LGPD sem papas na língua – Uma introdução ao desafio LGPD – O que é e como começar

Boas e más notícias sobre LGPD

Se sua organização ainda não concluiu a adaptação do seu negócio à LGPD, já começamos com as más notícias pois você está atrasado pelo menos desde Agosto de 2020, quando a lei entrou definitivamente em vigor no Brasil. Seguindo com as más notícias, também  é necessário que se diga que o processo de adequação a LGPD é longo, difícil e oneroso.

Por se tratar de uma lei que afeta toda a cultura organizacional, o processo de readaptação a novos fluxos de trabalho é naturalmente longo e difícil. Vale mencionar que as multas por conta de violações de privacidade  já estão sendo aplicadas e podem transformar a ausência de adequação a LGPD em uma dor de cabeça jurídica e financeira.  

Mas nem todas as notícias são ruins. A obrigatoriedade de adequação à LGPD pode ser a oportunidade ideal para um salto qualitativo no que tange a segurança da informação dentro e fora do seu negócio. Com as devidas definições e limites bem claros,a idéia é ser efetivo, e usar este processo de adequação como oportunidade para o negócio. Esta série de artigos se inicia com algo bem básico e direto ao ponto, sem rodeios técnicos e termos jurídicos,  com o objetivo de despertar insights importantíssimos, e que muitas vezes são percebidos apenas depois que nossa adequação já começou. Iremos mais a fundo em cada etapa nos próximos artigos da série LGPD sem papas na língua.

O que é LGPD ?

A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma lei brasileira com foco exclusivo na proteção da liberdade e privacidade relacionada a dados dos indivíduos.

A LGPD nasceu baseada em sua coirmã, a General Data Protection Regulatory (GDPR), que versa sobre as mesmas questões em território Europeu. A escolha da GDPR como base se dá pelo fato de esta ser a mais recente e mais significante legislação de proteção de dados pessoais no mundo.

A fiscalização das normas, no Brasil, fica a cargo da Autoridade Brasileira de Proteção de Dados (ANPD), criada em 2019.

Insight

 É importante que fique muito claro, desde o início de um processo de adequação a LGPD, que a lei se refere tanto a documentos digitais quanto físicos. Papéis na bandeja de impressora, documentos sobre a mesa de trabalho, telas de computador desbloqueadas, fotos 3×4, post its, etc.

Por que uma lei para dados ?

Objetivamente, a LGPD surgiu para normatizar e garantir  ética e segurança aos processos de tratamento de dados de qualquer natureza, sejam eles coleta, classificação, utilização, acesso, reprodução, processamento,armazenamento, controle e até mesmo a eliminação.

Ao contrário do que se possa imaginar, a LGPD não chega para dificultar e engessar processos e estratégias organizacionais, mas o contrário disso. A lei visa promover a segurança não apenas dos proprietários de dados, mas também das empresas  prestadoras de serviços, uma vez que a segurança e os padrões de tratamento de informações serão incrementados, evitando vazamentos e ataques cibernéticos que causam danos a todas as partes envolvidas.

Insight

 A “segurança contra ataques e vazamentos” é comumente associada a compra de ferramentas de hardware e software. Obviamente estas ferramentas têm um papel importante no processo de adequação, mas a simples compra de um ativo de segurança não garante sua adequação. Padrões e políticas de segurança garantem sua adequação, independente das ferramentas tecnológicas envolvidas.

 Lembre-se sempre: Todos os processos devem ser auditáveis e gerar evidências.

A quais dados a LGPD se refere ?

A LGPD se aplica exclusivamente a dados pessoais e estes são definidos pela própria lei como: “Informação relacionada a pessoa natural identificada ou identificável.” Ou seja, o dado pessoal, na prática, é qualquer tipo de informação que possa ser usada para identificar direta ou indiretamente  um indivíduo vivo.

Dentro da classificação de dados pessoais, existe uma subcategoria que exige um maior nível de atenção e cuidado. Estes são denominados dados sensíveis e se referem a crianças e adolescentes ou expõem origem racial ou étnica, crenças religiosas, posicionamento político, filiação sindical, dados genéticos ou biométricos, históricos de saúde ou questões pertinentes a vida sexual de um indivíduo

Todo e qualquer tratamento de dados pessoais só pode ser levado a cabo por empresas que sigam os critérios definidos pela lei.

Insight

 É importante ter em mente que pessoas podem ser localizadas e identificadas não apenas por um cadastro em um banco de dados. Além dos tradicionais RG, CPF e outros, a LGPD também considera dado pessoal ítens como imagens de câmeras de segurança, endereços IP coletados, cookies de navegação, placas de carro, localização via GPS, fotografias, preferências de lazer, hábitos de consumo, etc.

