LGPD: prepare-se para a Lei Geral de Proteção de Dados

Gestão de TI

LGPD: prepare-se para a Lei Geral de Proteção de Dados

Fabio Ricardo
Escrito por Fabio Ricardo
Faça parte de nossa comunidade

Entre para nossa lista VIP e receba conteúdos exclusivos e com prioridade sobre ITIL4 e gerenciamento de serviços

Você sabe quantos dados foram vazados apenas no primeiro semestre de 2019? 4,1 bilhões, segundo estudo Cyber Risk Analytics. Quer saber de outro fato, talvez ainda mais assustador? Só 5% das pastas de arquivos corporativos estão corretamente protegidas. Dados alarmantes e que mostram a necessidade de conversarmos e entendermos a LGPD.

Muito além de proteção digital, falamos dos dados como um ativo essencial do seu negócio.

Se você trabalha na TI, já sabe disso. Ainda assim, estudos mostram um crescimento agudo dessa relação dos dados com o desenvolvimento do mercado. De acordo com dados da Reuters, o mercado de Inteligência de Negócios vai crescer em valor mais de  US$ 15 bilhões até 2022.

De uma década para cá, os dados passaram da obscuridade das planilhas e pastas escondidas no data center para o protagonismo. Não é exagero dizer que eles são os pilares estratégicos dos negócios.

Justamente por isso, é um recurso muito visado — seja de forma legal, como ilícita.

Só em 2018, cerca de 62% das empresas experienciaram ataques de phishing (roubo de informações pessoais) e engenharia social (persuasão de pessoas a conceder acesso à dados valiosos, mesmo sem saber).

Esses ataques podem ser motivados por vários fatores. O principal é financeiro, com os criminosos pedindo um valor de resgate para devolver os dados. O outro pode ser espionagem industrial, além de razões externas, como a vontade de causar danos à certa empresa.

Para fechar o cerco a esses criminosos e blindar os data centers das empresas, órgãos governamentais no mundo todo começaram a agir.

Primeiro na Europa, depois aqui no Brasil com o LGPD.

Essas mudanças não são rasas, mas verdadeiramente impactantes: podem mudar o dia a dia das empresas e a forma com a qual lidam com os dados sob sua custódia. Além disso, significam que seu banco de dados deve estar certificado e atualizado, sem chances de possuir brechas que comprometam as informações lá guardadas.

Para a TI, é uma verdadeira metamorfose no que diz respeito ao trato com os dados. Por isso, entender a nova lei, suas diretrizes e como vai afetar o dia a dia do setor e da empresa, é importante para evitar erros que possam prejudicar o negócio.

E então, preparado(a) para aprender mais sobre a LGPD? Continue a leitura!

Ah, e também reserve um tempinho para conhecer a ISO 27001, a certificação de Segurança da Informação. Ela é essencial para quem busca estar na linha de frente das mudanças que a LGPD trará!

O que é a Lei Geral de Proteção de Dados (LGPD)?

O que é a Lei Geral de Proteção de Dados (LGPD)

A Lei Geral de Proteção de Dados (nº 13.709/2018) foi sancionada ainda em agosto de 2018.

A LGPD foi baseada na GDPR, a lei de proteção de dados que já está em vigor em toda União Europeia.

O objetivo principal é reforçar a proteção dos dados de pessoas físicas, com base em novas diretrizes para sua coleta, armazenamento, utilização e compartilhamento.

É possível afirmar que todas as empresas que captam dados de leads e clientes deverão se adequar, visto que ela atinge todo universo dos dados digitais.

Para quem não se adequar, a penalização pode ser brutal. Além de sanções variadas, como a interrupção das atividades corporativos, há multas recheadas: de 2% do faturamento anual da empresa por infração (ou, no máximo, 50 milhões de reais).

Qual o objetivo da Lei Geral de Proteção de Dados?

Há dois fatores que achamos ser de essencial importância para as empresas e para quem trabalha na TI delas:

  • Quando a lei entrar em vigor, a empresa que quiser captar dados novos deverá obter consentimento explícito do titular.

Ou seja, ele deverá consentir sobre fazer parte do seu banco de dados, entender os termos de uso e política de privacidade (que é obrigatória e deve estar em seu site, sendo de fácil localização) e permitir que seus dados sejam utilizados (entendendo como e com qual finalidade).

