Segurança digital

Tudo que você precisa saber sobre a LGPD

Por Ulysses Dutra | 03.11.21
A imagem mostra uma fechadura cercada por números para ilustrar a segurança de dados na LGPD

Conheça a importância da LGPD para os negócios, suas regras gerais e saiba como se adequar à essa nova legislação para garantir mais segurança para sua operação

Desde 1º de agosto de 2021 a LGPD está totalmente em vigor. Agora, as empresas e órgãos públicos que ainda não entraram em conformidade com a nova legislação estão sujeitas às penalidades previstas. Quem descumprir a Lei Geral de Proteção de Dados corre o risco de receber advertências e multas de até 2% do faturamento, que podem chegar até o limite de R$ 50 milhões.

Além disso, dependendo de cada caso também podem ocorrer punições como bloqueio e eliminação dos dados envolvidos em irregularidades, ou a proibição total ou parcial de exercer atividades que envolvam o tratamento de dados.

É importante lembrar ainda que as empresas advertidas são obrigadas a tornar pública a irregularidade cometida e os danos causados, gerando um enorme prejuízo à credibilidade e à renda, independente de receber uma multa ou não.

E os perigos não são poucos. De acordo com dados da Anatel, apenas no primeiro semestre de 2021 o Brasil sofreu 2,6 bilhões de ataques cibernéticos.

Por isso, se a sua empresa ainda não está alinhada com as normas da Lei Geral de Proteção de Dados, acompanhe que vamos explicar mais sobre a importância disso, e como fazer para se adequar à lei. Mas antes vamos saber do que trata a LGPD.

O que é a LGPD

A Lei Geral de Proteção de Dados (LGPD), ou Lei nº 13.709/2018, é uma legislação criada com o objetivo de resguardar a privacidade dos cidadãos, estabelecendo normas para o tratamento de dados pessoais – seja em meio físico ou digital – feito por uma pessoa física, empresa pública ou privada.

Segundo a LGPD, o tratamento “abrange qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Portanto, a LGPD atua na segurança e integridade de informações como nome, endereço, RG, CPF, data de nascimento, telefone, localização via GPS, renda, hábitos de consumo, endereço de IP e cookies, entre outros dados.

Como funciona a Lei Geral de Proteção de Dados?

Para cumprir sua finalidade, a Lei Geral de Proteção de Dados oferece às pessoas um controle maior sobre seus dados, bem como obriga as empresas e organizações a atuarem sob alguns protocolos de segurança da informação.

Essas novas regras de transparência e controle modificam não só a maneira das empresas realizarem o tratamento de dados pessoais de clientes, funcionários e fornecedores, mas toda a forma com que os consumidores lidam com esse assunto.

Para começar, a legislação determina que os titulares precisam concordar com a coleta de dados pelos controladores, devem saber exatamente qual a finalidade para a qual serão usados e por quanto tempo serão armazenados.

Por isso, vamos entender melhor quem são esses personagens e qual o papel de cada um no cumprimento da LGPD.

Quem é quem na LGPD

As regras definidas na LGPD atingem quatro personagens que possuem diferentes papéis e responsabilidades em relação aos dados pessoais:

  • Titular – é a pessoa física que possui a liberdade de autorizar, negar ou revogar qualquer autorização concedida anteriormente para o tratamento de seus dados pessoais.
  • Controlador – é a empresa ou pessoa física que solicita e usa os dados pessoais do titular. Ou seja, é quem tem a responsabilidade sobre como são coletados esses dados, o objetivo para o qual são utilizados e por quanto tempo serão armazenados.
  • Operador – é a empresa ou pessoa física com a responsabilidade pelo tratamento e processamento dos dados, sob o comando e instruções do controlador.
  • Encarregado – é a pessoa indicada pelo controlador e operador para atuar como um canal de comunicação entre controlador, operador, titular e a Autoridade Nacional de Proteção de Dados (ANPD). Além disso, orienta a equipe do controlador e operador sobre o trabalho de tratamento e proteção de dados.

No caso de um vazamento de dados pessoais, de acordo com a LGPD, quem responde pela violação de segurança são os agentes de tratamento, ou seja, o controlador e o operador.

Segundo o artigo 46, são eles os responsáveis por adotar medidas para garantir a proteção de dados pessoais contra “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Porém, a LGPD também deixa claro que a responsabilidade final é do controlador, que é quem determina e orienta o trabalho do operador. Por isso, é preciso esclarecer bem o papel de cada um. Afinal, existem diferentes situações onde controlador e operador podem ser a mesma empresa/pessoa.

Uma empresa X pode controlar e operar internamente dados de funcionários, clientes e fornecedores. Enquanto uma empresa Y terceiriza a operação e atua somente como controlador. No primeiro caso, está bem claro quem é responsável sobre o tratamento de dados pessoais. Já no segundo caso, com a terceirização é imprescindível registrar oficialmente os limites e responsabilidades de cada parte.

