Foco na proteção de dados pessoais.
Ouça o podcast
A LGPD (sigla para Lei Geral de Proteção de Dados) é uma lei inovadora com o intuito de proteger as informações pessoais, criando regras claras para quem coleta, armazena e trata estes dados, sendo realizado por pessoas físicas ou jurídicas no âmbito público ou privado.
O foco principal desse post são as empresas e relação entre a lei, empresa e pessoas.
Todos os dados pessoais que sua empresa precisar acessar estão sujeitos a essa nova lei, sejam eles relativos a colaboradores e funcionários, quanto a pessoas externas, como clientes e parceiros.
A LGPD foi inspirada na lei de proteção de dados europeia, a GDPR (General Data Protection Regulation) que já está em vigor. Essa lei prevê que todas as empresas que coletam, processam e armazenam algum tipo de dado pessoal e/ou dados sensíveis, utilizem um código de conduta adequado para garantir a segurança e a correta utilização destes dados, evitando abusos e uso indevido de tais informações, proibindo por exemplo a comercialização de seus dados pessoais sem o seu consentimento.
A LGPD prevê ainda que a pessoa que tem seus dados tratados e coletados seja o único proprietário dos mesmos, considerado-o como titular dos dados e tendo total direito e controle sobre eles. Esses dados são caracterizados entre dados pessoais e dados sensíveis, os dados pessoais são os dados de identificação da pessoa, como nome, número de CPF e endereço por exemplo, já os dados sensíveis são aqueles que identificam questões raciais e ideológicas, convicção religiosa, dados referentes a saúde, biometria, entre outros, tais dados devem ser tratados ainda com especial cuidado.
O objetivo da lei é proteger melhor quais dados estão sendo coletados das pessoas e como esses dados estão sendo tratados, trazendo mais segurança e transparência
A LGPD estabelece responsabilidades das empresas em realizar diversas atribuições de segurança, a criação de um comitê interno de gestão de dados, além de criar denominações como titular, controlador, operador e “encarregado de proteção de dados” também conhecido no mercado como DPO (Data Protection Officer), este profissional precisa prestar serviço para a empresa e ser o responsável pela gestão da segurança da informação.
Dentre as responsabilidades previstas existem ainda questões relativas a transparência em relação a quais dados estão sendo coletados, ainda permitir que titulares possam solicitar a exclusão de seus dados e exigir que as empresas deem tratamento específico a reclamações e/ou solicitações referentes a esses dados. Será responsabilidade da empresa que utiliza esses dados publicar quaisquer fatos sobre vazamento de dados e gerenciar processos junto a autoridade nacional de proteção de dados, a ANPD.
Um ponto importante da nova lei é que todas as empresas no Brasil utilizam algum tipo de dado pessoal em algum ponto de contato, sendo para clientes externos ou internos (seus colaboradores) e isso já faz com que sua empresa tenha que se adequar à LGPD. A sua empresa precisará ainda de mecanismos para proteger, classificar e rotular os dados, monitorar e eventualmente bloquear o compartilhamento dos dados, por fim, reter, expirar e deletar dados desnecessários. A CompuBusiness possui algumas ferramentas para ajudá-lo nessa jornada, como o Microsoft 365.
O objetivo da LGPD é nobre e interessante, mas gera desafios enormes para as empresas em múltiplos níveis, como exemplo, pense no seu website, você está coletando dados de endereço IP e localização do usuário durante a navegação com armazenando cookies que são considerados dados pessoais, se essas informações não forem tratadas corretamente (o que ocorre com a grande maioria das empresas), podem produzir uma bomba relógio em potencial, pergunte-se quem tem acesso, quem poderia ter acesso e o que poderiam fazer contra sua empresa, isso já vai iniciar uma discussão para que você comece a pensar em como proteger melhor seus dados.
As empresas começarão a incorporar os processos de segurança desde o início e concepção dos seus produtos e serviços, com conceitos de “segurança by design”, deixando-os mais blindados e menos sujeito a riscos, isso muda muitas vezes toda a empresa.
A LGPD deve entrar em vigor em agosto de 2020, se não houver novas prorrogações, isso faz com que a contagem regressiva já esteja apertada e o trabalho de desarmar a bomba mais difícil, você precisará de apoio interno e externo para obter o que chamamos de adequação mínima ou MVC (Minimum Viable Compliance) até o início da nova legislação ser efetivada, contudo não se engane, o MVC não é o seu objetivo, não bastará ter um conjunto de regras e ferramentas apenas para satisfazer o mínimo de adequação, essa é uma corrida com início e meio, mas que continuamente precisará ocorrer, o MVC é um marco, mas para se proteger adequadamente você precisará evoluir sempre, a própria lei irá evoluir, posso citar como exemplo o tratamento de dados com inteligência artificial, com a entrada de chatbots e outros serviços cognitivos que certamente será objeto de discussão e incorporação nas próximas revisões da lei, é preciso tornar a questão de segurança como estratégico para o seu negócio.
Para visualizar o conteúdo da LEI em si acesse este link.
Fique ligado nos próximos posts da websérie sobre segurança da informação, assine nossa newsletter.
Este post faz parte da série de cyber segurança, para acessar os demais posts, clique nos links abaixo:
Portuguese 
English