  • A empresa também deveria comprovar que os dados que está captando serão úteis para sua estratégia, relacionamento e interação com os titulares.

Ou seja, deverá coletar apenas os dados necessários (e autorizados).

Além disso, os titulares poderão pedir à empresa para visualizar todos os seus dados sob posse, bem como solicitar sua exclusão integral quando bem entenderem.

O intuito da lei é tornar o titular um controlador dos seus próprios dados.

No caso do governo, o órgão responsável será a ANPD (Autoridade Nacional de Proteção de Dados). Ela vai fiscalizar as empresas no que concerne o cumprimento da LGPD e poderá intervir a qualquer momento, solicitando relatórios de riscos de privacidade.

Quando a LGPD entra em vigor?

Quando a LGPD entra em vigor

Inicialmente, a LGPD entraria em vigor em agosto de 2020. Seria uma adequação gradual a partir de sua aprovação (em 2018), que tomaria o espaço de 18 meses.

Porém, com a situação da pandemia do coronavírus essa data foi adiada para maio de 2021.

Ou seja, pouco menos de 1 ano para que as empresas possam alinhar os últimos detalhes em relação à adequação às diretrizes de segurança da informação da lei.

Que tipo de dados são considerados pela LGPD?

No artigo 5º da LGPD, há uma descrição dos dados considerados pela LGPD. São eles:

  • I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

A lei ainda descreve o que significam várias funções dentro do espectro corporativo relativo aos dados. Confira para ajustar seu entendimento segundo a nova legislação:

  • IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
  • V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);    (Redação dada pela Lei nº 13.853, de 2019)     Vigência
  • IX – agentes de tratamento: o controlador e o operador;

A compreensão desses termos é essencial para entender o lugar da empresa e dos responsáveis pela Gestão de Segurança da Informação.

O que configura uma infração à LGPD?

Na lei, em seu artigo 6º, há a listagem das seguintes boas práticas:

  • I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Basicamente, o não cumprimento dessas novas normas de Segurança da Informação, configura-se em uma infração por parte da empresa. No entanto, a verificação de uma irregularidade poderá ter várias origens diferentes.

O uso inadequado dos dados de alguém pode servir de gatilho para que o mesmo denuncie a empresa, instigando as forças públicas a investigarem o caso.

Por exemplo: a pessoa não consentiu em ceder seus dados para o banco de dados da empresa e nem em receber e-mails promocionais, que tomou por invasivos.

Outra forma é a análise via fiscalização interna por meio de empresa de auditoria ou pelas ações do próprio DPO (Data Protection Officer), o profissional geralmente responsável por alinhar essas questões às legislações vigentes. Ele pode ser o “encarregado”, função que a lei designa como alguém por trás das boas práticas de tratamento de dados.

É uma posição em cada vez mais destaque no Brasil, ganhando força nos setores de TI por todo país.

E claro, há a própria auditoria da ANPD. O órgão da presidência será o responsável por, de forma aleatória ou com base em denúncias, fiscalizar o cumprimento da LGPD.

Muito além da auditoria, caberá à ela regular e orientar sobre a lei, sendo também a responsável pelas penalizações. Importante ressaltar que tanto empresas, órgãos públicas e cidadãos porém colaborar com a ANPD.

De forma geral, antigas práticas referente aos dados, sua coleta, uso e armazenamento devem ser revistas como um todo. Para tanto, comece agora a educar seu time!

LGPD: Como implementar?

LGPD Como implementar

É importante entender que a implementação da LGPD não se trata apenas de um movimento de atualização. Ou seja, não é apenas por meio da revisão da sua Política de Privacidade que as coisas vão se resolver.

É preciso revisar todos os seus pontos de contato com leads, prospects e clientes.

Todo formulário deve ter campos (não obrigatórios) nos quais o usuário deve informar seu consentimento de compartilhar os dados, cedê-los para armazenamento e posterior uso em campanhas segmentadas, e-mails promocionais, ações via SMS, e etc.

Esses pontos de contato, formulários para acessar materiais ou sites, devem seguir sempre as boas práticas listadas no tópico acima.

