Sete práticas para garantir a conformidade com a LGPD
Por Arthur Dantas Oliveira, especialista em
Direito Digital e Compliance da Apura
A Lei Geral de Proteção
de Dados Pessoais (LGPD) regulamenta qualquer organização que lide com dados
pessoais no Brasil, independentemente de sua localização, setor e tipo de
serviço. Descumpri-la pode resultar na suspensão das atividades da organização
(caso seja relacionada a dados pessoais), impossibilitando o tratamento de
dados e gerando multas que podem chegar a 50 milhões de reais.
Assim, as empresas
brasileiras estão moldando suas estratégias de proteção de dados e segurança da
informação para se adequar à nova lei.
A abordagem preventiva
das atividades de processamento de dados é uma dessas requisições, baseada na
avaliação de risco e adoção das melhores práticas de segurança da informação,
como o monitoramento de incidentes de segurança e de vazamento de dados
pessoais.
Embora a maioria das
empresas colete e utilize dados pessoais, normalmente a segurança da informação
não é, necessariamente, seu principal know how, necessário para entender e
implementar as exigências legais na proteção desses dados.
A LGPD é detalhada e
exige que as empresas alterem ou adaptem seus processos de manipulação de
dados, visando às melhores práticas de segurança da informação.
Por isso, elencamos
sete práticas que facilitarão a jornada rumo à conformidade com a LGPD.
- Nomear um
responsável pela proteção de dados
As organizações que
tratam dados pessoais devem nomear um encarregado independente (DPO),
responsável pelo tratamento, organização e que reporte diretamente a alta
direção do status de segurança dos dados pessoais presentes nos bancos de dados
da empresa.
Pela nova lei, o
tratamento dessas informações tem o seguinte escopo: toda operação realizada
com dados pessoais, como a coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração. Ou seja, qualquer
informação, mesmo que parcialmente, que possa identificar uma pessoa.
Um dos processos é
educar a organização e seus funcionários sobre conformidade, treinar a equipe
envolvida no tratamento de dados para manter registros de todas as atividades
de tratamento de dados, e realizar auditorias de segurança regulares.
O DPO também atua como
ponto de contato entre a empresa, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (ANPD).
- Mapeie e
classifique todos os dados
Para garantir a
confidencialidade, integridade e disponibilidade dos dados, uma organização
precisa saber quais dados ela possui.
Conduza um inventário
de dados para que as partes interessadas entendam a qualidade e o valor dos
dados pelos quais são responsáveis.
É mais fácil garantir
que os controles de segurança e privacidade sejam adequados e justificados
quando os dados estão classificados e sinalizados como informações de
identificação pessoal.
- Preencha uma
avaliação de impacto na privacidade
Antes que o tratamento
de dados comece, realize uma avaliação de impacto de privacidade.
O relatório de impacto
deve identificar riscos da coleta, uso, transferência e tratamento de dados
pessoais. Esse é um ponto importante para o pressuposto legal de Privacy By Design e By Default.
O roadmap de como os
dados fluem pela empresa é fundamental, incluindo onde e como são coletados;
como e onde são usados; por quem, como, onde e por quanto tempo são
armazenados; bem como se são transferidos para fora do país, via cloud (nuvem), por exemplo.
O relatório de impacto
também exige uma avaliação das atividades para determinar o nível de risco a
liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e
mecanismos de mitigação de risco.
- Documentar,
manter e fazer cumprir as políticas, procedimentos e processos de
privacidade
Os inventários de dados
pessoais e o mapeamento do fluxo de dados precisam ser constantemente
atualizados para que o DPO saiba quais dados estão sendo tratados, protegidos e
qual a base legal do tratamento.
As políticas para
proteção de informação pessoal devem abranger as pessoas, processos e sistemas
envolvidos nas atividades e onde circulam os dados pessoais, garantindo que
estes sejam tratados de acordo com as bases legais e estejam sempre protegidos.
5. Treinar funcionários
na LGPD
Os funcionários também
devem entender quais são suas responsabilidades para proteger os dados
pessoais. A integração e o treinamento da equipe devem estar contidos na
política de privacidade da organização, que deve ser implementada.
Qualquer pessoa que
manuseie dados pessoais precisa estar ciente da importância de manter os dados
seguros e conhecer todos os procedimentos e processos relevantes.
- Teste os
procedimentos de resposta à violação de dados pessoais
A LGPD exige que a
organização deverá comunicar à autoridade nacional e ao titular a ocorrência de
qualquer incidente de segurança que possa acarretar risco ou dano relevante aos
titulares.
Essa comunicação deve
ser feita em prazo razoável, a ser definido pela autoridade nacional.
Entendemos que, até a regulamentação formal, a melhor prática é adotar o prazo
da Lei Europeia (GDPR): 72 horas do incidente.
Sendo assim, convém
testar regularmente os procedimentos de gestão de incidentes e as respostas às
solicitações do titular dos dados para garantir que os funcionários cumpram esses
prazos.
Eles devem saber como
identificar e relatar uma violação de dados internamente, e os passos seguintes
para comunicar os titulares e a ANPD.
- Monitore o
vazamento de dados pessoais e incidentes de segurança da informação
A LGPD determina que as
empresas devem adotar medidas de segurança, técnicas e administrativas aptas a
proteger os dados pessoais. Isso inclui as boas práticas de segurança da
informação.
É preciso adotar
procedimentos no caso de vazamento ou incidentes de dados pessoais, não estando
a organização à mercê do acaso. É necessário e fundamental que monitore a
ocorrência de incidentes ou de vazamento de dados pessoais.
O BTTng é uma
ferramenta da Apura, que, entre suas funcionalidades, monitora a ocorrência de
vazamento de dados pessoais e de incidentes de segurança da informação, através
de pesquisa em fontes abertas de inteligência, como a deep web, fóruns hackers,
grupos de mensagens etc.
Em se tratando de
proteção de dados pessoais, as empresas precisam estar à frente dos agentes criminosos.
O BTTng permite identificar vazamentos de dados pessoais ainda não divulgados
e, muitas vezes, desconhecidos da organização.
Isso permite que a
empresa tome ações imediatas para proteger seus ativos, corrigir os riscos de
segurança da informação, proteger os direitos dos titulares de dados pessoais
e, principalmente, demonstrar a conformidade com a LGPD, evitando, assim, as
penalidades.
Implemente as melhores
práticas da LGPD
Essas sete
recomendações compõem a base de um projeto sólido com base legal para a
proteção do tratamento e trânsito de dados pessoais.
No entanto, não são
tarefas triviais que devem ser realizadas apenas casualmente. A implementação
dos controles básicos necessários para atender aos requisitos da LGPD não
resultará, necessariamente, em estratégia de manipulação de dados adequada e
resiliente.
Investir na adequação à
LGPD leva segurança ao negócio, aos consumidores, aos fornecedores e ao poder
público, de que a empresa leva a sério sua privacidade e segurança de dados.
Isso aumenta a reputação e fortalece os negócios.
A Apura é líder no mercado de inteligência em monitoramento de ameaças, incidentes de segurança e vazamento de dados pessoais, além de ter a expertise na consultoria especializada de conformidade com a LGPD.
Nenhum comentário