Há quem diga que os dados são o novo petróleo. E, nos últimos tempos, vivemos momentos desafiadores ao pensar nos casos de vazamento de dados pessoais que têm ocorrido no Brasil. Depois do episódio das senhas de sistemas do Ministério da Saúde fazer com que cerca de 16 milhões de brasileiros que tiveram diagnóstico suspeito ou confirmado de covid-19 sofressem por quase um mês com seus dados pessoais e médicos expostos na internet, houve uma nova falha do Ministério da Saúde, que expôs os dados de cerca de 243 milhões de pessoas, incluindo algumas que já morreram, cadastradas no Sistema Único de Saúde (SUS). Estes casos só reforçam a importância da Lei Geral de Proteção de Dados (LGPD).
Apesar de muitas reviravoltas desde o pontapé inicial de sua vigência até a chegada de 2021, é somente agora que as penalidades da lei entrarão em vigor – no mês de agosto. Poderão ocorrer desde advertências até multas de 2% do faturamento, chegando à possibilidade do Regulador de Proteção de Dados (RPD) aplicar penalidade de suspensão do tratamento de dados. Assim, percebe-se que, em 2021, o grande jogo será de que modo a autoridade nacional agirá diante da possibilidade da aplicação da lei.
Quando se trata de organizações, é preciso lembrar sobre a responsabilidade pelo uso de dados: todo o fluxo deve ser sempre mapeado, para que possa ser traçado o caminho no qual os dados pessoais que a empresa recebe será percorrido dentro da empresa. A rastreabilidade e mecanismos de controle fazem parte de uma política de gestão de segurança das informações e, a esse conjunto de proteção e regras, chamamos de Compliance de Proteção de Dados, ou Governança em Privacidade, como a lei se refere.
LGPD e o setor de TI
Diversos valores fundamentam a Lei e os novos comportamentos das empresas, principalmente as do ramo de tecnologia e TI, como o respeito à privacidade, inviolabilidade da intimidade, da honra e da imagem, o desenvolvimento econômico, tecnológico e a inovação; ao feri-los, a legislação prevê multas agressivas.
É fato que as empresas desse segmento sempre investiram em proteção dos dados, mas, com a LGPD, rever processos e aumentar a segurança de plataformas foi essencial. Nesse processo, a empresa pode se enquadrar como Controladora, tomando decisões sobre o tratamento dos dados; ou Operadora, efetuando tratamento em nome da Controladora.
Além disso, como forma de aprimorar os procedimentos de segurança da informação, é importante também usar metodologias, como a ISO (International Organization for Standardization) e o CMMI (Capability Maturity Model Integration), que utilizam processos de acordo com a realidade da empresa. Ambos possuem protocolos, normas e certificações para estabelecer modelos exemplares de gestão e melhores práticas, que garantem os selos de qualidade e passam mais segurança a seus clientes quanto ao cumprimento das regras.
Leia neste artigo como funciona a criptografia de dados.
Como fica a situação para a telecom
Quando falamos da nova legislação, ela se aplica a qualquer pessoa física ou jurídica, pública ou privada que lide com dados pessoais, incluindo as empresas de telecom e provedores de internet. Segundo a Anatel (Agência Nacional de Telecomunicações), existem mais de 32 milhões de contratos de banda larga fixa no Brasil, atualmente e, para elas, a nova lei não distingue tamanho de empreendimento ou volume de dados, todas precisam estar adequadas às normas, sejam quais forem os dados manuseados: nome e apelido, endereço, e-mail, número de cartões, número de IP, localização e cookies. Além disso, as operadoras de telecomunicações também serão responsáveis pelo uso irregular de dados por parceiros ou empresas terceirizadas.
Por esse motivo, é imprescindível manter a segurança dos dados de modo cada vez mais criterioso. As empresas que não estiverem em conformidade com a LGPD e tiverem algum imprevisto com a proteção dos dados de seus clientes, além de perderem competitividade no mercado, correm grandes riscos de sofrerem sanções.
Os bancos de dados têm papel importante
A LGPD traz às empresas a necessidade de novas listas de bancos de dados, separadas por dois segmentos: usuários que consentem a utilização de seus dados e outra de usuários que não. Além de deixar clara a necessidade de que o usuário dê o consentimento para ser classificado de uma ou outra lista.
A segurança desse banco de dados também é fator primordial. Como as empresas não poderão utilizar os dados dos usuários sem consentimento, será tarefa delas garantir a segurança deles, deixando todos seguros de não sofrerão ataques de hackers – ou farão o máximo possível para tal.
Hoje, sabemos que a economia digital está baseada na confiança. Todas as organizações que estiverem fora da adequação à nova lei perderão credibilidade e, provavelmente, deixarão de ter sustentabilidade em seus negócios. Se adequar à LGPD trará grandes retornos para as empresas, sejam operacionais, na organização interna e, principalmente, na transparência de relações comerciais e confiança de seus consumidores.
Fique por dentro das palavras e termos-chave que dão suporte à Lei Geral de Proteção de Dados Pessoais:
| Agentes de tratamento: | o controlador e o operador |
| Anonimização: | utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo |
| Autoridade nacional: | órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional |
| Banco de dados: | conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico |
| Bloqueio: | suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados |
| Consentimento: | manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada |
| Controlador: | pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais |
| Dado anonimizado: | dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento |
| Dado pessoal: | informação relacionada à pessoa natural identificada ou identificável |
| Dado pessoal de criança e de adolescente: | o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança |
| Dado pessoal sensível: | dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural |
| Eliminação: | exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado |
| Encarregado: | pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) |
| Garantia da segurança da informação: | capacidade de sistemas e organizações assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação |
| Garantia da segurança de dados: | ver garantia da segurança da informação |
| Interoperabilidade: | capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING) |
| Operador: | pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador |
| Órgão de pesquisa: | órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico |
| Relatório de impacto à proteção de dados pessoais: | documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco |
| Titular: | pessoa natural a quem se referem os dados pessoais que são objeto de tratamento |
| Transferência internacional de dados: | transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro |
| Tratamento: | toda operação realizada com dados pessoais; como as que se referem a: acesso, armazenamento, arquivamento, avaliação, classificação, coleta, comunicação, controle, difusão, distribuição, eliminação, extração, modificação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização |
| Uso compartilhado de dados: | comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados |
Veja como você pode evitar vazamento de dados da sua empresa com essas dicas que separamos neste artigo.
Fonte: Serviço Federal de Processamento de Dados
(https://www.serpro.gov.br/lgpd/menu/a-lgpd/glossario-lgpd)