No entanto, sabemos que a lista pode ser um pouco pesada para lembrar de início. Destacamos, então, 4 pontos-chave que devem permear suas próximas ações que envolvam dados:

1# Finalidade e Adequação

Cada ação deve ter uma finalidade específica, que deve ser informada ao usuário. Se você criou uma landing page com um formulário que, ao preencher, leva a um e-book, deve ser clara a intenção de “trocar” os dados do usuário pelo conteúdo rico.

Caso os dados sejam inseridos em um banco de Leads para uso posterior em campanhas de e-mail marketing, por exemplo, você deve inserir um “opt-in” (não obrigatório) onde a pessoa consinta em participar desta ação.

2# Necessidade

Não peça o telefone em um formulário para inscrição em sua newsletter. Exija apenas o mínimo necessário.

3# Transparência

Garanta acesso objetivo e transparente aos titulares sobre seus dados. Além disso, explique de forma clara qual será o tratamento com os dados e quem será o responsável por eles.

4# Não discriminação

Tudo que você fará com os dados está dentro da lei (nenhum fim ilícito) e será usado com consciência (sem aproveitamento abusivo das informações).

LGPD vs GDPR: qual a diferença?

Apesar de inspirada na GDPR (General Data Protection Regulation), a LGPD apresenta algumas diferenças da versão europeia. Para todos os casos, são como “primas distantes”.

Um ponto bastante igual é a necessidade de consentimento dos usuários para que a empresa obtenha permissão de coletar, utilizar e armazenar os seus dados.

No entanto, justamente na descrição dos dados, a versão europeia se mostra mais detalhada, com aprofundamentos no que são “dados genéticos”, “dados biométricos” e “dados de saúde”. Na LGPD, a descrição apenas cobre “dados sensíveis”.

Além disso, a GDPR também exige formalização e vinculação entre o Operador ao Controlador. Na LGPD, essa relação se dá mais pela orientação do Controlador ao Operador — sem necessidade de formalização.

Conclusão

É impossível ignorar a LGPD.

A nova legislação de proteção aos dados já é uma realidade e que, logo logo, vai afetar de verdade as relações corporativas com seus clientes e leads.

Muito além de transformar o marketing, ela significa uma mudança de mindset na forma que a TI conduz seus processos. É preciso entender as complicações de uma má execução e lutar para fechar quaisquer brechas.

Afinal, se hoje em dia os dados são os ativos mais importantes das empresas, o que são para as pessoas? São também tão importantes quanto, com uma relevância incrível em suas vidas.

Para seu negócio, é hora de repensar sua Gestão de Riscos e incluir a Segurança da Informação na pauta. Na sua TI, se o movimento de mudança não começou, é melhor se agilizar.

Empresas de tecnologia, principalmente, devem reforçar suas diretrizes de desenvolvimento para um approach que também valorize a segurança. Ações como o shift left são alternativas válidas para que o pensamento alinhados à LGPD seja uma realidade diária.

Ei, agora que você sabe tudo sobre a LGPD, que tal entender o que vem antes dela na TI da sua organização? O ITSM trata-se do segmento de gerenciamento de serviços de TI e uma aplicação adequada dele no contexto da sua empresa, lhe garante pontos extras com a LGPD.

No entanto, aprender como esse framework funciona carece de tempo e dedicação. Felizmente, a Jornada ITIL4 está com inscrições abertas. A certificação lhe abre as portas para se tornar um expert nesse mundo, sendo vital na organização (e Segurança da Informação) da sua empresa. Aproveite!

Opa,

o que você achou deste conteúdo? Conte nos comentários.

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

2 Replies to “LGPD: prepare-se para a Lei Geral de Proteção de Dados”

Ygor CR

Conteúdo extremamente informativo com linguagem fácil e abordagem profunda. Apaixonado pelos posts do site e como ele tem contribuído com a meu início de formação. Obrigado!

Renê Chiari

Valeu Ygor!! =)

Sobre

Rene A. Chiari Tecnologia da Informação ME / ITSM na Prática.

Av. Melchert, 37 – Chácara Seis de Outubro – São Paulo/SP.

CNPJ: 25.072.324/0001-66

Todos os direitos reservados. Termos de uso.

 

Fale Conosco

contato@itsmnapratica.com.br