A adequação da LGPD é um tema cada vez mais frequente no Brasil, visto que suas penalidades entraram em vigor em agosto de 2021.
Sancionada em 2018, a Lei Geral de Proteção de Dados Pessoais promove novas regras para negócios que atuam com a coleta, uso e compartilhamento de dados pessoais.
Segundo uma pesquisa realizada pela RD Station, apenas 15% das empresas que conhecem sobre a LGPD estão adequadas às exigências da lei.
Um dos motivos pode ser o fato de que, apesar de obrigatório, esse processo pode não ser tão simples para as corporações.
Pensando nisso, criamos este artigo para te apresentar as principais medidas e informações para se adequar à LGPD. Aproveite!
O que é adequação da LGPD?
A Lei 13.709, conhecida como Lei Geral de Proteção de Dados (LGPD) foi criada para adequar a atividade das empresas brasileiras aos padrões globais de segurança de dados.
Seu objetivo principal é regulamentar e padronizar práticas relacionadas ao uso e armazenamento de dados pessoais.
De acordo com a LGPD, independente da localização geográfica do negócio ou seu centro de dados, o processamento de informações de pessoas em território brasileiro deve seguir suas regulamentações.
Para se adequar à lei, é necessário garantir o controle e privacidade no uso dos dados, evitando incidentes que ameacem a integridade dos seus titulares.
Além disso, todo o processo de coleta, utilização, armazenamento e transferência de informações pessoais deve ser mais transparente.
Dessa forma, garantindo um maior controle dos cidadãos em relação às informações disponibilizadas por eles às empresas.
Como surgiu a LGPD?
A Lei Geral de Proteção de Dados é resultado de um movimento de adequação às normas internacionais de segurança da informação.
Em meio ao crescimento progressivo no número de ciberataques, a LGPD surgiu como um esforço para combater crimes online e suas consequências.
Segundo um relatório da Norton Cyber Security, de 2017, o Brasil fica atrás apenas da China em prejuízos com ciberataques.
Na América Latina, o País sai na frente com mais de 5 milhões de tentativas de ataque cibernético.
Portanto, buscar respostas para questões de segurança virtual se tornou cada vez mais necessário.
GDPR
A GDPR (General Data Protection Regulation, ou Regulamento Geral sobre a Proteção de Dados em português) foi pioneira na proteção e privacidade de dados pessoais.
Aplicável a todos os indivíduos da União Europeia e Espaço Econômico Europeu, ela inspirou outros continentes e países a agirem de modo semelhante.
A GDPR foi proposta em 2012, publicada em abril de 2016, mas teve sua implementação em maio de 2018.
No Brasil, a criação da LGPD em 2018 foi um passo fundamental para o combate de crimes virtuais e proteção de dados.
Como funciona a LGPD?
A LGPD coloca os indivíduos no controle das suas informações para que eles possam escolher como e quando compartilhar seus dados para fins específicos de empresas.
Com ela, também torna-se possível modificá-los, transportá-los ou excluí-los a qualquer momento de forma simplificada.
Em resumo, os usuários devem permitir, de forma explícita e consciente, o uso das informações para fins específicos.
E para isso ser possível, cabe às empresas informarem devidamente suas intenções de uso dos dados, além de oferecerem meios para o controle dos seus titulares a qualquer momento.
Inicialmente, a Autoridade Nacional de Proteção de Dados (ANPD) agiu com uma conduta de monitoramento, orientação, prevenção e repressão de infrações.
Porém é preciso que as empresas e órgãos públicos se mostrem empenhados na implementação das novas medidas.
Desde agosto de 2021, as medidas punitivas já podem ser aplicadas aos negócios que não estiverem em processo avançado de adequação da LGPD.
Dados pessoais para a LGPD
A LGPD também define o que são dados pessoais e quais deles estão sujeitos a cuidados mais específicos, como os financeiros e relacionados às crianças e adolescentes.
Segundo a lei, são considerados dados pessoais informações relacionadas a pessoas físicas, que também as coloquem em situação de identificação, como:
- CPF, nome completo ou foto;
- Endereço;
- Localizações frequentes.
Portanto, o consentimento dos titulares é um ponto essencial para a lei.
Como a LGPD impacta os negócios?
A LGPD impacta diretamente setores empresariais como marketing, TI, comercial e jurídico.
Afinal, cabe às empresas a obrigação de informar os motivos do armazenamento dos dados de modo claro para todos os seus usuários e clientes.
Isso significa que estratégias como uso de letras pequenas ou termos que exigem a leitura de várias páginas estão proibidos.
A justificativa, portanto, deve descrever de forma clara como e por quanto tempo a empresa ficará com os dados.
Além disso, as empresas devem oferecer meios para o controle dos dados pelo titular a qualquer momento.
Outro ponto importante é que, no caso de vazamentos ou mudanças no tratamento das informações, os indivíduos devem ser notificados imediatamente.
Também cabe aos negócios implantar um plano de formação e conscientização sobre a importância da privacidade de dados para os colaboradores envolvidos no processamento de dados.
