A Lei Geral de Proteção de Dados – LGPD é a nova regulamentação para proteção dos dados coletados, tratados e armazenados de pessoas físicas por empresas em todo território nacional. Assim como a regulamentação europeia que serviu como base, a GDPR, a lei brasileira estabelece regras a respeito do uso e compartilhamento de dados pessoais tendo como norte o consentimento explícito da pessoa titular.
Para garantir a proteção dos dados sensíveis das pessoas físicas e motivar seu cumprimento nas empresas, a LGPD traz multas como penalidade – além de comprometer a credibilidade da organização, caso seja comprovado o descumprimento com a lei.
Sua empresa está em compliance com a LGPD? Para te ajudar com esse desafio, preparei este artigo para falar sobre os principais pontos da regulamentação, além de indicar alguns caminhos que seu negócio pode seguir para se manter em conformidade. Boa leitura!
O que são dados sensíveis?
Segundo o Serpro, dados sensíveis são aqueles dados que exigem mais atenção das empresas durante as etapas de coleta, tratamento e armazenamento. Esses dados estão relacionados com as características ou personalidades dos indivíduos, como exemplo, o Serpro cita dados que revelam origem racial, opiniões políticas, questões genéticas e sobre a saúde de uma pessoa.
Isso não significa que esses dados não podem mais ser utilizados pelas empresas, mas sim, que dependem da autorização explícita da pessoa titular, de forma específica, destacada, em todas as etapas e para uma finalidade concreta. Podemos citar como boa prática para evitar penalidades e incidentes relacionados ao tratamento dos dados coletar apenas os dados essenciais para a finalidade e propósito do negócio.
Como a LGPD funciona na prática?
A LGPD atua medindo o compartilhamento ou vazamento de dados dos seus clientes para terceiros, o quanto as pessoas foram impactadas por esse vazamento e o quanto a empresa atuou para que isso não acontecesse. Esse é o principal ponto da lei: quais são as medidas que sua organização está tomando para evitar o compartilhamento de dados com terceiros, sem consentimento explícito do usuário?
Vamos a um exemplo prático: uma empresa de software coleta dados cadastrais dos usuários. Após alguns dias cadastradas, as pessoas começam a ser importunadas por empresas parceiras e denunciam a prática ilegal. Durante o processo, é feita a avaliação para determinar a causa do compartilhamento indevido dos dados. No caso do nosso exemplo, descobre-se que a empresa não possui processos, recursos e controle para garantir a proteção dos dados – essa é a realidade de muitas organizações!
Uma forma de mitigar os riscos seria contratar uma consultoria para avaliar como está a proteção de dados da empresa. Em seguida, determinar o investimento em processos mais seguros. Portanto, como você pode ver, os pontos da LGPD estão diretamente ligados ao nível de maturidade para a segurança de dados da empresa.
A LGPD traz impactos para o negócio?
Como estamos falando de um processo de regulamentação que impõe multas caso a empresa compartilhe dados de seus clientes sem consentimento, é possível dizer que a LGPD é um ponto de atenção para a continuidade de negócios. Recentemente, vimos que alguns negócios já foram penalizados pela lei e, para além da questão da multa, há impactos negativos na confiabilidade diante do mercado.
Empresas que ainda não tomaram ação correm o risco de sofrer um processo jurídico grave. Além disso, nossa constituição não permite que a companhia alegue ignorância – é responsabilidade do negócio procurar saber a respeito da legislação.
Como se manter em compliance com a LGPD?
Seria muito superficial dizer o que sua empresa precisa fazer e o ideal é que seja realizada uma consultoria para entendimento das necessidades de negócio. Entretanto, é possível indicar alguns caminhos iniciais que uma organização poderia tomar para se manter em compliance com a LGPD. Confira nos próximos tópicos.
Analise vulnerabilidades
É importante que a empresa analise onde estão as vulnerabilidades para não ter uma grande dor de cabeça no futuro. Para isso, é necessário conhecer sua estrutura e determinar qual é o nível da maturidade da empresa hoje. Nessa etapa, vale a pena abrir os processos da empresa para entender como é feita a coleta, o tratamento, qual é o fluxo da informação dentro da organização e entender se todas as áreas têm a mesma mentalidade de proteção dessa informação.
Atenção às informações pessoais coletadas
Cada empresa vai ter seu modo de avaliar e mapear dados, porém o cliente sempre deve ter ciência de todas as informações coletadas e para qual finalidade, por isso, quanto mais informações pessoais de seus usuários a companhia captura, maior é o risco. Para entender o que pode ser feito em relação a isso, é interessante se fazer as seguintes perguntas:
- Existe a necessidade de coletar todos os dados que a empresa coleta hoje?
- Quais dessas informações realmente precisam ficar em um banco de dados?
Procure um serviço de consultoria
Via de regra, seja para fins comerciais ou de comunicação, as empresas armazenam dados, portanto a LGPD é uma questão urgente. Desse modo, não existe empresa para a qual faz mais ou menos sentido passar por uma auditoria técnica para entender pontos de vulnerabilidade e criar um plano. O importante é não postergar essas ações, porque a lei já está em vigor.
Conheça soluções de TI para a proteção de dados
Em tecnologia, todo o trabalho deve ser pensado para garantir que não haja vazamento, nem compartilhamento de dados sem a ciência do proprietário dos dados. Estou falando de níveis de proteção, trabalhar seguindo as melhores práticas do mercado, proteger a coleta de dados no banco, entre outros. Todos esses pontos, que definem a segurança das informações, vão impactar diretamente a questão da LGPD.
Posso citar alguns processos e tecnologias, desde a política de segurança da informação, monitoramento, ferramentas de log, firewall, web firewall, controle de acesso físico e restrição de acesso à base de dados; até contar com sistemas de auditoria e controle suficientes para provar que existem processos internos de segurança na empresa.
Resumindo todos os pontos que vimos até aqui, para se manter em compliance com a LGPD é necessário entender a realidade da empresa, além de investir em tecnologia para garantir que existem barreiras contra o vazamento de dados e que todo o esforço possível foi realizado contra isso.
Como Cloud Computing pode auxiliar sua empresa?
Até o momento, falei sobre maturidade tecnológica e quais investimentos sua empresa pode fazer para tentar garantir o não-vazamento de dados. Nesse sentido, cloud computing pode auxiliar sua empresa a se manter em compliance, tendo em vista que os níveis de segurança física e lógica de um grande data center são mais altos do que quando se trata de uma infraestrutura on-premise, por exemplo.
Assim, investir em soluções como firewall na nuvem, backup e gerenciamento de backup são apenas algumas formas de garantir mais segurança para os dados do negócio.