O que muda com a chegada da LGPD ?

A grande mudança da LGPD é a obrigatoriedade do consentimento expresso do titular dos dados para qualquer processo de tratamento de dados que a empresa execute. Além disso, é necessário que, nos termos de consentimento, sejam expressas as reais intenções sobre o uso específico das informações solicitadas. 

Aqui, a clareza definirá o sucesso. Seja direto e explícito nestes termos. Não permita que haja nenhum tipo de interpretação errônea no texto e não use termos ocultos nas “entrelinhas”.

Dessa maneira, fica vetado o uso de dados pessoais para fins que não sejam aqueles previamente informados ao titular, assim como o armazenamento indevido desses dados.  A posse de informações das quais a empresa não consiga comprovar sua necessidade, ou sem a devida autorização para o uso podem deixar empresas sujeitas às sanções da lei.

Por falar em sanções, as multas impostas pela LGPD são bastante intimidadoras, sendo definidas entre R$ 50 milhões por infração ou até 2% do faturamento anual da empresa.

Isenções à LGPD 

A lei, em seu artigo 4º, categoriza algumas situações onde a mesma é dispensável para o tratamento de dados pessoais:

  • Quando o tratamento de dados é realizado por pessoa natural, sem fins econômicos.
  • Realizado para fins exclusivamente jornalísticos ou artísticos.
  • Realizado exclusivamente para fins de segurança pública, defesa nacional, segurança do estado ou investigações e repressão a infrações penais,
  • Dados provenientes de fora do país, desde que o país de origem proporcione grau de proteção de dados pessoais equivalentes a LGPD, e  que não sejam:
  1. Objeto de comunicação
  2. Uso compartilhado com agentes de tratamento brasileiros
  3. Objeto de transferência de dados para um país que não seja o de origem

Insight

 Um dos grandes segredos para um processo de adequação pleno a LGPD está exatamente nestes últimos parágrafos. Mapeie todos os processos de tratamento de dados da sua empresa e providencie termos de aceite de todos os indivíduos que deixaram informações a seus cuidados para cada um destes processos.

Como começar com o pé direito ?

Como mencionado anteriormente, o objetivo aqui é sermos simplistas em nossas primeiras definições, e aprofundá-las nos próximos artigos. A verdade é que não existe um passo a passo para adequação a LGPD. Cada cenário organizacional tem uma cultura diferente, processos diferentes, pessoas diferentes, etc. Essa diversidade faz com que seja difícil (para não dizer impossível)  definir uma receita de bolo para LGPD.

De qualquer maneira, existem ações preliminares que podem dar robustez ao projeto de adequação e, além da dita implementação da lei, trazer ganhos consideráveis para o negócio.

 1) Busque Ajuda Qualificada

O projeto de adequação a LGPD não é simples e nem rápido. É de grande importância que existam profissionais dedicados full time a este projeto. Há dois caminhos distintos aqui:

  • Tenha seu próprio time de implementação:

Você tem a opção de elencar pessoas de sua própria equipe para conduzir este projeto. Neste caso, treinamento em cima de LGPD e ISO27000 são primordiais para o sucesso. Dê preferência para treinamentos ministrados por instituições conceituadas e certificadas. Dispense seminários relâmpagos e soluções que prometem resultados milagrosos em apenas alguns dias.

  • Tenha uma consultoria para realizar a implementação:

Sem dúvida, o tempo é um fator crucial nesta altura, afinal a lei já está em vigor. A contratação de uma consultoria especializada para adequação de sua empresa pode lhe poupar tempo precioso. As recomendações para escolha de consultorias vão além das certificações LGPD e ISO27000. Busque um parceiro bem conceituado no mercado, com boas referências e com uma boa visão global do seu negócio. Lembrem-se que LGPD não é responsabilidade exclusiva de TI, nem do jurídico. É  um esforço multidisciplinar. 

 2) Visualize cargos e funções perante a LGPD

A LGPD nos traz à tona algumas funções novas dentro das organizações. Um bom start para o projeto é que você já tenha feito o exercício de mapear mentalmente quem tem estas funções dentro da sua organização. Os principais papéis relacionados a LGPD, e que merecem atenção, são:

O Operador de Dados: Realiza o tratamento de dados pessoais em nome do Controlador de Dados, tendo como obrigação o seguimento, à risca, das instruções fornecidas e a observância dos termos da lei, além da manutenção do registro das atividades. Em alguns casos, também pode ser responsabilizado por danos causados (junto do Controlador). É importante salientar que o operador de dados pode ser um funcionário da sua empresa ou um fornecedor terceirizado. Em ambos os casos, devem haver documentações que regem as atividades.