Ainda segundo a Lei Geral de Proteção de Dados, é preciso designar um encarregado responsável por interagir com o público e a ANPD.
Qual é a importância das empresas de adequarem a LGPD?
Se adequar à LGPD garante que os processos das empresas se tornem mais confiáveis tanto na visão dos órgãos públicos quanto dos consumidores.
Afinal, com a certeza de que o negócio cumpre com padrões mínimos de qualidade, os riscos de sofrer com incidentes de segurança são muito menores.
Ao mesmo tempo, evitam-se as consequências negativas que ameaçam a saúde financeira e imagem da empresa no mercado.
Com o início da fase punitiva da lei em agosto de 2021,vários negócios já estão sofrendo sanções por conta de problemas com segurança da informação.
O prejuízo pode impactar bastante as corporações, sendo de 2% do faturamento com limite de R$50 milhões.
Portanto, para que sua marca não fique conhecida pelo vazamento de dados pessoais dos seus clientes, é importante se atentar à adequação da LGPD.
Qual o prazo para adequação da LGPD?
Lançada em 2018, a Lei Geral de Proteção de Dados Pessoais passou a valer em setembro de 2020.
Nesse momento, apenas uma conduta de fiscalização, acompanhamento e orientação foi tomada.
No entanto, desde agosto de 2021, as punições previstas para quem não cumprir com a lei já começaram a ser aplicadas.
Apesar de existirem projetos de lei buscando prorrogar a data de entrada em vigor da LGPD, não há garantia de que eles serão levados em consideração.
Sendo assim, torna-se ainda mais urgente a adequação da LGPD para evitar lidar com punições financeiras que comprometam a saúde do negócio.
Dependendo do porte e capacidade de investimento da empresa, a implementação dos
ajustes necessários podem ocorrer em até 14 meses.
Consequências das empresas não se adequarem à LGPD
Além da multa, a LGPD também pode aplicar outras formas de sanções administrativas, como:
- Advertência, com prazo para adoção de medidas corretivas;
- Multa simples (até 2% do faturamento);
- Multa diária;
- Publicização da infração após sua apuração e confirmação;
- Bloqueio dos dados pessoais a que se refere a infração;
- Eliminação dos dados pessoais a que se refere a infração.
Ainda é possível que haja a suspensão parcial do funcionamento do banco de dados onde houve a infração por até 6 meses.
Também existe o risco de suspensão do exercício da atividade de tratamento de dados pessoais por 6 meses, suscetível à prorrogação pelo mesmo período.
E, no pior dos casos, a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Para algumas empresas, tal punição representa o encerramento total das suas atividades principais (core business).
Vale ressaltar que as sanções administrativas previstas pela LGPD também podem punir órgãos públicos, com exceção das multas.
Quais são os principais desafios da adequação à LGPD?
Sem dúvidas, para se adequar às normas da LGPD, as empresas precisam enfrentar alguns desafios.
Com o total vigor da lei, é necessário que os negócios estejam a par das suas obrigações e, no mínimo, em estado avançado de implementação.
Entre os principais esforços relacionados à adequação da LGPD, estão:
Orientação das equipes
Uma das principais ações para promover uma maior segurança da informação nas empresas é a capacitação do time envolvido no uso de dados.
Ao entender as boas práticas relacionadas à essa atividade, os colaboradores conseguem se prevenir de forma muito mais eficiente.
Análise dos sistemas
Se atentar aos princípios da cibersegurança também é de forte relevância no combate aos ataques virtuais.
Entre os principais, está a correta verificação da infraestrutura de TI da empresa para identificar brechas ou fragilidades.
As três avaliações de segurança cibernética são:
- Auditoria de ativos: examina os componentes da rede e determina seus pontos de extremidade;
- Avaliação de risco: identifica o que poderia ocorrer em caso de invasão do banco de dados;
- Avaliação de vulnerabilidade: avalia o nível de proteção da rede contra os tipos de ameaças cibernéticas.
Depois dessas avaliações, é possível ter uma compreensão sólida das suas necessidades, permitindo a busca adequada por soluções.
Adequações para os usuários
A fim de garantir o direito dos usuários de terem total consciência no momento de repasse de dados, é preciso que as empresas tomem algumas medidas.
É preciso sinalizar de forma clara e objetiva sobre o uso de dados pelo negócio, além da finalidade do armazenamento dessas informações.
Além disso, deve-se oferecer meios para que os titulares tenham acesso aos seus dados e possam removê-los de forma imediata, caso queiram.
Como implementar a adequação LGPD em sua empresa?
Em meio às informações apresentadas anteriormente, fica clara a importância de montar um plano de adequação à LGPD.
Para superar os desafios da implementação das normas da LGPD, é importante entender quais as obrigações legais a serem seguidas
Assim, garantindo que todo o time envolvido no processamento de dados tenha consciência delas e atue para prevenir incidentes e ataques.
Sabendo disso, existem uma série de ações necessárias para total adequação à LGPD. São elas:
Defina os profissionais responsáveis
O planejamento para a adequação da LGPD pode incluir a necessidade de contratações ou definições de equipes especializadas.
