Vamos esclarecer as responsabilidades por parte das empresas, e falar do que deve ser feito para evitar os riscos.
Segurança de dados nunca foi um termo tão falado como agora no Brasil. Afinal, desde que a LGPD, nossa Lei Geral de Proteção de Dados, começou a ser desenhada e implementada, as empresas começaram a entender que suas responsabilidades relacionadas à segurança dos dados que trabalham iriam aumentar. E sim, a nova lei que regulamenta o uso de dados pessoais é aplicada para todas as empresas, independente de porte ou segmento.
Isso significa que todas as empresas constituídas no Brasil ou que realizam operações de qualquer natureza no país, que contenham informações de cidadãos brasileiros em seus bancos de dados, deverão cumprir os procedimentos e políticas previstos na lei.
Mas na prática, quais são os riscos que existem nesse processo de adequação? E quais são de fato as responsabilidades por parte das empresas? São essas dúvidas que vamos tratar ao longo deste conteúdo.
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD), número 13.709/2018, é a lei que define os termos de privacidade de dados pessoais no Brasil. Ela define 3 pontos principais sobre segurança de dados:
- Como os dados pessoais devem ser tratados;
- Como as empresas devem solicitar autorização para trabalhar com dados pessoais;
- Quais as punições para todas as empresas que descumprirem os termos.
Objetivos da LGPD
A lei brasileira foi fortemente inspirada pelo GDPR, que é o Regulamento Geral Europeu sobre Proteção de Dados. O seu principal objetivo é evitar que seja feito uso indevido da utilização dos dados pessoais, criando um regulamento para o tratamento deles.
Por isso, as empresas precisam implementar um processo de adequação visando atender todas as normas descritas na lei.
Quando a LGPD entra em vigor?
Ela já está em vigor desde o mês de setembro de 2020. O texto original da LGPD determinava que ela entraria em vigor a partir do mês de Agosto de 2020, 2 anos depois de ser sancionada, em Agosto de 2018.
Por conta da pandemia do Covid-19, as autoridades brasileiras demoraram para tomar uma decisão final sobre o adiamento ou não da lei, até que no mês de setembro ficou definido que ela já estaria em vigor. Em resumo: a lei de dados passou a valer mesmo em setembro, mas de forma retroativa a agosto.
Mas existe uma ressalva: ficou estabelecido que as punições para o descumprimento da lei só serão aplicadas a partir de agosto de 2021. Isto dá um fôlego para a implementação total das mudanças que as empresas precisam fazer, mas o prazo para isto acaba logo.
Sanções
As principais sanções para o descumprimento da lei segue 3 frentes principais:
- Advertência;
- Multa Simples por infração (2% do faturamento até R$ 50 milhões);
- Multa diária (2% do faturamento até R$ 50 milhões).
Quais as responsabilidades para uma empresa se adequar aos requisitos da LGPD?
Toda entidade, a nível público ou privado, que trata de dados pessoais, sejam eles físicos ou digitais, têm a responsabilidade de atender os pontos listados na lei. Informações simples de clientes, como nome e email, já devem seguir os procedimentos previstos na lei.
Papel do Controlador e do Operador dos dados
A nova lei faz a separação de responsabilidades entre o Controlador e o Operador dos dados, papéis que existem dentro do contexto de proteção de dados:
- Controlador (empresa na qual os clientes possuem relação direta):
- Manter o titular dos dados informado sobre todos os seus direitos;
- Manter o registro das operações de tratamento de dados;
- Estabelecer medidas para proteção dos dados.
- Operador (empresas que possuem relação indireta com os clientes):
- Manter os registros das ações de tratamento de dados;
- Informar o controlador sobre qualquer tipo de incidente no tratamento de dados.
Lembrando que a LGPD também concede aos indivíduos certos direitos em relação ao processamento de seus dados pessoais, e é responsabilidade das empresas atendê-los.
Além do direito de ser informado sobre o tratamento de seus dados pessoais por meio de avisos de privacidade, cada pessoa também têm o direito de acessar, corrigir, obter uma cópia portátil, tornar anônimo e excluir seus dados pessoais.
Quais os riscos no processo de adequação para a LGPD?
Com a LGPD, os negócios serão impactados diretamente, já que todos trabalham com o armazenamento de informações básicas dos seus clientes. A partir de agora, é preciso trabalhar com medidas de proteção. Alguns exemplos são:
- Práticas de segurança no desenvolvimento de sistemas;
- Criptografia;
- Testes de segurança realizados regularmente;
- Implementação de políticas de privacidade e de segurança;
- Etc.
Só será permitido o tratamento de dados com base em 2 elementos da base legal: nos casos de expresso consentimento e de legítimo interesse.
- Consentimento para o tratamento de dados: O consentimento deve acontecer através de uma manifestação livre, informada e inequívoca com uma ação afirmativa, seja por escrito ou por outro meio, realizada pelo titular dos dados;
- Legítimo Interesse: O legítimo interesse é um dos pontos de maior subjetividade da LGPD, pois trata do uso de dados para apoio e promoção das atividades do controlador no que diz respeito aos dados do titular, respeitando as expectativas e direitos de liberdade fundamentais.
Revisão dos processos e vulnerabilidades
Com a lei em vigor, as empresas precisam passar por uma revisão nos seus processos atuais. Isso passa por etapas como:
- Compreensão das finalidades de uso dos dados já coletados;
- Mapeamento dos dados já existentes;
- Classificação dos dados atuais;
- Quais são os tratamentos realizados com os dados;
- Definição do novo modelo de captação e tratamento dos dados.
Além deles, é fundamental fazer a gestão de vulnerabilidades. Quando uma empresa detecta vulnerabilidades, seja por meio de correções ou outros fatores, já consegue eliminar pontos de acesso para ataques cibernéticos e diminuir outros riscos de violações.
Não deixe que sua empresa tenha falahas nos pontos de segurança contemplados, e quando se tratar de segurança de sistemas, podemos ajudar – entre em contato com o time da Nova8!