A nova lei de dados – Lei Geral de Proteção de Dados (LGPD) – foi sancionada em agosto de 2018 e entrará em vigor em agosto de 2020. Mas por que precisamos falar sobre isso agora?
Simples, as empresas e as organizações terão grandes responsabilidades em relação à proteção de todos os dados pessoais de seus funcionários, fornecedores e clientes. Então, é preciso se mover hoje mesmo e já aparar as arestas.
Para te ajudar, neste post citamos as principais características dessa nova lei e como, na prática, você pode começar a implementá-la em seu empreendimento.
O que é a nova lei de dados?
O Brasil concentra 92% dos casos de ransomware na América Latina. Foi o quinto país mais afetado pelo Ransomware WannaCry em 2016 e também o quinto colocado na lista de dispositivos vulneráveis, de acordo com estudo da Avast. Ao longo desse tempo tivemos vários crimes cibernéticos, alguns deles ficaram bem famosos como: nRanson, Bad rabbit, ExPetr entre varios outros que derivam do ransomware. Nos últimos anos vários países colocaram em xeque como anda a segurança da informação de pessoas físicas e jurídicas, desde então muitos escândalos e vazamentos de dados de empresas que são familiares a nós, como o Facebook, por exemplo tiveram grandes proporções na mídia.
Este é um assunto tão sério que em maio de 2018 a União Europeia transformou a proteção de dados em lei – a GDPR (General Data Protection Regulation), e, três meses depois, foi a vez do Brasil, por meio da Lei nº 13.709/2018.
A nossa Lei Geral de Proteção de Dados (LGPD) regulamenta o uso e tratamento dos dados pessoais, tanto pela iniciativa privada quanto do poder público, na tentativa de protegê-los contra vazamentos e uso indevido.
Nesse caso, caberá a todas as empresas e órgãos públicos que lidam com dados pessoais (estejam elas em meio digital ou não) algumas responsabilidades. Ou seja, se a sua empresa realiza um simples cadastro de CPF, por exemplo, você precisa se ajustar à nova lei de dados. Se você tem um cadastro com os dados pessoais de seus funcionários também.
Pontos importantes sobre a LGPD:
- Ela também inclui empresas que não possuem estabelecimentos aqui no Brasil;
- A LGPD introduz 10 princípios de proteção de dados, o que inclui a prestação de contas demonstrando que a empresa está cumprindo a lei;
- Todos os dados pessoais que a empresa tem sobre pessoas físicas e jurídicas precisam ter o consentimento delas para serem guardados e utilizados pela empresa;
- Os titulares dos dados têm direito ao acesso, informação, cancelamento, retificação, oposição e portabilidade de seus dados;
- A nova lei de dados também tem regras específicas para tratar dados sensíveis, dados de crianças e adolescentes, e, ainda, transferência internacional de dados;
- Toda empresa que for responsável pelo tratamento de dados deverá nomear uma pessoa encarregada pela proteção de dados pessoais.
- As atividades de tratamento de dados devem ser registradas em relatório;
- A lei também trata da realização de avaliação de impacto à proteção de dados (muito semelhante ao Data Protection Impact Assessment, o DPIA);
- A lei determina punições para infrações envolvendo incidentes de segurança de dados, que vão de advertência a multa de até 2% do faturamento anual da empresa, limitado a R$ 50 milhões por infração.
Como implementar a Lei LGPD na sua empresa?
- Procure por um aconselhamento jurídico para saber os impactos legais dessa nova lei na sua empresa.
- Busque um profissional de segurança da informação para adotar um plano de mudanças que foque na adequação à nova lei.
- Antes de adotar um plano estratégico, é preciso revisar todos os controles e processos da empresa para que seja construído um mapa dos dados sensíveis e dos atuais níveis de proteção.
- Elabore um Mapa de Riscos de Tratamento de Dados Pessoais da sua empresa.
- É preciso saber como, quando e onde todos os dados pessoais de funcionários, clientes e fornecedores são coletados – todos mesmo: de uma simples data de nascimento a informações de folha de pagamento. Onde esses dados ficam armazenados? Quais são as camadas de proteção?
- Depois do planejamento feito, comece fazendo ações corretivas. Isso quer dizer reestruturar as políticas e acordos de confidencialidade e acordo. Sempre que for coletar algum dado pessoal de forma física ou pela internet, a pessoa precisa consentir, ou seja, assinar um termo de consentimento e uso desses dados. A empresa deve ser transparente e o cliente precisa saber como esses dados serão usados e armazenados.
- É preciso, também, elaborar um verdadeiro programa de educação e conscientização dos funcionários da empresa. Eles precisam saber evitar vazamentos e ter a noção das responsabilidades e consequências do mau uso dos dados.
- Também será preciso definir – e deixar isso bem claro – sobre quais setores poderão ter acesso ao banco de dados e como eles poderão ser utilizados.
- Integrar as áreas de TI, segurança da informação e a área jurídica também é uma boa prática para se adequar à nova lei de dados.
ALERTA: Para o departamento de TI, muito importante investir em soluções de:
- Busque um parceiro de tecnologia e infraestrutura de TI especializado em Segurança da Informação para apoiar a sua empresa na preparação da TI para a LGPD, do Assessment de Vulnerabilidades, Construção do Roadmap de Ações priorizadas e Sustentação da Segurança da Informação;
- NOC – (Network Operation Center) mantenha seu ambiente monitorado;
- Monitoramento do processo de tratamento de dados;
- Monitoramento dos riscos de tratamento dos dados na empresa e em terceiros;
- Gestão e mascaramento de dados;
- Segurança e controle de acesso dos Bancos de dados;
- Gestão de identidade de clientes e consumidores;
- Arquiteturas tecnológicas e práticas de proteção de dados incorporadas em todo novo ambiente e aplicação de TI por padrão (privacy by design) – como o acesso controlado e a encriptação nativa de dados pessoais assim que forem coletados, bem como a guarda segura deles.
Precisa de ajuda para implementar a nova lei de dados em sua empresa? Entre em contato!