Os profissionais envolvidos no tratamento de dados pessoais são:
- Controlador: responsável pelas decisões sobre o tratamento de dados pessoais;
- Operador: faz o tratamento dessas informações em nome do controlador, seguindo instruções e diretrizes;
- Encarregado: indicado para atuar como intermediário entre os titulares, o controlador e a Autoridade Nacional de Proteção de Dados.
O Controlador e Operador podem atuar para estruturar um programa de compliance com foco na segurança da informação.
O papel do Encarregado, também conhecido como Data Protection Officer (DPO), deve ser preservar a tomada de boas práticas na empresa.
Sendo assim, é ele quem fica responsável por aceitar reclamações, fazer comunicações aos titulares, orientar funcionários e prestar esclarecimentos.
Para exercer tais procedimentos, o Encarregado deve contar com orçamento próprio e acesso aos órgãos de gestão da empresa.
Recomenda-se que esse profissional seja especializado em proteção de dados, governança e segurança da informação e domine as normas da LGPD.
No entanto, caso a empresa não possa contar com um time interno, é totalmente possível buscar pela ajuda de uma equipe especializada.
Dessa forma, facilitando a estruturação e implementação de um plano de adequação à Lei Geral de Proteção de Dados.
Reavalie as operações com dados
Para adequar todas as suas operações ligadas ao tratamento de dados, é importante definir um trabalho de revisão e readequação do que já existe.
Seja o processo de solicitação de armazenamento de dados ou os Termos de Uso e Políticas de Privacidade de um site, é necessário avaliar tudo.
Assim, você evita que sua empresa descumpra os princípios da LGPD por ter deixado de lado alguma operação.
Faça um Relatório de Impacto à Proteção de Dados
Segundo o art. 5º da LGPD, o Relatório de Impacto é o documento com a descrição de todos os processos de tratamento de dados pessoais.
Direcionado ao Controlador, ele define os procedimentos que podem gerar riscos, além das medidas e ações para mitigação de risco.
Ou seja, em resumo, o Relatório de Impacto à Proteção de Dados deve conter:
- Descrição dos tipos de dados coletados;
- Metodologia usada para a coleta e garantia de segurança;
- Análise do Controlador quanto às medidas de mitigação de riscos.
Por conta disso, é importante produzi-lo antes de começar o tratamento de dados segundo as normas da LGPD.
Mapeie seus dados e verifique a segurança
O trabalho de mapeamento dos dados pessoais armazenados pela empresa deve ser realizado por uma equipe especializada.
Afinal, são investigados todos os departamentos e processos que atuam com a coleta de dados.
Em geral, a construção de um Data Mapping, ou Inventário de Dados, é feita através de entrevistas com os responsáveis pelos processos de coleta de informações.
Nesse caso, os profissionais envolvidos com a área de Tecnologia da Informação (TI) são os mais importantes.
Eles devem esclarecer tudo o que se refere aos tipos de dados coletados, modos de processamento, transferências a terceiros e finalidade do processo.
Com esse mapeamento, torna-se possível entender o ambiente de dados da empresa e, assim, fazer a adequação da LGPD.
Identifique vulnerabilidades
Depois de compreender o nível de segurança da informação dentro do negócio, é possível que algumas inadequações sejam identificadas.
Entre alguns exemplos recorrentes, estão:
- Grande quantidade de pessoas com acesso aos dados pessoais;
- Coleta de dados em excesso;
- Compartilhamento das informações sem controle ou regulação;
- Sistemas de armazenamento com fácil acesso;
- Não existência de firewalls e bloqueios de segurança da informação;
- Não existência de um canal de comunicação para os titulares de dados.
Em certos casos, pode também não haver um profissional oficialmente encarregado pelos dados na organização.
Ou, na pior das hipóteses, o compartilhamento indevido de senhas e comportamento inadequado nos dispositivos da empresa.
A partir da identificação dos possíveis problemas enfrentados pela empresa, o profissional ou empresa especializada começa a atuar.
A função principal destes atores é recomendar os ajustes necessários para que a empresa cumpra com todas as suas obrigações em relação à LGPD.
Como a Vantix Tecnologia pode te ajudar?
A Vantix é especialista em segurança e privacidade de dados, oferecendo uma consultoria totalmente focada na Lei Geral de Proteção de Dados.
Do levantamento de dados à adequação completa, ajudamos sua empresa a estar em conformidade com a lei e evitar prejuízos financeiros.
Com o total vigor da LGPD em agosto de 2021, sua empresa já está atrasada se ainda não começou esse processo.
Pronto para acelerar a adequação da LGPD na sua empresa? Conheça a Consultoria LGPD da Vantix!
Conclusão
Como visto neste artigo, o processo de adequação da LGPD é bastante detalhado e exige um esforço constante das empresas.
Entendendo como as punições em caso de descumprimento da lei podem afetar o seu negócio, não deixe para depois.
Preserve a segurança e a saúde financeira da empresa buscando o quanto antes a adequação da LGPD!
Deixe um comentário