Adequar-se à LGPD é uma questão de sobrevivência em um mercado cada vez mais global e que exige a transparência dos players em todos os setores da economia.
Em uma sociedade cada vez mais movida e orientada por dados pessoais e empresariais nas redes, crescem movimentos para proteção do lado mais frágil da cadeia – o titular do dado. Um novo pacto social, fundamentado na transparência e no respeito nas relações comerciais e também nas questões de políticas públicas, vem se mostrando cada vez mais necessário.
A General Data Protection Regulation (GDPR), em vigor desde maio de 2018 na Europa, formalizou as regras para coleta e uso de dados pessoais em 28 países, prevendo duras punições para entidades públicas ou privadas que não cumprirem suas diretrizes em todo continente europeu.
Com seu formato abrangente, ela também engloba as organizações que fazem negócios com seus cidadãos em qualquer parte do mundo e, somada aos escândalos de vazamentos de dados de grandes empresas, despertou a urgência de uma adequação internacional.
Diversos países têm implementado “as regras do jogo” para a coleta e uso de dados pessoais, inclusive muitos na América Latina, mas o Brasil ainda não tinha formalizado seus parâmetros. Assim, inspirada na GDPR, foi criada a Lei Geral de Proteção de Dados (LGPD) que entrará em vigor em 13 de agosto de 2020, após oito anos de tramitação no Congresso Nacional.
João Carlos Orzzi Lucas, vice-presidente de Governança, Risco e Compliance da Vexia, ilustra a implementação da Lei da seguinte forma: “fazendo uma analogia simplificada da questão, é como a obrigação de utilizar o cinto de segurança no carro, que aconteceu lá em 1997. Todos tinham consciência de que era mais seguro usar o cinto e sabiam dos riscos que corriam sem ele, no entanto, a população só aderiu massivamente quando passou a existir uma lei e uma punição monetária. Da mesma forma, a LGPD formaliza a responsabilidade sobre o uso de dados pessoais dentro das empresas e promove uma transformação cultural nesse sentido”.
Com base na legislação europeia, a Lei nº 13.709/2018 (nomenclatura oficial da LGPD) também consolida, atualiza e torna mais robustas as regras de coleta e uso de dados pessoais que estavam de alguma forma pulverizadas no Marco Civil da Internet, no Código de Defesa do Consumidor e na própria Constituição Federal.
Com ela, empresas de todos os portes, públicas ou privadas, que coletam dados pessoais (sejam de clientes, fornecedores ou funcionários) devem estar de acordo com a legislação e o órgão regulatório será a ANPD (Autoridade Nacional de Proteção de Dados).
Dados que identificam + Dados Identificáveis Além dos dados que identificam seu titular (como nome, RG ou CPF, por exemplo), também estão sob proteção da Lei os dados identificáveis como o endereço IP, geolocalização do usuário, entre outros que permitam chegar às informações mais sensíveis como orientação política ou religiosa, por exemplo. |
Objetivos da LGPD
A LGPD tem como objetivo formal “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
No entanto, seus efeitos atingem em cheio as estruturas das organizações e suas relações comerciais no momento em que a responsabilidade pela proteção dos dados pessoais passa a ser responsabilidade da empresa (e parceiros) e não do usuário.
Assim, a LGDP acaba por elevar o ecossistema de negócios do Brasil a um novo patamar de segurança de dados e compliance e isso tende a tornar o ambiente mais seguro e mundialmente adequado para transações comerciais.
Trata-se de uma transformação cultural que vai gerar maior transparência e tem impacto reputacional muito relevante.
5 principais direitos do titular que devem ser observados na LGPD
A privacidade dos dados pessoais diz respeito à proteção das pessoas frente ao uso que é feito dessas informações, desde campanhas de marketing dirigidas, passando por autorização/negação de financiamento bancário ou ainda aceite (ou não) da participação em um plano de saúde.
Sendo assim, a lei garante direitos como:
- Consentimento explícito: o titular do dado deve ser informado de forma clara sobre o motivo da coleta dos dados pessoais e a finalidade do uso.