Para exemplificar, vamos imaginar uma empresa SaaS que oferece como solução ao mercado um software para gestão de TI. Nesse caso, ela atua como operadora dos dados dos seus clientes. Já as empresas que contratam um software para gestão de TI figuram como controladores dos dados.

Por isso, ao contratar fornecedores de produtos ou serviços que envolvam de alguma forma o tratamento de dados pessoais, deve-se estabelecer no contrato, qual a finalidade e duração desse tratamento, os tipos de dados pessoais utilizados, bem como os direitos e obrigações do controlador e do operador em relação à conformidade com a LGPD.

Em resumo, o controlador deve assegurar-se de que os sistemas utilizados pelo operador atendem os requisitos de segurança, as boas práticas de governança e os princípios gerais previstos na LGPD e as demais normas regulamentares do setor.

A importância da LGPD

Com a aceleração da transformação digital durante a pandemia, o número de ataques e vazamentos de dados também têm crescido bastante, com prejuízos cada vez maiores para a imagem das empresas envolvidas, além de multas milionárias.

Aqui no Brasil, um levantamento recente mostra que os tribunais também estão atentos e atualizados quanto à questão da segurança da informação e aplicação da legislação sobre o tratamento de dados pessoais.

Segundo o estudo Painel LGPD nos Tribunais, que analisou 584 decisões judiciais envolvendo a Lei Geral de Proteção de Dados, a nova legislação já foi utilizada em casos envolvendo tanto empresas públicas quanto privadas em todo o país.

Mas o mais importante a se notar, é que além de gerar condenações por danos morais, a LGPD já foi aplicada em decisões no âmbito criminal, bem como das relações de consumo, nas mais diversas instâncias da Justiça Brasileira.

Em setembro de 2020, pouco depois da LGPD entrar em vigor no Brasil, uma construtora foi condenada por compartilhar dados e contatos dos seus clientes com bancos e lojas, sem autorização dos titulares. Essa foi a primeira sentença da Lei Geral de Proteção de Dados no país. Algum tempo depois, a justiça acabou revertendo a decisão por falta de evidências.

Para completar esse cenário e reforçar a importância da Lei Geral de Proteção de Dados, em outubro de 2021, o Senado Federal incluiu a proteção de dados pessoais na Constituição como um direito fundamental do cidadão.

Isso torna ainda mais urgente a conformidade com a legislação. Porém, apesar de estar bem informada a maioria das empresas brasileiras, de todos tamanhos e segmentos, ainda não se preocupa como deveria com a segurança da informação.

De acordo com uma pesquisa recente, 69% das empresas não têm ou ainda estão construindo políticas de proteção aos dados dos clientes, o que é a base para implementar os padrões determinados pela LGDP. E um número significativo (22%) simplesmente ainda não adota nenhuma medida de segurança no tratamento de dados pessoais dos clientes. Somente 12% das grandes empresas entrevistadas consideram que já estão adequadas para a LGPD. Entre as microempresas esse percentual é ainda menor (8%).

Portanto, veja como a sua empresa pode sair dessas estatísticas e se adequar para a Lei Geral de Proteção de Dados.

5 passos para a conformidade com a LGPD

Como vimos, a entrada em vigor da LGPD a partir de 1º de agosto de 2021, exige que as organizações lidem de forma bastante profissional com os dados pessoais.

Para isso, podemos destacar 5 passos importantes para a conformidade com a legislação:

Passo 1 – Crie um comitê multidisciplinar da LGPD

Tudo começa com a criação de um comitê envolvendo representantes de cada setor da empresa. Esse grupo será responsável por nomear o Encarregado e liderar todas as etapas do processo de conformidade à LGPD.

O ideal é incluir pelo menos um membro do atendimento, vendas, marketing, jurídico, RH e TI, por exemplo. Essa é a melhor forma de estimular a cultura da segurança da informação em toda a empresa, além de ajudar a avaliar a LGPD sob diversos ângulos e pontos de vista.

Passo 2 – Faça uma avaliação interna detalhada

Em seguida, é preciso mapear todos os processos internos de tratamento e identificar seus pontos vulneráveis. Portanto, é de extrema importância saber exatamente como é feita a coleta de dados e informações, o porquê e como são armazenados atualmente.

Dados pessoais devem ser mantidos em um local de fácil acesso para qualquer tipo de atualização ou exclusão. Para isso, um inventário de TI também é fundamental, já que ajuda a conhecer em detalhes os seus ativos, por onde os dados de clientes, funcionários e parceiros trafegam e são guardados.

Passo 3 – Crie uma política de segurança digital

Após avaliar sua operação, é hora de elaborar um manual de segurança digital para sua empresa, incluindo processos, protocolos de defesa e uma política com regras claras que estabeleça restrições e responsabilidades.

Esse manual precisa cobrir os seguintes pontos básicos:

Armazenamento

Como organizar um inventário de dados pessoais, bem como garantir que eles estejam devidamente autorizados pelos titulares. Vamos ver algumas dicas para obter esse consentimento mais adiante.

