Como se adequar à Lei Geral de Proteção de dados (LGPD)?


As normas da LGPD mudam a manipulação dos dados
Redfox

Prevista para vigorar em 2020, a Lei Geral de Proteção de Dados (LGPD) impôs uma missão para as empresas que trabalham com informações pessoais: adequar suas estratégias para fornecer maior segurança no tratamento do conteúdo obtido. Enquanto alguns setores já procuram atualizar os processos, outros ainda buscam entender melhor quais são as normas da LGPD.

Segundo Julio Divietro, gerente de Produtos da EsyWorld, a lei prevê uma sanção de até 2% do faturamento das empresas que não estiverem em conformidade, o que pode mexer com os negócios e, em casos mais graves, levar à falência. Por isso, o mercado passou a se movimentar rapidamente para melhorar a proteção dos dados, principalmente as áreas que recebem mais impacto. “Em termos de importância, o setor financeiro e a área de saúde são os primeiros a serem afetados, porque são os que mais manipulam informações pessoais, como dados bancários e dados do estado de saúde. Empresas da área jurídica, como escritórios de advocacias que trabalham com informações sigilosas, também devem se preocupar bastante com a LGPD”, afirma.

Rafael de Carvalho Morales, diretor da TBL Manager, afirma que o setor financeiro é o mais adiantado na readequação e contextualiza como o Banco Central contribuiu nesse contexto. “A área financeira está trabalhando de forma sistemática para adequar os processos em relação à segurança da informação, principalmente porque o Banco Central criou normas para padronizar a atuação do setor. Há uma demanda muito séria para que os fornecedores se adequem e estejam em conformidade com as normas da LGPD. Mesmo entrando em vigor só em 2020, tenho clientes que já cobram que a minha assessoria esteja em conformidade até o fim do ano”.

Por outro lado, ele compreende que a maioria dos setores ainda está confusa e busca informações com as assessorias e profissionais especializados. “Empresas da área da saúde, por exemplo, já me contataram para entender o processo. Não é uma questão de olhar apenas para a empresa em si, mas há toda uma cadeia que é impactada, como o fornecedor e o parceiro com acesso ao dado. Tudo isso precisa ser compreendido e muito bem alinhado para não tomar tempo ou causar gargalos na segurança”.

Márcio Cots, diretor jurídico da Associação Brasileira de Comércio Eletrônico (ABComm) , cita que a Lei Geral de Proteção de Dados prevê dez possibilidades oficiais de utilização dos dados, dentre as quais ele elenca o consentimento direto do titular, o repasse dos dados para questões de emissão fiscal de notas, cumprimento de obrigações legais e aplicação das informações em contratos. “Mesmo que você consiga se encaixar em uma das possibilidades não quer dizer que você pode fazer o que bem entende. Você ainda tem que seguir vários processos e restrições e as empresas precisam se adaptar à nova realidade da lei”, ele ressalta.

Como as empresas devem reforçar a segurança dos dados?

O ponto central Lei Geral de Proteção de dados é a segurança das informações pessoais dos clientes. As estratégias visam adequar toda a política interna e externa para evitar vazamentos e roubos de informações sigilosas, como explica Morales. “A premissa é que todas as empresas e fornecedores com acesso aos dados precisam comprovar a origem e a veracidade deles. Para isso, devem contar com instrumentos tecnológicos eficientes e uma boa gestão de processos. Os planos de ação devem ser documentados para promover a segurança e tratamento dos dados, que vão ter que ser declarados e apresentados”.

Como consequência, as empresas precisam mexer no custo orçamentário de caixa, principalmente quem ainda não se preocupava com a segurança de dados. “As instituições vão precisar contratar profissionais especializados ou consultorias relacionadas à questão para tratar do assunto de forma apropriada. Isso acaba impactando em um custo que não era previsto, mas, como a lei já vinha sendo discutida há algum tempo, as empresas ganharam tempo para isso”.

Divietro também acredita que a estratégia mais viável é recorrer aos serviços de assessorias e especialistas, que estão capacitados para avaliar toda a cadeia a ser alterada. “A minha sugestão para as organizações é elas tenham um comitê e dediquem um grupo de pessoas ou um titular para entender todos os termos da lei. Um segundo ponto é se preocupar com as questões principais da LGPD: pessoas, processos e tecnologia”.

