Ebook : Como estar preparado para a LGPD?
A Lei Geral de Proteção de Dados – Lei nº 13.709 – sancionada em Dezembro de 2018, entrará em vigor em Agosto de 2020. Essa Lei estabelece regras sobre a coleta, o armazenamento, o tratamento, o compartilhamento de dados pessoais e diz quais são os fundamentos para o uso correto deles, impondo mais proteção aos usuários e penalidades para quem não a cumprir.
Foi sancionada também, em Julho de 2019, a Autoridade Nacional de Proteção de Dados – ANPD, entidade governamental que será responsável pela regulamentação, fiscalização e aplicação das sanções previstas.
Se considerarmos que a Lei entrará em vigor em Agosto de 2020, é imprescindível que as empresas estejam preparadas para as adequações que se fizerem necessárias à nova Lei Geral de Proteção de Dados. Como se preparar? Por onde começar?
Muito se tem discutido sobre *anonimização ou **pseudonimização dos dados pessoais e sobre outras ferramentas de segurança que possam vir atender esse ou aquele artigo descrito na Lei.
Por se tratar de uma Lei, que exige uma série de adequações tecnológicas, fica claro que uma conformidade jurídica deverá ser realizada, bem como a criação de um roadmap de ferramentas de TI.
A nova legislação exige que as empresas atualizem seus processos de negócios, as suas métricas internas, e por fim, garantam o mapeamento detalhado do ciclo de vidas dos dados pessoais. Ou seja, para garantir a conformidade é preciso entender o negócio, necessidades, finalidades, normas, políticas, medidas de segurança técnicas e administrativas e onde estão localizados seus dados, como eles estão sendo armazenados, quais pessoas tem acesso aos mesmos, e, por fim, quais são os riscos associados ao ciclo de vida desses dados.
A verdade é que não existe um manual ou uma cartilha que descreva qual a melhor forma de se adequar, até porque o assunto é novo no Brasil, e o que existe são interpretações diferentes.
A nossa experiência demonstra que somente o assessment jurídico não será suficiente, uma vez que não irão validar os processos relacionados aos negócios, nem tampouco analisar a integração de diversos controles, as vulnerabilidades técnicas e administrativas de TI, deixando as empresas com a sensação de que o trabalho ficou incompleto. Por outro lado, soluções de TI, por si só, não poderão resolver os problemas de seus clientes, se não souberem quais são os problemas de negócios existentes. Implementar uma ou mais soluções de TI, apenas para dizer que estão implementadas, não garantirão conformidade à Lei.
Resumidamente, entendemos que para haver adequação total a LGPD as empresas precisarão adotar pelo menos 4 etapas:
Assessment de negócio: Identificar o ciclo de vida dos dados pessoais e sensíveis em cada processo de negócio, o mapeamento das ameaças e riscos associados
Assessment jurídico: Realizar uma análise na base legal e nos contratos existentes nas empresas e determinaremos como adequá-los as exigências da Lei.
Assessment em processos de TI/SI: Avaliar as integrações dos processos de TI com o restante da empresa, a maturidade dos processos, os controles de acessos, os processos de desenvolvimento e a existência de um programa de resposta a incidentes e de manutenção do ambiente.
Gestão de vulnerabilidades de TI:Identificar os pontos fracos da sua rede, mediremos a eficácia de suas medidas de segurança na proteção de dados pessoais com o intuito de detectar possíveis invasores.
Um outro ponto importante a ser ressaltado é que a contratação de empresas terceiras não eximem as empresas contratantes do pagamento de multa, em um eventual vazamento de dados. A Lei deixa claro que toda empresa controladora é responsável pela cadeia de tratamento dos dados.
Isso significa que caso haja o vazamento dos dados, a partir da empresa terceira que processa os dados visando atender a finalidade informada pelo controlador, a empresa contratante será responsabilizada perante a Autoridade Reguladora. E portanto, pouco importa a forma como ocorreu o vazamento dos dados pessoais e sensíveis: ataque de hackers, vazamento mal intencionado, vazamento acidental, entre outros.
O controlador também é responsável, em caso de vazamentos de dados e ou incidentes de segurança, por comunicar à ANPD a respeito deles. E a referida comunicação, conforme exigência legal, deve ser realizada em prazo razoável (recomendamos algo em torno de 72 horas, igualmente ao que acontece com a ***General Data Protection Regulamentation – EU) e deverá conter algumas informações, como por exemplo, os dados pessoais afetados, as informações sobre os titulares envolvidos, as soluções de segurança utilizadas para a proteção dos dados e os riscos envolvidos no incidente.
Como responder a incidentes nem sempre é tarefa fácil, pois depende, dentre outras coisas, de times bem treinados, capacitados e conscientizados, bem como de informações confiáveis, políticas e procedimentos bem definidos, aqui vão algumas dicas que poderão ajudá-los em um possível momento de crise:
- Crie uma área e um plano de comunicação para informar os possíveis incidentes/vazamentos;
- Prepare e planeje as atividades dos seus executivos para esses momentos;
- Realize exercícios regulares de respostas a incidentes, de modo a facilitar as iniciativas, quando de fato um vazamento ocorrer.
Por fim, haverá dois níveis de sanções com base na Lei Geral de Proteção de Dados – LGPD. A primeira delas consiste em advertência com prazo determinado para a adoção de medidas corretivas e a segunda delas consiste na aplicação de multas que variam de até 2% (dois por cento) do faturamento total da empresa no ano anterior, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Em casos de empresas subsidiárias, o valor a ser considerado levará em conta o faturamento da Holding.
Ficou interessado em conhecer um pouco mais da nossa metodologia? Nos envie uma mensagem (com seu nome, e-mail e telefone) e um dos nossos especialistas entrará em contato, o mais breve possível. Agradecemos o seu interesse na A2F.
#metologiaa2f #lgpda2f #goa2f #lgpd #dadospessoais #dadossensiveis #finalidade #consentimentodotitular #privacidadededados #controlador #processador #responsabilidadesolidaria #segurancadainformacao #vazamentodedadospessoais #criptografia #anonimização #pseudonimizacao #mascaramento #controledeterceiros #gestaodevulnerabilidadesdeti #assessmentdenegocio #assessmentjuridico #assessmentemprocessosdetiesi #governancadeti
* Anonimização – Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
** Pseudonimização – Tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
*** General Data Protection Regulamentation (GDPR) – Trata-se do regulamento de direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Européia.