Como implementar a nova Lei Geral de Proteção de Dados (LGPD) na sua empresa?
Cientes do impacto que a LGPD terá em seus negócios, empresas buscam estar em compliance com a lei o quanto antes.
Com a nova Lei Geral de Proteção de Dados (LGPD), além dos riscos de segurança que você corre, a não conformidade à legislação irá gerar pesadas penalidades financeiras e de imagem para o seu negócio.
Empresas e as organizações terão grandes responsabilidades em relação à proteção de todos os dados pessoais de seus funcionários, fornecedores e clientes. Então, é preciso se mover hoje mesmo e já aparar as arestas.
Para te ajudar, neste post citamos as principais características dessa nova lei e como, na prática, você pode começar a implementá-la em seu empreendimento.
O que é a nova lei de dados?
Podemos dizer que 2018 foi o ano em que vários países colocaram em xeque como anda a segurança da informação de pessoas físicas e jurídicas, em um ano marcado por grandes escândalos de vazamentos de dados de empresas que são familiares a nós, como o Facebook, por exemplo.
Este é um assunto tão sério que em maio de 2018 a União Europeia transformou a proteção de dados em lei – a GDPR (General Data Protection Regulation), e, três meses depois, foi a vez do Brasil, por meio da Lei nº 13.709/2018.
A nossa Lei Geral de Proteção de Dados (LGPD) regulamenta o uso e tratamento dos dados pessoais, tanto pela iniciativa privada quanto do poder público, na tentativa de protegê-los contra vazamentos e uso indevido.
Mas o que é exatamente o tratamento de dados pessoais?
É todo procedimento que você realiza que envolva a utilização de dados pessoais de alguém, o que pode incluir:
- Coleta dos dados;
- Utilização;
- Classificação;
- Armazenamento;
- Processamento;
- Correção;
- Compartilhamento;
- Transferência;
- Eliminação, etc.
Nesse caso, caberá a todas as empresas e órgãos públicos que lidam com dados pessoais (estejam eles em meio digital ou não) algumas responsabilidades. Ou seja, se a sua empresa realiza um simples cadastro de CPF, por exemplo, você precisa se ajustar à nova lei de dados. Se você tem um cadastro físico com os dados pessoais de seus funcionários também.
Os dados pessoais que se enquadram na LGPD
A nova lei de dados classifica-os em dois tipos: dados pessoais comuns e dados pessoais sensíveis. Os dados pessoais são informações referentes a uma pessoa natural, que poderão individualizá-la. Ou seja, com os dados conseguimos identificar quem é a pessoa em questão.
Exemplos:
- Número de documentos;
- E-mail;
- Endereço físico;
- Data de nascimento;
- Número de telefone;
- Idade.
Já os dados pessoais sensíveis são todas as informações que possam levar a eventuais discriminações a seus titulares, como por exemplo:
- Dados de saúde e vida sexual;
- Dados biométricos e genéticos;
- Origem racial ou étnica;
- Opinião política;
- Dados de menores de idade;
- Convicção religiosa;
- Filiação a sindicato ou organização de caráter político, religioso ou filosófico.
Quanto ao tratamento de dados de crianças e adolescentes, sempre será preciso ter a aprovação de pelo menos um dos pais ou responsável legal. Além disso, as empresas precisarão ter tecnologias que sejam capazes de identificar que a aprovação realmente foi dada por um responsável pelo menor de idade. O tratamento de dados pessoais que não se enquadram na LGPD são os seguintes:
- Finalidades particulares;
- Finalidades jornalísticas;
- Finalidades acadêmicas;
- Finalidades artísticas;
- Em investigações penais;
- Na segurança pública;
- Na defesa nacional.
Eis alguns pontos importantes sobre a LGPD:
- Ela também inclui empresas que não possuem estabelecimentos aqui no Brasil.
- A LGPD introduz 10 princípios de proteção de dados, o que inclui a prestação de contas demonstrando que a empresa está cumprindo a lei.
- Todos os dados pessoais que a empresa tem sobre pessoas físicas precisam ter o consentimento delas para serem guardados e utilizados pela empresa.
- Os titulares dos dados têm direito ao acesso, informação, cancelamento, retificação, oposição e portabilidade de seus dados, quando cabível.
- A nova lei de dados também tem regras específicas para tratar dados sensíveis, dados de crianças e adolescentes, e, ainda, a transferência internacional de dados.
