LGPD: O que é e como podemos ajudar

Qual empresa precisa atender a LGPD?

A LGPD se aplica às empresas que preencham ao menos um dos requisitos abaixo:

Têm estabelecimento no Brasil

Oferecem serviços ao mercado/ consumidor brasileiro

Coletam e tratam dados de pessoas localizadas no país

Quais áreas da empresa são impactadas pela LGPD?

Marketing

Desenvolvimento de software e TI

Gerenciamento de Produtos

Jurídico

Compliance

Recursos Humanos

Serviços e Logística

Análise de Dados

Na prática, cada organização terá que estabelecer critérios para cada pedaço da informação sobre as pessoas (funcionários, clientes, prospects, etc.) e restringir a exposição e o risco ao que é necessário para a prestação do serviço.

Segundo a LGPD, dado pessoal é qualquer informação que possa levar à identificação de uma pessoa, de maneira direta ou indireta. Ex.: dados cadastrais, dados de localização, identificadores eletrônicos, hábitos de consumo, preferências, etc.

De forma resumida, como organizar um programa para a LGPD:

SEGURANÇA – Medidas técnicas e administrativas para proteger os dados pessoais.

PREVENÇÃO – Adoção de medidas para evitar danos aos titulares.

Princípios da Lei

Os princípios comuns à Lei de Proteção de Dados, à GDPR e a outras legislações semelhantes não se devem apenas ao aproveitamento de referências jurídicas, mas a razões de negócio bem práticas.

Cenário Global: Operações como transferência de dados, deslocamento de carga entre data centers, ou prestação de serviços globais tendem a ficar restritas a países com legislações equiparáveis. A lei brasileira tem alguns critérios ligeiramente diferentes de proteção e é mais precisa em itens como definição de “dados anônimos”. Mas os princípios de finalidade, consentimento, responsabilidades e penalidades prevalecem. Vários mecanismos da Lei de Proteção de Dados complementam ou ratificam regras já existentes, como o Marco Civil da Internet ou regulações globais como o PCI.

Em termos de tecnologia e abordagens de segurança de dados, há muito o que ser aproveitado nas empresas de setores sujeitos a alguma regulação. Mas o marco legal também reforça a atenção de parceiros, clientes e consumidores à forma com que seus dados são tratados.

Responsabilidade dos provedores, dos proprietários dos dados e os riscos desconhecidos

As leis de proteção de dados não entram em detalhes sobre infraestrutura e arquitetura tecnológica, até porque comprometeria sua longevidade. As questões de segurança e compliance, assim como a distribuição de responsabilidades, são peculiares em cada caso.

O responsável pela segurança é quem responde pelos riscos de cada negócio.

Administração de usuários, classificação de informações e a segurança dos dados críticos é um compromisso seu com seu cliente. Os contratos com provedores, ainda que tenham os data centers mais robustos do mundo, não prescindem de consultoria, integração e serviços gerenciados, para alinhar o extenso leque de serviços de TI aos objetivos de cada organização.

No caso de aplicações em SaaS (software como serviço), pode ser interessante rever os contratos e aproveitar alguns serviços opcionais, como DLP (prevenção a vazamentos de dados) e anti-malware. Contudo, essas proteções funcionam dentro do perímetro do provedor. Não há configuração de segurança que resista a um roubo de credenciais ou a um funcionário autorizado comprometido. As organizações, portanto, continuam a ter que gerenciar todo o ciclo dos dados.

Os serviços hospedados e as aplicações homologadas estão longe de ser o maior problema. A facilidade com que departamentos e usuários “implementam” aplicações por conta própria resulta em áreas de sombra (por isso a expressão shadow IT) onde dados críticos fogem do controle. Se houver a possibilidade de alguém anotar uma informação pessoal em um pedaço de papel, ou deixar o arquivo exposto na Internet, não dá para deixá-lo saber nada sobre a vida dos clientes.

Prejuízos potenciais e riscos internos – multa, reputação e adaptação do cibercrime

Além de responder pelos danos de vazamentos ou uso indevido de dados, entre as penalidades previstas da LPD, está uma multa de até 2% da receita bruta anual da organização.

É obrigatória a notificação de incidentes de vazamento ou violação ao “órgão competente”, que determinará ou não a comunicação pública aos titulares dos dados e outras partes interessadas. O artigo seguinte, contudo, admite uma atenuação de eventuais sanções, caso a organização tenha demonstrado intenção com boas práticas e planos de ação auditados, de minimizar os danos.

Limite de Implementação

Agosto de 2020