A Lei Geral de Proteção de Dados entra em vigor em agosto de 2020 e vai atingir todos os setores da economia
Em 2018 novas regras para a proteção de dados de usuários brasileiros foram aprovadas pelo Governo Federal. A Lei Geral de Proteção de Dados (LGPD) entrará em vigor em agosto de 2020 e exige que as empresas tenham um maior cuidado com a captação, armazenamento, compartilhamento e utilização de informações de seus clientes.
A lei, que terá a supervisão da Autoridade Nacional de Proteção de Dados (ANPD), foi criada com base no documento de regulamentação de dados da Europa, a GDPR, e, assim como as leis europeias, parte dos direitos fundamentais de liberdade e de privacidade para estabelecer regras a respeito do tratamento de dados. Com ela, informações pessoais como nome, sobrenome, número de CPF e RG, endereço ou qualquer elemento que possa identificar o indivíduo, bem como os dados que são considerados sensíveis como orientação sexual, raça, religião ou opinião política – que podem ser usados para discriminar ou constranger os usuários – passam a ser protegidos, ficando proibida a utilização e compartilhamento sem autorização prévia dos titulares.
Além de demandar revisões em processos de captura e armazenamento de informações, a já existente preocupação com os sistemas de Proteção e Segurança de TI ganha protagonismo neste novo cenário. Os eventos de vazamento de dados ocasionados por invasões de agentes externos, ou manipulação e armazenamento indevido de dados por parte de colaboradores e parceiros já culminaram em processos de multas multimilionárias a empresas sob a GDPR.
Como comparação, antes da adoção da GDPR na Europa, as multas mais expressivas relativas a vazamento de dados haviam sido aplicadas aos casos Equifax e Facebook, no montante de EUR 500 mil para cada processo. Atualmente, já sob a GDPR, a British Airways está lidando com uma multa de EUR 183 Milhões apresentada pelo ICO (Information Comissioner’s Office) pelo vazamento de dados de seus clientes em decorrência a um ataque focado no website da empresa. Parte do agravante desta multa decorre do parecer do ICO de que a empresa apresentava “arranjos de segurança precários” nos sistemas de TI
É evidente que as empresas precisam receber e tratar dados para que seus negócios possam operar, e a partir de agora, o cuidado com estas informações passa a ser crucial para a continuidade de seus negócios.
Como preparar sua empresa para a LGPD?
O processo de regulamentação da LGPD ainda não está finalizado e até o ano que vem, muitas regras serão alteradas ou adaptadas pela ANPD. As discussões sobre o assunto estão acirradas devido às aplicações das leis serem bastante amplas.
Para não perder tempo, organizações precisam iniciar, o mais breve possível, um trabalho de entendimento do impacto da nova lei nos seus processos e estrutura de segurança de dados. Baseado nas diretrizes acima mencionadas, podemos orientar as organizações nos seguintes passos para iniciar essa jornada:
Conheça a Lei Geral de Proteção de Dados
As empresas têm a obrigação de conhecer e entender as leis e seus impactos para o seu negócio e para o mercado. Todos os segmentos e setores das empresas serão afetados, de uma forma ou outra, com estas alterações nas regras e é importante que gestores e diretores estejam alinhados com o que a lei exige para não correr o risco de cometer infrações.
Analisar quais dados serão necessários para o seu negócio
Mesmo com a lei ainda não vigorando, as empresas já podem iniciar uma autoavaliação de seus processos e verificar se seus cadastros e/ou outras formas de captação de informações estão coletando dados que realmente fazem sentido para sua atividade.
Identifique os pontos vulneráveis
Conhecer a sua própria estrutura de TI, tanto on-premisses quanto na nuvem, e mapear os principais pontos de atenção é fundamental para a tomada de ação. Levantamentos de sistemas sem atualização ou defasados tecnologicamente, testes de intrusão e mapeamento de processos servem como ponto de partida para um plano eficiente de mitigação de riscos.
