O crescimento dos modelos de negócio digitais e a digitalização de processos nas empresas potencializaram a discussão sobre a privacidade de dados sensíveis e a segurança de dados corporativos. A demanda por segurança digital é evidenciada pelo home office, o uso de redes privadas (VPN) e estratégias como o BYOD (Bring Your Own Device).
Isso, porque juntamente com a digitalização multiplicaram-se os riscos associados ao uso indevido dos dados pessoais de terceiros, incorridos pela perda e roubo de informações em softwares, hardwares e servidores. O fato é que há uma enorme fonte de informações disponível, mas os recursos que antes restringiam o acesso a esses dados nos ambientes controlados pelas empresas não estão disponíveis nas casas dos trabalhadores.
Neste artigo discutimos a LGPD e o que sua empresa deve fazer para garantir privacidade aos dados pessoais sensíveis de terceiros. Confira!
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018, sancionada antes da crise, mas alterada em função dela, é um norte para as políticas de segurança de dados implantadas em ambientes corporativos.
Relaciona-se à adequação quanto a coleta, tratamento, uso e armazenamento de informações e abrange outros aspectos não regulamentados pelo Marco Civil da Internet, o Código de Defesa do Consumidor ou a Lei de Acesso à Informação.
Inicialmente, a LGPD passaria a vigorar em agosto de 2020. Mas a vigência da lei foi adiada em um ano no pacote de medidas adotadas pelo Governo com o estado de calamidade pública imposto pela pandemia causada pelo novo coronavírus no Brasil.
Por meio da edição da medida provisória 959/20, o presidente estabeleceu a data limite para adequação das empresas em 03 de maio de 2021. Esse prazo realmente entrará em vigor com a aprovação da MP pelo Congresso, do contrário, será aplicada ainda em agosto de 2020.
O objetivo da LGPD é proteger dados pessoais sensíveis e garantir privacidade às pessoas em processos e rotinas que exigem informações e documentações como RG, CPF, certidões de nascimento, casamento, óbito etc., assim como endereço e números de cartão de crédito.
As sanções previstas na lei são aplicáveis aos agentes públicos e privados, que atuam na esfera física ou digital:
- pessoas jurídicas com sede no país;
- empresas multinacionais que atuam no mercado nacional;
- administração pública;
- pessoas físicas que atuam como influenciadores digitais (devido à monetização de conteúdo que usa dados pessoais sensíveis de seguidores);
- profissionais liberais autônomos, como médicos e advogados.
Como é possível garantir proteção às informações coletadas?
A LGPD exige a autorização do proprietário da informação, por meio da assinatura de um termo de consentimento. Para isso, a empresa deve explicar os motivos pelos quais realizou a coleta de dados e a finalidade do processo.
Para se preparar e garantir a real proteção dos dados coletados, os responsáveis pela aplicação das mudanças nas empresas devem mapear os processos que envolvem essas informações sensíveis e assegurar a conformidade com as restrições e adequações impostas pela lei.
Isso, porque o controle e a segurança dos dados é de responsabilidade da detentora, o que significa que as empresas que os utilizarão devem assegurar requisitos como integridade e confidencialidade no trato dessas informações e estabelecer regras rígidas para o fluxo de trabalho no ambiente corporativo:
- verificar todos os dados pessoais sensíveis armazenados no banco de dados da empresa, mesmo que eles tenham sido coletados antes da aplicação da lei;
- rever as medidas a serem adotadas na gestão de contratos (inclusive os que já foram assinados);
- controlar com mais eficiência o acesso às redes sociais, site institucional e rede da empresa — o usuário deve ser informado sobre a política de privacidade adotada, que confere mais transparência ao processamento de dados de terceiros;
- adotar medidas de segurança da informação em softwares corporativos (ERP — Enterprise Resource Planning, CRM — Customer Relationship Management, entre outros);
- aumentar a rigidez de políticas como BYOD e em dispositivos móveis que integram os ativos de TI da empresa;
- definir uma equipe de trabalho que se responsabilize por todas essas questões de adequação da empresa quanto ao compliance exigido pela nova lei.
A implementação das regras impostas de LGPD e a devida adequação de processos organizacionais é um longo caminho que demanda ações multidisciplinares em todos os departamentos da empresa, desde o setor de TI até a área de produtos, e o comprometimento de todos é essencial.
Quais as sanções previstas pela falta de adequação?
A Autoridade Nacional de Proteção de Dados (ANPD) foi criada por uma medida provisória e tem como objetivo fiscalizar, verificar denúncias e punir empresas e órgãos públicos que não atuarem sob o rigor da lei.
O descumprimento da LGPD implicará na advertência e na aplicação de sanções, como multas fixas (até 2% do faturamento, desde que não ultrapasse o teto de R$ 50 milhões) e multas diárias, conforme o grau da ofensa, às instituições privadas.
Aos agente públicos a tratativa inclui punições administrativas, uma vez que o uso indevido de dados pessoais sensíveis de terceiros poderá ser classificada como improbidade administrativa.
A ANPD reunirá 23 integrantes indicados pela Presidência da República, Congresso nacional, Conselho Nacional de Justiça, Conselho Nacional do Ministério Público, Comitê Gestor da Internet no Brasil e a sociedade civil, representada por entidades empresariais, instituições científicas, entidades trabalhistas e confederações sindicais.
Investir em segurança digital é fundamental nesse processo de adequação das empresas, bem como o estabelecimento regras rígidas relacionadas ao compliance e treinamento de todos os agentes que compõem as equipes de trabalho que lidam com dados pessoais sensíveis de terceiros.
Sem uma lei que referencia os processos relacionados à utilização de dados sensíveis podem ocorrer abusos em todas as fases — desde a coleta até o tratamento e armazenamento das informações em âmbito corporativo. Essa vulnerabilidade também incentiva a atuação desregulada de empresas não especializadas e até órgãos públicos que não estão devidamente preparados para lidar com essa questão.
É, portanto, imprescindível e urgente a adoção de medidas de segurança que privilegiem essa proteção de dados e, consequentemente, da privacidade dos usuários, principalmente nesse contexto em que houve a explosão do uso de canais digitais e modelos de trabalho remoto para minimizar o efeito da pandemia na rotina das pessoas.
A Lei Geral de Proteção de Dados não deve representar um ônus organizacional, mas um direcionamento para que as políticas adotadas pelas empresas para minimizar o risco de exposição de dados pessoais sensíveis de terceiros tenham validade jurídica. Por isso, deve ser aplicada o quanto antes, mesmo que ocorra o adiamento do prazo pelo Governo Federal.
Veja como criar uma gestão de riscos e garanta mais segurança aos processos das sua empresa!
