Como evitar multas milionárias em sua empresa.
O que é LGPD, política de privacidade e como adequar sua empresa à lei de proteção de dados.
A LGPD (Lei Geral de Proteção de Dados) foi criada para estabelecer direitos legais sobre o armazenamento, coleta e tratamento de dados com base semelhante à GDPR (General Data Protection Regulation) da União Europeia.
Um exemplo recente da importância da regulamentação desse tipo de regulamentação para o tratamento de dados foram os escândalos envolvendo o Facebook e a Cambridge Analityca, onde dados sensíveis de milhões de usuários da plataforma foram transacionados e utilizados para impulsionar campanhas de eleições presidenciais nos Estados Unidos. Esse fato isolado ilustra de forma categórica como dados pessoais podem ser utilizados para fins egóicos e empresariais. Porém, os exemplos de exploração dessas informações não se limitam a movimentos políticos, já que podem ser utilizadas de infinitas maneiras comerciais ou de manipulação de massa.
Sancionada em 2018, a Lei Geral de Proteção de Dados entrou em vigor a partir de 2020, renovando o estabelecido pela lei n° 12.965, de 23 de abril de 2014 – chamada de Marco Civil da Internet. A partir dessas atualizações foram implementadas medidas severas de punição para órgãos e companhias que não atendam às suas linhas, imputando em penas severas como: multas diárias, suspensão do funcionamento do banco de dados, suspensão e proibição da atividade de tratamento de dados e multas equivalentes a 2% do faturamento da empresa (por infração).
Por se tratar de uma legislação recente, ainda existem muitas dúvidas e pontos vagos sobre sua jurisdição, que pode tratar indiscriminadamente atos culposos e dolosos, o que ressalta a importância da obediência de empresas às suas diretrizes. Neste artigo, buscamos esclarecer (de maneira concisa e informativa) o que são dados e como uma empresa pode se comportar para evitar prejuízos que potencialmente levariam ao fim de seu exercício.
O que são dados?
A LGPD define como dado aquelas informações que identificam ou permitam a identificação de uma pessoa, e portanto, existem distinções de dados em categorias. Sendo assim, dados podem ser definidos como dados pessoais, dados sensíveis e dados anonimizados. Para este artigo trataremos apenas dos dois primeiros conceitos:
Dados pessoais, são informações de pessoas naturais vivas que de forma direta ou indireta identificam um indivíduo. A identificação de maneira direta é feita de forma imediata (por exemplo: um cliente ao fazer uma compra fornece seus dados cadastrais como CPF, RG, nome completo, etc.). Já a segunda forma, identifica o indivíduo através de dados pelos quais é possível alcançar essas informações primárias (por exemplo: em outro processo cadastral esse cliente poderia informar sua profissão, endereço residencial ou profissional, gênero, etc.) – ou seja, ocorre através da associação de informações que isoladamente não seriam suficientes para tal identificação.
Dados pessoais sensíveis, são todos aqueles que sua divulgação poderia causar discriminação a uma pessoa, e por isso devem ser tratados com maior proteção. Esses dados envolvem informações do tipo étnico, religioso, político-partidário, informações médicas, orientação sexual, etc. Um exemplo ilustrativo seria o resultado de um exame médico contendo informações sobre doenças sexualmente transmissíveis, que se divulgadas poderiam gerar constrangimento e discriminação ao seu titular. Devemos ressaltar que dados sensíveis somente podem ser tratados por meio de um consentimento explícito de seu titular.
A LGPD limita o tratamento de dados por meio de uma lista com 10 bases legais, de modo que o armazenamento de dados por uma empresa somente pode ser realizado quando amparado por pelo menos uma dessas bases:
- Consentimento do titular;
- Obrigação legal;
- Administração Pública;
- Órgãos de pesquisa – sem fins lucrativos;
- Execução de contrato;
- Processo judicial, administrativo ou arbitral;
- Proteção da vida ou incolumidade do titular ou de terceiros;
- Tutela da saúde;
- Interesse legítimo;
- Proteção de crédito.
Apesar de haver ainda pontos pouco esclarecidos sobre algumas dessas bases (o que aponta para a fragilidade e imaturidade da lei), a legislação considera a partir delas o que seria um tratamento legal ou ilegal de dados.
Como adequar sua empresa às normas da LGPD
Para atender aos requisitos estipulados pela LGPD é necessário indicar um comitê responsável pela análise e estabelecimento de um caminho dos dados de sua empresa. Para isso, é necessário apontar quem são os agentes encarregados pelo tratamento de dados pessoais de acordo com o estabelecido pelos guias da ANPD – Autoridade Nacional de Proteção de Dados.
Não existe uma fórmula única que estabeleça esse mapeamento de dados, visto que existem combinações diversas de informações e finalidades para seu tratamento. Contudo, é recomendado o estabelecimento e publicação de uma política de privacidade, para que seus clientes conheçam os processos e seus direitos dentro das operações individuais das empresas. Para isso, apontamos uma série de passos que podem ser trilhados para o estabelecimento de uma política de privacidade:
- Estabelecer quem é o controlador de dados, seus encarregados, quem são os seus operadores (o mesmo vale para situações onde há um operador único) e por quanto tempo serão armazenadas as informações;
- Esclarecer quais os tipos de dados coletados e como é feita a coleta;
- Apontar quem pode ter acesso aos dados e indicar as finalidades e bases legais para seu tratamento;
- Informar se há o compartilhamento destes dados com terceiros;
- Educar os titulares quanto aos seus direitos e oferecer um canal de comunicação entre eles e a empresa.
Esses passos são uma orientação geral de como essa política deve ser estabelecida, devendo o comitê de Segurança da Informação da empresa adequar essas normativas de acordo com o exercício final do grupo.
A partir das informações colhidas neste artigo pode-se dar início ao processo de adequação ao regimento da LGPD, estabelecendo assim não somente uma relação mais transparente com o público, mas também assegurar uma medida extra de segurança da informação dentro da companhia.
Estabelecer essas medidas de segurança são essenciais para evitar vazamento de dados e demais prejuízos decorrentes de uma cibersegurança fraca. Para definitivamente garantir a proteção dos dados de sua empresa, a medida mais eficiente e recomendada por profissionais da área é a realização de um pentest, e nós da Guardsi Cybersecurity contamos com os melhores profissionais disponíveis para garantir que sua empresa não sofra as consequências negativas que podem decorrer de um tratamento de dados disfuncional. Acesse nosso site e conheça nossas soluções em cibersegurança: www.guardsi.com.br.