Para Divietro, as instituições devem analisar quais são os processos internos que movimentam as informações e verificar quem são as pessoas que têm acesso a elas. Então, deve haver uma medida que estipule como os funcionários podem manipulá-las, desde o processo da captação dos dados até a utilização final delas. “As pessoas devem ter o real entendimento do consentimento e o que podem ou não fazer no processo. Existem tecnologias que ajudam a empresa a garantir que as informações não sofram alterações, que tenham o devido grau de segurança para se manterem legítimas e não sejam capturadas por invasores, mas a equipe também deve ter cuidado na manipulação”, ele explica.

O gerente de produtos da Esy World elenca algumas tecnologias que ajudam no processo. “Para conseguir proteger os dados contra a iminência de roubos e alterações, é importante que esses dados tenham uma cópia de segurança e estejam replicados. Falamos de backup e proteção direta dos dados a partir de soluções de firewall. Trabalhamos com tecnologia de backup, criptologia da informação e prevenção de fuga, além de criar parâmetros para garantir que o funcionário não passe a informação para fora da empresa, com políticas de prevenção de perdas e dados e cópia segura. Vemos como ponto importante também o fornecedor, que também precisa ter as mesmas garantias de segurança quando lidam com os dados da empresa”.

Quais são as boas práticas para se adequar às normas da LGPD?

Se as empresas estão se movimentando para entender sobre os processos de segurança de dados e à Lei Geral de Proteção de Dados, elas também buscam guias de estratégias para colocar as medidas em prática. Para Cots, o passo a passo é basicamente identificar quais são os gaps dos processos. “A empresa precisa fazer levantamento dos dados, identificar o que é dado virtual ou não e compreender a base legal das possibilidades de utilização. Só depois deve começar a alterar os processos internos, com documentos e propostas que vão ajudar no dia a dia. E claro, focar na capacitação dos colaboradores”, ele lista.

Uma ação estratégica, segundo Divietro, é filtrar quais informações dos usuários devem ser realmente capturadas, a partir da relevância para as atividades da empresa. “Se não traz riscos, eu nem coleto porque são mais dados na minha jurisprudência que preciso manter atualizado. Se o cliente pedir para mudar, eu preciso atualizar na base da minha empresa e também em qualquer entidade que use aquela informação. Quando eu alterar o dado na origem, ele precisa ser atualizado na cadeia”, ele pontua, citando quatro passos estratégicos para a adequação às normas da LGPD:

1º) formar uma equipe para trabalhar com os processos ligados à lei, determinando quem será o DPO ou encarregado de proteção de dados (EPD);

2º) mapear os processos em relação ao manuseio das informações (quem coleta, como e onde armazenar, quem pode alterar os dados, quem são os parceiros que manipulam as informações, plano de resposta a incidentes etc.);

Redfox

3º) definir as tecnologias de apoio para garantir o cumprimento da lei e evitar comprometimento dos dados armazenados (plataformas de backup, proteção de rede e end point, criptografia, transmissão segura de dados, solução de DLP, entre outras);

4º) auditar o cumprimento dos requisitos com testes de invasão e dos ambientes de segurança, revendo as políticas de acesso constantemente e auditando o ambiente dos parceiros diretos.

As normas da Como se adequar àLei Geral de Proteção de dados (LGPD) também podem ser alcançadas com as dicas de Morales. “As empresas devem desenvolver uma política de segurança cibernética, um plano de ação de respostas a incidentes, um plano de ação para continuidade de negócios e os requisitos para contratação de serviços terceirizados e em nuvem. A normativa cita a importância da conscientização, treinamento e avaliação de pessoal dentro da instituição financeira. Por isso, é também essencial a implementação de programas de conscientização e avaliação periódica de pessoas, além do comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados à segurança cibernética”.

Comments 0

Your email address will not be published. Required fields are marked *

Como se adequar à Lei Geral de Proteção de dados (LGPD)?

Entrar

Don't have an account?
sign up

reset password

Back to
Entrar

sign up

Back to
Entrar
Choose A Format
Personality quiz
Series of questions that intends to reveal something about the personality
Trivia quiz
Series of questions with right and wrong answers that intends to check knowledge
Poll
Voting to make decisions or determine opinions
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Open List
Submit your own item and vote up for the best submission
Ranked List
Upvote or downvote to decide the best list item
Meme
Upload your own images to make custom memes
Video
Youtube, Vimeo or Vine Embeds
Audio
Soundcloud or Mixcloud Embeds
Image
Photo or GIF
Gif
GIF format