O Controlador de Dados: É responsável pelas decisões referentes ao tratamento dos dados pessoais. A ele, cabe todo o ônus de garantir transparência e comunicação com o titular dos dados pessoais durante todo o ciclo de vida do dado coletado, além de orientar sua equipe (de operadores de dados). Ao controlador de dados também cabe o papel de escolher e nomear o DPO. Na grande maioria dos casos, o controlador de dados é a entidade jurídica que coleta os dados pessoais.

O DPO: O Data Protection Officer é o especialista em proteção de dados. O profissional monitora as atividades da empresa (ou de setores específicos)  para garantir que estejam de acordo com as boas práticas. Também deve intermediar a relação da empresa com os titulares dos dados e a ANPD, fazendo a comunicação, prestando esclarecimentos e adotando as providências necessárias. O papel de DPO , perante a LGPD, pode ser terceirizado, através do que o mercado tem chamado de DPO as a Service. 

 3) Códigos de Conduta

Códigos de ética e conduta são documentos que regulamentam as ações de funcionários e fornecedores de sua empresa. Se você já tem documentações desta natureza desenvolvidas, reflita sobre como, e se estas documentações já contemplam a interação de sua equipe com dados pessoais de terceiros. Uma atenção especial às políticas de TI e segurança da informação é requerida e muito bem vinda.

Caso sua empresa não tenha estas documentações, é um ótimo momento para começar a desenhá-las já em conformidade com o tratamento de dados pessoais em mente. 

 4) Dados Anteriores a LGPD

A LGPD se aplica a qualquer dado pessoal identificável, independente da data de coleta ou processamento. Assim sendo, dados pessoais antigos de sua empresa, que já fazem parte de seus arquivos, devem ser adequados. Aqui cabem dicas bastante importantes e que muitas vezes passam sem ser percebidas:

  • Arquivos de backup antigos, contendo dados pessoais, também são passíveis de auditoria e devem ser adequados, mesmo estando armazenados em fitas,discos ou remotamente;
  • Currículos de candidatos a vagas em sua empresa, recebidos em meio digital ou físico, estão sujeitos a auditoria e devem ser adequados;
  • Uma atenção especial deve ser dedicada ao RH e aos dados de seus colaboradores. Muitas empresas usam biometria e registram o histórico de atestados médicos de seus funcionários, o que configura posse de dados sensíveis e merece um tratamento diferenciado e cuidados especiais. 

 5) Equipe Engajada

O ecossistema de uma empresa deve estar totalmente ciente e engajado, na medida do possível, ao projeto de adequação a LGPD. Como comentado anteriormente, este projeto não é exclusividade de uma única área, mas sim um comprometimento geral da empresa com a privacidade das informações de seus clientes, funcionários e fornecedores.

Mãos à Obra

A ideia principal deste artigo é compartilhar com o leitor  uma visão inicial bastante direta de princípios básicos sobre LGPD, fugindo de definições e conceitos atrelados a áreas específicas. Nos artigos subsequentes, abordaremos tópicos com um teor técnico e jurídico um pouco mais profundo, mas mantendo, dentro do possível, a simplicidade na transmissão das definições da lei.

Convido o leitor a iniciar o desafio de adequação imediatamente, através da reflexão sobre como sua empresa interage com dados pessoais. Estendo o convite a todos para que , caso sintam-se à vontade, comentem e opinem sobre este artigo inicial e sugiram novos tópicos para nossa série LGPD sem papas na língua.

Compartilhe este insight:

Comentários

Participe deixando seu comentário sobre este artigo a seguir:

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

AUTOR

Wendel Siota
Mais de 25 anos de experiência em cyber security em grandes corporações.

SOLUÇÕES EXIMIACO

Infraestrutura e Nuvem

ESTRATÉGIA & EXECUÇÃO EM TI

Simplificamos, potencializamos 
aceleramos resultados usando a tecnologia do jeito certo.

INSIGHTS EXIMIACO

Confira outros insights de nossos consultores relacionados a esta solução de negócio:

12/05/2021
Wendel Siota
Especialista em Segurança da Informação
12/05
2021

COMO PODEMOS LHE AJUDAR?

Vamos marcar uma conversa para que possamos entender melhor sua situação e juntos avaliar de que forma a tecnologia pode trazer mais resultados para o seu negócio.

COMO PODEMOS LHE AJUDAR?

Vamos marcar uma conversa para que possamos entender melhor sua situação e juntos avaliar de que forma a tecnologia pode trazer mais resultados para o seu negócio.

+55 51 3049-7890 |  contato@eximia.co

0
Queremos saber a sua opinião, deixe seu comentáriox
()
x

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

O seu insight foi excluído com sucesso!

O seu insight foi excluído e não está mais disponível.

O seu insight foi salvo com sucesso!

Ele está na fila de espera, aguardando ser revisado para ter sua publicação programada.