- Correção: o titular pode solicitar alterações em seus dados (correções, atualizações e exclusões).
- Direito ao esquecimento: independente do motivo, o titular pode solicitar a exclusão de seus dados dentro de determinado sistema.
- Portabilidade: deve ser possível que o titular consiga exportar seus dados pessoais de um sistema para outro.
- Direito a explicação: o titular pode solicitar informações sobre todos os algoritmos que interagem com com seus dados para entender, por exemplo, porque um empréstimo do banco foi negado.
*Lembrando que as eliminações de cadastro de um banco de dados também estão sujeitas a outras determinações legais dentro de cada segmento. Bancos, departamentos de Recursos Humanos e empresas de Redes Sociais (como o Facebook) são obrigadas a manterem o registro dos dados por tempo determinado.
Como sua empresa pode se adequar
A adequação à LGPD será um processo que envolverá todos os departamentos e colaboradores das instituições, pois será uma transformação cultural na maneira de lidar com os dados que circulam dentro da organização.
Algumas empresas já têm um processo mais maduro, enquanto outras ainda têm um longo caminho a percorrer para estarem em conformidade até agosto de 2020. Por isso, a Vexia tem um plano de ação personalizado para atender cada cliente, considerando seu momento atual, seja financeiro, comportamental ou técnico.
O diferencial da Vexia para a adequação à LGPD é a atuação conjunta de um time multidisciplinar que une expertises em soluções de tecnologia, respaldo jurídico, gestão de risco e compliance.
O modelo de trabalho para a adequação à LGPD que a Vexia propõe segue o seguinte fluxo:
#PESSOAS
Desde o colaborador que solicita dados de um visitante na portaria da empresa para registrar seu acesso até o presidente que autoriza o uso dos dados pessoais para tomada de decisão comercial, todos estarão envolvidos com a LGPD. Por isso, o trabalho da Vexia começa com as pessoas, considerando:
- Treinamento: conscientizar e capacitar continuamente os parceiros e colaboradores sobre a abrangência e impactos da Lei é fundamental para eliminar brechas oriundas de pequenas ações particulares, e deve ser uma atividade regular dentro da companhia.
- Responsabilidade legal: a partir do início da vigência da Lei, toda empresa deve ter um responsável certificado responsável pela gestão dos dados pessoais, o chamado Data Protection Officer (DPO). Esse profissional pode ser um colaborador ou um agente externo especializado, como a Vexia, que tem profissionais certificados e aptos a assinarem legalmente pela empresa.
- Benchmarking: adotar e disseminar as boas práticas do mercado tanto nacional quanto internacional, visando adequação aos novos modelos de negócio que vão considerar a proteção dos dados pessoais.
#PROCESSOS
Todo o ciclo de vida dos dados pessoais dentro da empresa deve ser levantado e analisado pela equipe multidisciplinar citada acima que garantirá sua total adequação à LGPD, seguindo quatro passos:
#Passo 1 – Será preciso identificar quais dados pessoais sua empresa possui, como eles entram nos sistemas, como são armazenados, com quem são compartilhados, além da forma como são excluídos. Nesta etapa também são revistos, por exemplo, todos os contratos que envolvam dados pessoais, pois eles devem conter cláusulas claras sobre consentimento, coleta e finalidade de uso.
#Passo 2 – Após esse mapeamento minucioso sobre o ciclo de vida dos dados pessoais dentro da organização, são levantados todos os riscos existentes na estrutura atual que elevam a exposição da empresa às duras penalidades previstas na Lei.
#Passo 3 – O time multidisciplinar da Vexia identifica as adequações necessárias e as prioridades de ação dentro das falhas encontradas, considerando a realidade do cliente e sua capacidade de execução nas esferas tecnológicas, legais e de compliance.
#Passo 4 – A Vexia, além de levantar o cenário completo, identificar os riscos e recomendar ações de adequação, também está pronta para colocar o plano em ação, cobrindo os gaps encontrado e reduzindo drasticamente os riscos da empresa. Nesta etapa a Vexia orienta como instituir o controle e a governança do ciclo de vida dos dados pessoais dentro da empresa de forma continuada.