Classificação

Como classificar os dados e separar em “dados sensíveis” (p.ex.: origem racial ou étnica e opiniões religiosas, filosóficas ou políticas), dados pessoais demográficos e dados de crianças e adolescentes.

Processamento

Como fazer a anonimização de dados. Isto é, como os dados pessoais são processados e desvinculados do titular, impedindo sua identificação direta ou indireta com um indivíduo – saindo portanto do âmbito da LGPD.

Transferência

Como realizar a transferência de dados de uma área de armazenamento para outra, ou para terceiros, de forma segura, definindo regras de uso e criptografia.

Permissões de acesso

Como definir quem pode e quem não pode acessar os dados, bem como os responsáveis por cada atividade no tratamento.

Para este último ponto, a melhor dica é adotar a “Política de Menor Privilégio”. Isto é, restringir o acesso de um usuário ao mínimo necessário para realizar suas tarefas no tratamento. Dessa forma, caso o privilégio de acesso da conta de um usuário seja mal utilizado, os prejuízos podem ser limitados.

Por fim, o manual de segurança da informação deve orientar as políticas para realização de backups periódicos, assim como definir quais os tipos de arquivos e programas que podem ser instalados, entre outras práticas preventivas.

Passo 4 – Treine suas equipes

Invista em treinamentos, workshops, webinars e palestras para disseminar as boas práticas. Essa é a melhor maneira de padronizar suas regras, garantindo que todos estejam na mesma página, e estimular uma cultura de segurança da informação.

Isso é de vital importância para evitar confusões, falhas e dúvidas na implementação da sua política de segurança da informação para conformidade com a LGPD.

Basicamente todos devem saber como utilizar os sistemas, como agir diante de diferentes problemas, quem deve ser acionado e como deve ser feita uma possível retomada no caso de um vazamento de dados ou um ataque cibernético.

Passo 5 – Atualize sua política de privacidade

Uma das tarefas mais importantes é criar formas de obter o consentimento dos titulares para a coleta e tratamento de dados pessoais. Os usuários precisam ser informados, para que não fiquem dúvidas sobre os motivos pelos quais os dados estão sendo pedidos, nem como serão tratados e protegidos.

Por isso, é importante atualizar sua política de privacidade, que são os termos que descrevem quais são as boas práticas adotadas pela sua empresa no tratamento de dados pessoais.

Por exemplo:

1) Site ou aplicativo da empresa

Tanto na versão desktop e mobile do site, quanto no aplicativo, é preciso que o titular dê o seu consentimento para o tratamento de dados pessoais e saiba que está sendo monitorado. Por isso, é obrigatório que esses canais contenham um Aviso Geral de Privacidade e Proteção de Dados Pessoais.

É esse aviso que informa a política de coleta de dados sobre a navegação do usuário, pede a sua autorização e inclui opções para ativar ou desativar os cookies, pequenos arquivos gerados pelos sites e instalados no dispositivo do visitante que permitem rastrear a navegação e personalizar as interações.

Além disso, o Aviso de Privacidade deve garantir também que fique claro o direito do titular de retirar o consentimento a qualquer hora que quiser.

2) E-mail marketing

A LGPD visa regular o tratamento de dados pessoais para, entre outras coisas, acabar com práticas como spam e e-mails não solicitados. Portanto, é uma ótima chance de organizar sua base e qualificá-la, enviando pedidos de autorização para inclusão em campanhas de e-mail marketing, deixando claro como elas são feitas e como os dados pessoais são utilizados para isso.

3) Tempo de armazenamento de dados

Dependendo do tipo de negócio, a legislação possui regras que determinam limites mais rígidos para o período em que os dados pessoais podem ser armazenados antes de serem apagados. Esses prazos devem estar bem claros para o titular, bem como deve-se avisar caso seja preciso um tempo maior de armazenamento.

Dica bônus: gestão de TI para mais segurança digital

Um relatório da Kasperky, uma das maiores empresas de segurança digital do mundo, mostra que para 67% dos gestores o principal desafio diante da LGPD é mapear dados e fazer o controle efetivo deles.

Portanto, uma das melhores formas de iniciar o trabalho de adequação é LGPD é por meio de um mapeamento e de um controle efetivo de todos os ativos, contratos e licenças de TI que a sua empresa possui. Afinal, é preciso saber onde se coletam, armazenam e se processam os dados pessoais, e quem é responsável por cada um desses processos.

Alguns softwares de gestão de TI automatizam esse processo, registrando informações como: responsável e status de uso dos seus ativos e licenças, histórico de movimentações, data de expiração e garantia, data de vencimento dos contratos, dentre outros dados relevantes para que se faça controle efetivo dos equipamentos de TI.

Avatar Ulysses Dutra

Por

Ulysses Dutra


Redator, jornalista e músico, aficionado por tecnologia & inovação, geopolítica e rock’n’roll/blues/funk/reggae/samba/soul

wid.studio