Comunique e capacite suas equipes
Uma parcela fundamental da Segurança da Informação depende de como as pessoas se comportam e cuidam dos dados e sistemas com os quais elas têm contato. Estratégias de engenharia social são bastante comuns para a execução de ataques cibernéticos, e a orientação e treinamento das equipes se tornam atividades chave para que sua empresa se proteja deste tipo de ameaça.
Planeje quais as mudanças serão necessárias para sua empresa
As novas leis de proteção de dados vão exigir, além de uma mudança de cultura das organizações, algumas alterações nas estruturas, sistemas e processos a fim de que as empresas cumpram o regulamento e sobretudo consigam manter seguro os dados dos usuários.
Fique por dentro da Lei Geral de Proteção de Dados
Dentre as principais orientações da LGPD, existem 10 diretrizes que guiarão o comportamento das empresas em relação ao tratamento de informações, são elas:
1. Finalidade
A partir da implementação da lei, as empresas deverão especificar os motivos de captação de todas as informações. Estas explicações deverão ser legítimas, claras e totalmente compreensíveis para os usuários. Nenhuma informação que não seja relevante para o trabalho da empresa poderá ser coletada.
2. Adequação
A LGPD prevê que os dados solicitados aos usuários devem ser compatíveis com a finalidade da empresa. Ou seja, uma loja de roupas não tem um motivo justificável para solicitar informações sobre posicionamento político ou saúde dos usuários, por exemplo.
3. Necessidade
Como a nova lei determina que as empresas são amplamente responsáveis pelos dados que coletam, quanto menos informações forem coletadas, menor será sua responsabilidade. Por isso, treine sua equipe para se ater apenas àquelas informações estritamente necessárias para o negócio.
4. Livre Acesso
O usuário titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito. Ele pode também solicitar a qualquer momento que quaisquer informações sejam deletadas ou substituídas.
5. Promova a Qualidade dos Dados
As empresas devem garantir aos usuários que as informações de seus bancos de dados sejam atualizadas e claras, bem como que o armazenamento e utilização respeitem o que foi acordado no momento da coleta.Ou seja, você precisa contar com um serviço eficiente de gestão de informação.
6. Qualidade dos Dados
A LGPD determina que uma empresa responsável pela coleta de dados pessoais não pode compartilhá-los de forma oculta. O repasse de informações para terceiros – inclusive para operadores que sejam essenciais para a execução do serviço – deve ser avisado ao titular, bem como qualquer alteração na utilização dos dados.
7. Transparência
Como qualquer vazamento de informações é de total responsabilidade da empresa detentora dos dados, é importante estar focado na segurança. Por isso, você precisa colocar em sua rotina a busca e manutenção de procedimentos, meios e tecnologias que impeçam eventuais ataques ao banco de dados.
8. Segurança
A LGPD exige que as empresas tomem todas as medidas para que a coleta, armazenamento e exclusão das informações ocorram sem problemas. Assim, além de estar pronto para evitar ataques ao banco, é preciso criar planos de contingência e de prevenção a vazamentos e erros humanos.
9. Prevenção
A discriminação de minorias já é um crime, mas a LGPD deve punir também o uso de dados pessoais para esse fim. Assim, mesmo que sua empresa não tenha políticas discriminatórias, reveja seus processos de uso de informações para eliminar qualquer possibilidade de uso para discriminar ou promover abusos contra os seus titulares.
10. Não Discriminação
Outro item previsto na lei a que as empresas devem ter provas e evidências de todas as medidas adotadas para preservar os dados coletados, para demonstrarem a sua boa-fé e a sua diligência. Então, esteja pronto para organizar um processo sistemático de trabalho nesse campo.
Para se preparar para a implementação da Lei Geral de Proteção de Dados, sua empresa pode contar com a expertise da InfraTI, somos referência em soluções de Colaboração, Infraestrutura de Redes, Segurança e Datacenter. Planejamos e construímos em conjunto com sua empresa, alternativas para uma infraestrutura de TI dinâmica, gerenciável, segura e com alto valor estratégico para os seus negócios.