Se você tem uma empresa, independentemente do porte, com certeza, percebeu os impactos da LGPD em tecnologia da informação, certo?
Na era dos dados, em que informações valem muito, e com a crescente automação de processos, era esperado que os ataques e ações maliciosas se tornassem cada vez mais comuns.
Não à toa, notícias sobre vazamento de dados, fraudes e ataques cibernéticos estão diariamente nos principais canais de notícias. Tais como:
“Ministério da Saúde é ‘invadido’ e 50 TB são supostamente roubados.”
“Pensionista do INSS vai receber indenização de R$ 2.500 por dados vazados.”
Como você pode notar, estamos falando de instituições de todos os nichos, públicas e privadas. É natural, portanto, que, com o tempo, fossem criadas medidas para “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
E é exatamente isso que diz a LGPD em tecnologia, no setor de TI, e em todos os ambientes que manipulem dados de pessoas físicas.
Vamos entender um pouco mais sobre essa regulamentação, consequências e como as empresas podem se enquadrar nas normas da Lei Geral de Proteção de Dados.
O que é LGPD na tecnologia da informação?
LGPD é a Lei Geral de Proteção de Dados, aprovada em 2019 e que entrou em vigor em 2020, estabelecida na Lei 13.709/2018. O seu principal objetivo é normatizar diretrizes e práticas para garantir a proteção de dados, como o próprio nome sugere.
Com a evolução das ferramentas digitais e a valorização dos dados e informações para o desenvolvimento de estratégias empresariais, é natural o embate de interesses. Tanto do lado do portador do dado (clientes, usuários etc.), quanto das empresas que manipulam essas informações.
E ainda há um terceiro agente, que atua de maneira maliciosa para se aproveitar da falta de segurança de dados, realizando ataques e invasões para roubar informações valiosas.
O mundo, portanto, passou a se preocupar com essas questões e os países precisaram estabelecer normas, práticas e leis que dificultassem o uso, armazenamento e o compartilhamento irregular desses dados.
Na União Europeia, por exemplo, temos o Regulamento Geral sobre a Proteção de Dados (RGPD, ou GDPR). Muitos países dessa região são considerados fortemente adequados às normas de proteção de dados, como mostra o mapa abaixo:
Como podemos notar, o Brasil está no caminho correto, com o estabelecimento de leis de proteção de dados pessoais e com uma autoridade nacional (ANPD), responsável por fiscalizar a aplicação da LGPD.
A ANPD, instituída sob a Lei 13.853/2019, deve realizar a fiscalização da LGPD, orientar, propor a regularização, impor sanções e, em última instância, aplicar multas caso haja o descumprimento da Lei de Proteção de Dados.
Para isso, ela pode solicitar relatórios e informações referentes à política de segurança da informação e práticas relacionadas, a qualquer momento. Como narra o Art. 29:
Quais são os impactos da LGPD na TI?
O grande impacto da LGPD em tecnologia da informação é a readequação e o estabelecimento de uma política de segurança de dados alinhada às normas estabelecidas.
Por exemplo, na lei a empresa precisa instituir colaboradores internos responsáveis por cada etapa da manipulação de dados. São eles:
- controlador, responsável pela tomada de decisões sobre o tratamento de dados;
- o operador, que efetua o tratamento
- e o encarregado, que ficará responsável por interagir com os titulares dos dados pessoais e com a autoridade nacional.
É muito comum que esses processos sejam realizados por uma equipe ou até mesmo um único colaborador, dependendo do porte da empresa.
Apesar de ser mais comum que essas atribuições fiquem a cargo do setor de TI, vale ressaltar que o cumprimento da LGPD em tecnologia não é uma responsabilidade exclusiva de TI.
Muito pelo contrário, é fundamental que todos os setores, processos, equipes e níveis da organização se adequem tanto na teoria, quanto na prática da Lei de Proteção de Dados.
Afinal, o manuseio incorreto das informações pode ocorrer de diversas formas, mesmo não intencionais.
Mas, claro, a responsabilidade operacional fica a cargo do time de TI, que precisa auxiliar na escolha de ferramentas tecnológicas que ofereçam boa performance, mas sem comprometer a segurança de dados. Isso não é um trabalho exatamente fácil.
Afinal, muitos fornecedores correlacionam agilidade com corte de etapas e simplificação de processos de segurança. E isso não deve ocorrer em empresas que querem se adequar à LGPD em tecnologia.
O ideal, portanto, é buscar parceiros alinhados com essa preocupação e que ofereçam mecanismos de segurança adequados. Por isso, hoje, o cloud computing oferecido por empresas inovadoras e com autoridade no assunto, se tornaram fundamentais para a área de TI.
Um ótimo exemplo disso é a plataforma de cloud computing do Google.
