Você já buscou entender os principais pontos da nova Lei Geral de Proteção de Dados Pessoais (LGPD)? Veja neste artigo dicas importantes para que a sua empresa esteja preparada para a LGPD. E ainda, como a nuvem computacional pode lhe ajudar a cumprir os artigos dessa Lei.
Ah, como sempre, se você preferir, role até o final do artigo e veja o vídeo resumido deste conteúdo. 🙂
A informação do seu negócio deve sempre estar além de uma lei que regulamenta o mercado. A segurança é baseada em prevenção. Então esteja a todo instante acompanhando as mudanças no tratamento de dados de seu negócio para que tenha uma clara percepção sobre as novas vulnerabilidades, ameaças e riscos eminentes no seu negócio.
Aqui no Blog da Platon, falamos em outro artigo sobre a principal DICA para a Segurança da Informação, que basicamente consiste em ter Disponibilidade, Integridade, Confidencialidade e Autenticidade em todos os dados de seu negócio. Neste mesmo artigo, explicamos também a diferença entre Vulnerabilidade, Ameaça e Risco. O entendimento destes conceitos são de grande importância para o entendimento da importância de prevenção relacionado aos dados de seu negócio. Portanto, caso ainda não tenha o domínio destes temas, faça uma rápida leitura do artigo aqui. E depois, é claro, volte para este artigo para entender mais sobre a LGPD.
A LGPD é uma lei brasileira decretada e sancionada em Agosto de 2018 que tem como objetivo regulamentar o tratamento de dados pessoais para proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Com isto, destacamos dez pontos da LGPD que consideramos de suma importância para o seu negócio.
Isso mesmo, todos os setores da economia, sem exceção, deverão cumprir rigorosamente a LGPD. Isso incluir empresas do setor privado e público, havendo apenas algumas exceções, como:
Basicamente toda vez que você transaciona algum dado com fornecedor ou comprador de fora do País, estes stakeholders deverão obrigatoriamente cumprir a LGPD Brasileira. Isso significa que se um fornecedor seu, por exemplo, não atende de acordo a LGPD, você deverá buscar um novo fornecedor que esteja preparado para cumprir as leis brasileiras.
Este ponto é muito importante, pois é o impacto gerado pela LGPD visível ao consumidor final. Basicamente, este ponto se resume em ter um documento de consentimento de todos os usuários que possuem dados em seu banco de dados, indicando inclusive qual a finalidade do dado armazenado em seu banco. Um exemplo bastante prático que ajuda a entender este ponto são os atuais pedidos de permissão que aparecem em nosso smartphone Android quando vamos instalar/utilizar um novo aplicativo.
Imagine então que para cada dado que você possui de um cliente/fornecedor, você precisará ter também esse consentimento armazenado, dando a garantia para seu negócio de que o usuário realmente autorizou você a manter os seus dados armazenado para uma situação específica.
Fique atento neste ponto, pois o uso dos dados para quaisquer outras situações que não estejam previamente consentidas, poderão ter impacto de sanções e multas para seu negócio. Você é o responsável pelos dados armazenados em seu negócio!
Além do consentimento claro e específico, é necessário que o usuário tenha a opção para atualizar ou solicitar a exclusão dos dados. Não necessariamente precisa ser automatizado, mas é necessário que a informação com as instruções dessa possibilidade seja bem divulgada entre os usuários.
Este foi provavelmente um dos pontos mais debatidos na criação da Lei Geral de Proteção de Dados, tanto é que a sua criação teve que ser rediscutido na Medida Provisória 869/18, aprovada em 28 de Maio de 2019 pelo Senado.
A agora aprovada Autoridade Nacional de Proteção – ANPD ficará subordinada à Presidência da República por mais dois anos. Depois disso, ela será transformada em autarquia com orçamento próprio. A ANPD será o órgão responsável por toda fiscalização de tratamento de dados nos setores público e privado.
Um interessante previsto na LGPD é a exigência de notificação em incidentes relacionados ao tratamento de dados no seu negócio. Ou seja, em um caso de vazamento de dados por exemplo, é necessário informar os usuários sobre tal vazamento. O não cumprimento deste item, ou de qualquer outro da LGPD, resultará em sanções conforme irei explicar mais abaixo.
Este ponto foi também muito debatido na MP 869/18. O Data Protection Officer – DPO (ou em português: Encarregado de Proteção de Dados) é o responsável dentro da empresa pelo monitoramento e disseminação das boas práticas em relação a proteção de dados pessoais. Tanto entre os funcionários e fornecedores contratados na empresa, quanto a manutenção de informações à ANPD.