- Toda empresa que for responsável pelo tratamento de dados deverá nomear uma pessoa encarregada pela proteção de dados pessoais – falaremos sobre isso logo adiante aqui no post.
- As atividades de tratamento de dados devem ser registradas em relatório.
- A lei também trata da realização de avaliação de impacto à proteção de dados (muito semelhante ao Data Protection Impact Assessment, o DPIA).
- A lei determina punições para infrações envolvendo incidentes de segurança de dados, que vão de advertência a multa de até 2% do faturamento anual da empresa, limitado a R$ 50 milhões por infração.
Assunto sério, não é mesmo? Por isso é que desde já as empresas precisam se mover para que em 2021 estejam plenamente estruturadas.
Antes de prosseguirmos para as boas práticas de adequação à LGPD, precisamos falar sobre três pontos importantes: os direitos dos titulares dos dados, os deveres das empresas e os novos papéis que surgem com a lei – encarregado, controlador e operador.
Os direitos dos titulares dos dados
Os titulares dos dados pessoais – ou seja, as pessoas que cedem seus dados pessoais ao seu empreendimento – têm direitos assegurados pela LGPD.
São eles:
- Ter acesso fácil aos seus dados pessoais que foram coletados e armazenados pela empresa;
- Sempre que quiser, confirmar com a empresa se seus dados pessoais estão sendo tratados;
- Solicitar a correção e atualização de dados pessoais que estejam errados, incompletos ou desatualizados;
- Solicitar a eliminação, o bloqueio ou a anonimização dos dados pessoais desnecessários, excessivos ou que não estejam devidamente tratados segundo as regras da nova lei de dados;
- À portabilidade dos seus dados pessoais a outras empresas;
- Solicitar informações sobre como seus dados estão sendo tratados (inclusive compartilhados) pela empresa;
- A revogação do consentimento.
Os deveres das empresas
Todos os direitos dos titulares querem dizer, na prática, uma coisa: a partir de agora, as empresas precisam pedir o consentimento dos titulares dos dados antes da coleta e tratamento posterior.
Além disso, ela deve trabalhar de forma mais transparente possível no que diz respeito ao manuseio desses dados, respondendo sempre à solicitação dos titulares quanto a informações sobre os dados tratados. Claro, investir nas melhores práticas de segurança da informação para proteger os dados.
Eis os deveres resumidos:
- Informar ao titular a finalidade pelo qual o dado foi coletado;
- Fornecer o tratamento mínimo necessário dos dados coletados;
- Garantir aos titulares o livre acesso aos seus dados pessoais;
- Coletar os dados de forma transparente;
- Proteger os dados pessoais com medidas preventivas;
- Tomar as devidas providências de forma transparente em caso de incidentes com dados pessoais;
- Implementar medidas técnicas e administrativas para garantir a proteção dos dados.
Os novos papéis que surgem com a nova lei de dados
A LGPD também estabelece três novas funções para a proteção dos dados pessoais das empresas: o Controlador, o Operador e o Encarregado – este último merece uma atenção especial.
Controlador - Responsável pelas regras do tratamento de dados
O Controlador é uma pessoa física ou jurídica (governo ou empresa privada) que é a responsável pelas decisões relacionadas ao tratamento dos dados pessoais, definindo as regras desse tratamento – como será a coleta, o armazenamento, etc.
Na prática, a empresa em que você atua e que realiza o tratamento de dados é considerada a Controladora. A Autoridade Nacional de Proteção de Dados (ANPD), que veremos logo adiante no artigo, poderá a qualquer tempo solicitar ao Controlador relatórios descrevendo o processo de tratamento dos dados da empresa.
Ebook completo sobre "Guia básico sobre Segurança da Informação". Baixe aqui gratuitamente!
Operador - O executor do tratamento de dados
A nova lei de dados afirma que o Operador pode ser uma pessoa natural ou jurídica, que é quem de fato executa o tratamento dos dados pessoais em nome do Controlador.
O Operador deve manter o registro de todos procedimentos do tratamento de dados que realiza, já que o Controlador e a ANPD pode solicitar. Vamos a um exemplo prático sobre a diferença entre Controlador e Operador?
Você tem uma empresa prestadora de serviços de internet – a empresa, então é a Controladora, que definirá as regras do tratamento de dados de seus clientes, colaboradores e fornecedores.
