Artigo 3 da lei. Geralmente, as companhias escolhem um profissional da área de Tecnologia da Informação, que fica responsável pelos esclarecimentos e orientações acerca do armazenamento e da segurança dos dados.
3. Faça um mapeamento dos dados armazenados
As empresas que já têm uma base de dados precisam fazer um mapeamento de tudo o que está armazenado. Para essa etapa, contar com uma auditoria externa pode fazer toda a diferença. Assim, todas as informações da base são extraídas e, na sequência, podem ser atualizadas e corrigidas.
Os auditores são responsáveis por analisar uma série de aspectos. Veja alguns deles:
- Configurações de armazenamento dos dados;
- Históricos;
- Logs de acessos;
- Compartilhamentos efetuados;
- Backups e plano de recuperação.
Além disso, eles avaliam também o perfil dos dados armazenados no que tange à sua qualidade, integração e tratamento.
Feita a auditoria, busque fazer uma limpeza e manter somente os dados estritamente necessários na sua base. Assim, é possível reduzir a exposição ao risco.
4. Foque na revisão das políticas de segurança da informação
Para assegurar o cumprimento das exigências da LGPD, além de orientar os colaboradores, é importante revisar as políticas de segurança de informação da empresa. Dessa maneira, a organização tem condições de mapear possíveis ameaças.
Como medida prática, para orientar o time, invista na redação de um documento com a política corporativa de segurança de dados. Inclua orientações sobre os processos de instalação dos equipamentos, controle e restrições de acesso, por exemplo. Essa política será o manual dos colaboradores.
5. Revise os contratos e faça as adequações necessárias
Considerando o desafio de atender às normas de confidencialidade, transparência e liberdade, asseguradas como direito aos usuários, a revisão de contrato é indispensável.
Isso porque o documento deve deixar claro para quais finalidades os dados pessoais serão utilizados. Além disso, o contrato deve fornecer outros detalhes sobre o tratamento de dados, como duração de armazenamento, uso compartilhado, identificação do controlador e responsabilidades dos agentes de tratamento.
Os melhores recursos para se adequar à LGPD
Como você viu, o conjunto de exigências e requisitos previstos na LGPD é bastante amplo. Ainda que a empresa tenha uma área de Tecnologia da Informação bem estruturada, contar com um parceiro que seja capaz de fornecer as melhores soluções pode ajudar muito.
A INGRAM Micro possui um portfólio repleto de tecnologias e ferramentas perfeitas para auxiliar sua empresa nessa jornada de adaptação. Veja, a seguir, como o distribuidor de soluções tecnológicas com o mais completo modelo de atendimento pode apoiá-lo neste desafio:
Solução de Data Protection
No movimento de adequação à LGPD, é fundamental que as corporações priorizem o investimento em uma ferramenta de proteção de dados, com backup e plano de recuperação.
Afinal, sua empresa não pode correr o risco de perder os dados dos clientes em um vazamento e ainda ter prejuízos com multas.
Com a INGRAM Micro como parceira, você tem ao seu alcance soluções de proteção e gerenciamento de dados dos melhores fornecedores do mercado. Assim, independentemente de qual escolher, poderá ter a garantia da disponibilidade e da integridade das informações.
Gestão e segurança de dados
A estratégia de segurança da informação das corporações também precisa ser fortalecida. Por isso, é importante que os gestores busquem soluções de cibersegurança.
A INGRAM Micro oferece uma série de ferramentas para atender essa demanda. Desde softwares, soluções de segurança e backup na nuvem até firewalls físicos.
Tudo o que você precisa para entrar em conformidade com a LGPD e garantir a máxima proteção dos dados, a INGRAM Micro tem.
Os desafios trazidos pela LGPD são muitos. Conte com quem é especialista no assunto para otimizar a jornada de adaptação da sua empresa.
Gostou do artigo e quer saber mais sobre esse e outros temas? Continue acompanhando o blog da INGRAM Micro!
Este artigo foi útil?
Comentários (1)
Salete Scatena
09 de dezembro, 2020 | 11:34 am
Cada empresa terá um plano específico para si, aliando suas necessidades e fraquezas em relação a proteção dos dados pessoais. Terá que analisar os termos de uso e políticas de privacidade, para fácil entendimento ao cliente.
{{#comments}}-
{{#comments_children}}
-
{{/comments_children}} {{/comments}}
{{{comment_author}}}
{{{comment_content}}}
{{{comment_date}}}
{{{comment.comment_author}}}
{{{comment.comment_content}}}
{{{comment.comment_date}}}
Deixe seu comentário