Os DPO’s devem adotar medidas de segurança para ampliar a proteção dos dados dos usuários nos bancos de dados da empresa, assim como ter um plano de ações para situações em que os incidentes não puderem ser evitados. Dentre estas ações, informar a ANPD é uma das atividades.
Conforme citado no item anterior, os seus fornecedores contratados devem seguir também a LGPD, mesmo que sejam de outros países. Da mesma forma, os seus subcontratantes (revendedores, parceiros comissionados, etc.) também devem seguir a LGPD. O ideal, inclusive, para evitar surpresas é que o seu DPO monitore de perto todos os processos que envolvem também seu subcontratantes, para ter certeza que todos estão seguindo as medidas de proteção de dados definidas na empresa.
Ok, falamos sobre 8 pontos até agora que são bastante importante para sua empresa. Logicamente, para que isso funcione e que todos cumpram estes deveres, a ANPD terá a função de fiscalizar e aplicar sanções para quem não cumprir com os artigos da LGPD. As sanções podem ser advertências, multasou até a proibição parcial ou total de atividades relacionadas ao tratamento de dados. No caso de multas, podem ser de 2% do faturamento do ano anterior até R$ 50 milhões.
A LGPD entrará em vigor em agosto de 2020 devido a prorrogação definida na MP 869/18. Mas não deixe para a última hora, pois dependendo do caso, um ano pode ser pouco tempo para realizar todos os preparos na sua empresa.
Para finalizar este artigo, deixamos abaixo então algumas dicas para preparar seu negócio para a Lei Geral de Proteção de Dados Pessoais.
Isso mesmo, além de pensar na prevenção, é imprescindível conscientizar todos os seus colaboradores sobre a importância da prevenção. Na segurança, não adianta apenas uma pessoa cumprir as ações e medidas da Política de Segurança da Informação (PSI). Se uma pessoa não cumprir os itens da PSI, todo o trabalho será em vão!
Você precisa conhecer de fato a sua empresa para identificar as vulnerabilidades e ameaças que trazem risco iminente. Para isso, faça uma análise de GAP’s e identifique todas as lacunas de segurança em todos os setores de sua empresa. Inclusive na Diretoria, heim?!
Agora que você já tem todas as lacunas de segurança levantadas nos setores das suas empresas, junte sua equipe (todos os setores) e busquem soluções para cada uma das vulnerabilidades identificadas, desde processos operacionais até questões técnicas da infraestrutura (T.I.). Com todas as possíveis soluções, crie um plano de ações para executar todas as atividades. Mesmo dentro de uma simples planilha, a metodologia 5W2H pode lhe ajudar a organizar essas ações.
Conhecer a sua empresa é uma das mais importantes atividades que indicamos para você. E para isso, é extremamente importante ter o conhecimento de todos o seu ativo, aplicações e dados que existem dentro da sua empresa. Faça esse levantamento com muita atenção e tenha tudo documentado em um ambiente seguro. A nuvem computacional pode te ajudar a manter estes dados seguros.
Agora que você já identificou todas as lacunas de sua empresa, formou um inventário completo e criou um plano de ações para amenizar as vulnerabilidades identificadas, chegou o momento de documentar todos os processos básicos de Segurança da Informação para que todos seus colaboradores estejam no mesmo “idioma” que você.
E por fim, mas não menos importante, esteja preparado para quando tudo der errado. Isso mesmo, ter um plano de ações específico para casos de vazamentos de dados é muito importante para amenizar o impacto para seus usuários, assim como auxiliar sua empresa na recuperação da credibilidade no mercado. Além disso, lembre-se que como mencionado anteriormente no 2º passo deste artigo boas práticas de segurança da informação ajudam a reduzir as sanções que podem ser aplicadas ao seu negócio pela ANPD.
Espero de verdade que este conteúdo e dicas que explanamos neste artigo ajude sua empresa a estar preparada para a Lei Geral de Proteção de Dados Pessoais. Ainda assim, ficamos a disposição para lhe auxiliar neste processo caso você necessite de auxílio. Inclusive, temos soluções em nuvem computacional que podem lhe ajudar a organizar todo este processo de preparo para a LGPD.
Então deixe-nos seu contato abaixo que um dos nossos consultores entrará em contato com você para conversar mais sobre este assunto.