Saiba mais: Como funciona o Cloud Computing?
As empresas podem sofrer consequências com o descumprimento da Lei Geral de Proteção de Dados?
Sim! Como mencionado anteriormente, as empresas podem sofrer diversas sanções e multas devido ao descumprimento da LGPD em tecnologia no ambiente digital ou físico.
Além do alto custo financeiro, a não aplicação das normas de LGPD em tecnologia também impacta diretamente na confiabilidade da empresa, sua imagem no mercado e no seu potencial de crescimento. Afinal, a desconfiança afeta as taxas de conversão e pode, inclusive, aumentar a taxa de churn, desistências e abandonos por parte dos clientes.
No quesito jurídico e financeiro, as sanções são extremamente claras e estão dispostas no Art. 52, dos incisos I ao VI:
“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração.”
Vale ressaltar que a Autoridade Nacional também pode determinar diferentes penalidades de acordo com a gravidade da falha. Dados sensíveis, por exemplo, demandam uma atenção ainda maior.
Como dados pessoais relacionados à
- origem racial ou étnica,
- convicção religiosa,
- opinião política,
- filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
- saúde ou à vida sexual,
- dado genético ou biométrico.
Todos eles, claro, relacionados à pessoa física!
Quais empresas devem seguir a LGPD?
Quando falamos sobre LGPD em TI é muito comum que empresas menores pensem: “Ah! Mas eu não manipulo dados e informações. Essa lei não é direcionada a mim, certo?”
Na verdade, esse questionamento ocorre pelo desconhecimento da definição de dados. Segundo a lei:
“Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável.”
O que isso quer dizer? Bom, dado é toda e qualquer informação que possibilite a identificação da pessoa física. Seja nome, CPF, RG, endereço, telefone, senhas, NIT, etc.
Se a sua empresa contrata colaboradores, fornecedores e parceiros, vende produtos e serviços para clientes, então, ela deve seguir a LGPD. Afinal, mesmo que os dados não sejam utilizados em campanhas de marketing, para contatos estratégicos, ou construção de uma banco de dados, ainda assim ela corre o risco de ter esses dados vazados ou roubados. Portanto, precisa se adequar às normas da Lei de Proteção de Dados.
Não importa, inclusive, o porte da empresa, nicho, capital ou tamanho da carteira de clientes e cartela de produtos. A segurança da informação é um direito de todo e qualquer indivíduo e sua garantia é responsabilidade de todas as empresas que a detenham.
O que fazer para adequar a minha empresa na LGPD?
Hoje, inúmeras empresas já nasceram no ambiente digital, como Fintechs, Healthtechs, etc. E imagina-se que já estejam preparadas para garantir a segurança da informação. Afinal, o seu fluxo de dados ocorre principalmente no meio digital, propício a ataques e invasões.
Mas, na prática, muitas acabam não desenvolvendo uma política de segurança de dados. O que, como vimos por aqui, pode ser extremamente prejudicial.
Para evitar isso e se adequar a LGPD em tecnologia é fundamental conhecer profundamente a lei e os processos internos da sua empresa. A prática, no entanto, pode demandar uma ajuda profissional, de uma equipe especializada na Lei de Proteção de Dados.
Para facilitar este processo, separamos algumas dicas que podem auxiliar na adequação a LGPD em tecnologia:
- Faça um mapeamento de todos os processos e fluxos de dados da sua empresa;
- Estabeleça uma equipe responsável pela segurança de dados;
- Crie, avalie e readeque, se necessário, uma política de segurança de dados transparente para os usuários, com informações claras e explicativas sobre o manuseio das informações;
- Invista em instruções, treinamentos e capacitações focados em segurança da informação. E isso para todos os colaboradores, não apenas para a equipe de TI, ok?
E, por fim, uma dica de ouro: fique atento aos seus parceiros e, principalmente, aposte em ferramentas que colaborem com a segurança de dados, como o Cloud Computing, que citamos anteriormente.
Colocar dados e informações na nuvem minimiza a possibilidade de perdas e invasões. Além, claro, de contar com a segurança extra e conhecimento de especialistas em segurança.
TENHA UM SISTEMA DE GESTÃO SEGURO NA SUA EMPRESA
Quando o assunto é segurança da informação, as ferramentas do Google são a melhor opção para implementar no seu negócio.
Com o Google Workspace, sua empresa consegue criar uma gestão dos arquivos 100% na nuvem com todos os protocolos de segurança necessários para garantir o sigilo e o uso correto dos funcionários.
A Safetec ajuda seu negócio a fazer a transição da sua infraestrutura de trabalho para a nuvem e transformar a maneira da sua equipe trabalhar. Fale com nossos consultores!