Fernanda Cortes Lopes Mainieri, head do departamento jurídico da Vexia conta que o acompanhamento do time jurídico em cada etapa do processo ajuda a direcionar as prioridades na adequação da empresa, tornando o plano de ação mais ágil e eficiente, com o custo adequado. “É como se nós fossemos os olhos da Lei em cada pedacinho da operação, para não deixar passar nada, protegendo a companhia e, principalmente, o titular do dado”, conclui.
#TECNOLOGIA
A Vexia tem a estrutura e a flexibilidade necessárias para atender empresas nos mais diversos estágios de adequação à LGPD. Por isso, as tecnologias apresentadas abaixo são apenas exemplos do que pode ser entregue para que a sua empresa fique em conformidade, de acordo com as necessidades do seu ambiente. Confira:
Segurança da Informação:
- Varredura de servidores locais e em nuvem, além de estações de trabalho;
- Checagem da configuração das ferramentas atuais;
- Implementação de solução de criptografia;
- Adoção de ferramenta de DLP (data loss prevention): Segregação de permissões de acessos;
- Implementação de alarmes para identificar invasões ou tentativas de acesso indevidas;
- Definição (ou revisão) da política de backup de dados pessoais;
- Monitoramento da ação de terceiros com dados compartilhados pela sua empresa.
Auditoria e Controle
- Operação contínua de monitoramento e gestão do ambiente de rede;
- Testes de penetração e vulnerabilidade da rede;
- Comprovação da origem e do direito de uso dos dados;
- Garantia de que os dados possam ser exportados de forma que o titular do dado consiga abrir e entender de forma clara;
- Rastreabilidade dos dados.
A visão de riscos corporativos é outro aspecto a ser observado pelas organizações, onde a proteção de dados deve ser vista como um ativo a ser protegido e monitorado. Neste sentido, Diego Souza, head de Auditoria e Riscos da VEXIA, alerta para a necessidade de incluir este tema na matriz de riscos e assim desenvolver planos de ação para mitigar a sua exposição.
Cada etapa da adequação à LGPD (Pessoas, Processos e Tecnologia) pode ser contratada separadamente com a Vexia, de acordo com o momento da empresa ou seu grau de maturidade frente às demandas da Lei.
Para Maurício Santos, head de Segurança da Informação da Vexia, o que não pode ser perdido de vista daqui para frente é que “não basta ter controle sobre os dados pessoais dentro da empresa, mas ainda é preciso ter como provar que esses controles existem e mantê-los vivos em um processo de monitoramento contínuo visando adequação à LGPD ao longo do tempo”.
Alertas importantes: * Até 2020, o backup e o arquivamento de dados pessoais representarão a maior área de risco de privacidade para 70% das organizações. (Gartner) * Praticamente nenhuma empresa está imune, com 96% das empresas sofrendo pelo menos uma exploração grave de dados. (Fortinet) * A razão mais provável para uma organização sofrer um ataque direcionado é a coleta de informações, em 96% dos casos. (Symantec) |
Assumindo que sua empresa venha a ter algum problema com o trato dos dados pessoais nos próximos anos, ter a documentação necessária para demonstrar seu empenho e preocupação em estar adequado é um fator que vai mitigar possíveis sanções administrativas e também proteger a reputação do seu negócio.
Investir em segurança da informação e compliance para prevenir e tratar situações de vazamentos de dados pessoais é uma ação que vai competir a todo ecossistema de negócios daqui para frente. Ou seja, destaca-se mais uma vez o caráter cultural e reputacional que a nova legislação imprime ao ambiente de negócios no Brasil e no mundo.
Continue acompanhando nosso blog para saber mais sobre a LGPD, com os comentários de nossos especialistas! O próximo post cobrirá os riscos e penalidades previstas na Lei, não perca! Para falar com um especialista Vexia sobre a LGPD clique aqui.