Se, por acaso, a empresa contratar uma empresa de call center para auxiliar no atendimento ao cliente, essa empresa terceirizada passa a ser a Operadora, já que ela trabalhará diretamente com os dados dos clientes, sob as regras da empresa contratante. Ficou mais fácil de entender?
Então agora, vamos entender sobre uma terceira figura dentro da LGPD e que requer uma atenção especial: o Data Protection Officer (DPO).
Encarregado - Data Protection Officer (DPO)
O Encarregado é uma função atribuída pela empresa a uma pessoa que terá a função de ser a mediadora entre empresa, os titulares dos dados pessoais e o governo.
Ou seja: é um cargo dentro da empresa. Se um cliente solicitar informações sobre seus dados pessoais, por exemplo, ele vai recorrer ao Encarregado, também chamado de Data Protection Officer (DPO). O Encarregado de Dados é o responsável por todas comunicação junto a ANPD.
Quem vai fiscalizar o cumprimento da LGPD?
A ANPD – Autoridade Nacional de Proteção de Dados. Ela será um órgão da administração público federal direta, ou seja, integrante da Presidência da República, formada por 23 representantes. Após dois anos de funcionamento, ela poderá ser transformada em autarquia. De acordo com a nova lei de dados, as principais atribuições da ANPD são:
- Fiscalização e aplicação das sanções previstas em lei;
- Edição de normas e procedimentos;
- Zelo pela proteção dos dados pessoais;
- Implementação de formas de registros de reclamações;
- Solicitação de informações às empresas quanto ao tratamento de dados.
Como implementar as novas boas práticas da LGPD na empresa?
A seguir, vamos a um passo a passo para te ajudar a aparar as arestas da segurança da informação e proteção de dados da sua empresa:
- Procure por um aconselhamento jurídico para saber os impactos legais dessa nova lei na sua empresa;
- Busque um profissional de segurança da informação para adotar um plano de mudanças que foque na adequação à nova lei;
- Antes de adotar um plano estratégico, é preciso revisar todos os controles e processos da empresa para que seja construído um mapa dos dados sensíveis e dos atuais níveis de proteção;
- Elabore um Mapa de Riscos de Tratamento de Dados Pessoais da sua empresa;
- É preciso saber como, quando e onde todos os dados pessoais de funcionários, clientes e fornecedores são coletados – todos mesmo: de uma simples data de nascimento a informações de folha de pagamento. Onde esses dados ficam armazenados? Quais são as camadas de proteção?
- Depois do planejamento feito, comece fazendo ações corretivas. Isso quer dizer reestruturar as políticas e acordos de confidencialidade e acordo. Sempre que for coletar algum dado pessoal de forma física ou pela internet, a pessoa precisa consentir, ou seja, assinar um termo de consentimento e uso desses dados. A empresa deve ser transparente e o cliente precisa saber como esses dados serão usados e armazenados;
- É preciso, também, elaborar um verdadeiro programa de educação e conscientização dos funcionários da empresa. Eles precisam saber evitar vazamentos e ter a noção das responsabilidades e consequências do mau uso dos dados;
- Estabeleça um Comitê de Proteção de Dados com as áreas de Negócio da empresa. Lembre, esse não é um tema da TI e sim da empresa.
Especificamente para o departamento de TI, invista nas seguintes soluções:
- Busque um parceiro de tecnologia e infraestrutura de TI especializado em Segurança da Informação para apoiar a sua empresa na preparação da TI para a LGPD, do Assessment de Vulnerabilidades, Construção do Roadmap de Ações priorizadas e Sustentação da Segurança da Informação;
- SOC - Monitoramento da Segurança da Informação;
- Soluções contra Vazamento de Dados (DLP);
- Monitoramento do processo de tratamento de dados;
- Monitoramento dos riscos de tratamento dos dados na empresa e em terceiros;
- Gestão de Acessos;
- Implementação de Controles de Auditoria;
- Soluções para Proteção de Perímetro (Firewalls/IPS) e Proteção dos Dispositivos (Antivírus);
- Implementação de Controles de Acessos a Rede e aos Dados da Empresa;
- Arquiteturas tecnológicas e práticas de proteção de dados incorporadas em todo novo ambiente e aplicação de TI por padrão (privacy by design) – como o acesso controlado e a encriptação nativa de dados pessoais assim que forem coletados, bem como a guarda segura deles.
Quer uma ajuda para começar o planejamento e a implementação da nova lei de dados em sua empresa? Conheça o Programa de Adequação à LGPD da Flowti e solicite o contato de um especialista!