fbpx
Segurança

Como proteger dados pessoais sensíveis na sua empresa? Conheça a LGPD!

O crescimento dos modelos de negócio digitais e a digitalização de processos nas empresas potencializaram a discussão sobre a privacidade de dados sensíveis e a segurança de dados corporativos. A demanda por segurança digital é evidenciada pelo home office, o uso de redes privadas (VPN) e estratégias como o BYOD (Bring Your Own Device).

Isso, porque juntamente com a digitalização multiplicaram-se os riscos associados ao uso indevido dos dados pessoais de terceiros, incorridos pela perda e roubo de informações em softwares, hardwares e servidores. O fato é que há uma enorme fonte de informações disponível, mas os recursos que antes restringiam o acesso a esses dados nos ambientes controlados pelas empresas não estão disponíveis nas casas dos trabalhadores.

Neste artigo discutimos a LGPD e o que sua empresa deve fazer para garantir privacidade aos dados pessoais sensíveis de terceiros. Confira!

O que é a LGPD?

A Lei Geral de Proteção de Dados (LGPD)Lei nº 13.709/2018, sancionada antes da crise, mas alterada em função dela, é um norte para as políticas de segurança de dados implantadas em ambientes corporativos.

Relaciona-se à adequação quanto a coleta, tratamento, uso e armazenamento de informações e abrange outros aspectos não regulamentados pelo Marco Civil da Internet, o Código de Defesa do Consumidor ou a Lei de Acesso à Informação.

Inicialmente, a LGPD passaria a vigorar em agosto de 2020. Mas a vigência da lei foi adiada em um ano no pacote de medidas adotadas pelo Governo com o estado de calamidade pública imposto pela pandemia causada pelo novo coronavírus no Brasil.

Por meio da edição da medida provisória 959/20, o presidente estabeleceu a data limite para adequação das empresas em 03 de maio de 2021. Esse prazo realmente entrará em vigor com a aprovação da MP pelo Congresso, do contrário, será aplicada ainda em agosto de 2020.

O objetivo da LGPD é proteger dados pessoais sensíveis e garantir privacidade às pessoas em processos e rotinas que exigem informações e documentações como RG, CPF, certidões de nascimento, casamento, óbito etc., assim como endereço e números de cartão de crédito.

As sanções previstas na lei são aplicáveis aos agentes públicos e privados, que atuam na esfera física ou digital:

  • pessoas jurídicas com sede no país;
  • empresas multinacionais que atuam no mercado nacional;
  • administração pública;
  • pessoas físicas que atuam como influenciadores digitais (devido à monetização de conteúdo que usa dados pessoais sensíveis de seguidores);
  • profissionais liberais autônomos, como médicos e advogados.

Como é possível garantir proteção às informações coletadas?

A LGPD exige a autorização do proprietário da informação, por meio da assinatura de um termo de consentimento. Para isso, a empresa deve explicar os motivos pelos quais realizou a coleta de dados e a finalidade do processo.

Para se preparar e garantir a real proteção dos dados coletados, os responsáveis pela aplicação das mudanças nas empresas devem mapear os processos que envolvem essas informações sensíveis e assegurar a conformidade com as restrições e adequações impostas pela lei.

Isso, porque o controle e a segurança dos dados é de responsabilidade da detentora, o que significa que as empresas que os utilizarão devem assegurar requisitos como integridade e confidencialidade no trato dessas informações e estabelecer regras rígidas para o fluxo de trabalho no ambiente corporativo:

  • verificar todos os dados pessoais sensíveis armazenados no banco de dados da empresa, mesmo que eles tenham sido coletados antes da aplicação da lei;
  • rever as medidas a serem adotadas na gestão de contratos (inclusive os que já foram assinados);
  • controlar com mais eficiência o acesso às redes sociais, site institucional e rede da empresa — o usuário deve ser informado sobre a política de privacidade adotada, que confere mais transparência ao processamento de dados de terceiros;
  • adotar medidas de segurança da informação em softwares corporativos (ERP — Enterprise Resource Planning, CRM — Customer Relationship Management, entre outros);
  • aumentar a rigidez de políticas como BYOD e em dispositivos móveis que integram os ativos de TI da empresa;
  • definir uma equipe de trabalho que se responsabilize por todas essas questões de adequação da empresa quanto ao compliance exigido pela nova lei.

A implementação das regras impostas de LGPD e a devida adequação de processos organizacionais é um longo caminho que demanda ações multidisciplinares em todos os departamentos da empresa, desde o setor de TI até a área de produtos, e o comprometimento de todos é essencial.

Quais as sanções previstas pela falta de adequação?

A Autoridade Nacional de Proteção de Dados (ANPD) foi criada por uma medida provisória e tem como objetivo fiscalizar, verificar denúncias e punir empresas e órgãos públicos que não atuarem sob o rigor da lei.

O descumprimento da LGPD implicará na advertência e na aplicação de sanções, como multas fixas (até 2% do faturamento, desde que não ultrapasse o teto de R$ 50 milhões) e multas diárias, conforme o grau da ofensa, às instituições privadas.

Aos agente públicos a tratativa inclui punições administrativas, uma vez que o uso indevido de dados pessoais sensíveis de terceiros poderá ser classificada como improbidade administrativa.

A ANPD reunirá 23 integrantes indicados pela Presidência da República, Congresso nacional, Conselho Nacional de Justiça, Conselho Nacional do Ministério Público, Comitê Gestor da Internet no Brasil e a sociedade civil, representada por entidades empresariais, instituições científicas, entidades trabalhistas e confederações sindicais.

Investir em segurança digital é fundamental nesse processo de adequação das empresas, bem como o estabelecimento regras rígidas relacionadas ao compliance e treinamento de todos os agentes que compõem as equipes de trabalho que lidam com dados pessoais sensíveis de terceiros.

Sem uma lei que referencia os processos relacionados à utilização de dados sensíveis podem ocorrer abusos em todas as fases — desde a coleta até o tratamento e armazenamento das informações em âmbito corporativo. Essa vulnerabilidade também incentiva a atuação desregulada de empresas não especializadas e até órgãos públicos que não estão devidamente preparados para lidar com essa questão.

É, portanto, imprescindível e urgente a adoção de medidas de segurança que privilegiem essa proteção de dados e, consequentemente, da privacidade dos usuários, principalmente nesse contexto em que houve a explosão do uso de canais digitais e modelos de trabalho remoto para minimizar o efeito da pandemia na rotina das pessoas.

A Lei Geral de Proteção de Dados não deve representar um ônus organizacional, mas um direcionamento para que as políticas adotadas pelas empresas para minimizar o risco de exposição de dados pessoais sensíveis de terceiros tenham validade jurídica. Por isso, deve ser aplicada o quanto antes, mesmo que ocorra o adiamento do prazo pelo Governo Federal.

Veja como criar uma gestão de riscos e garanta mais segurança aos processos das sua empresa!