A coleta e uso de dados de clientes é cada vez mais comum entre as empresas, que muitas vezes utilizam essas informações para desenvolver serviços mais bem direcionados ao seu público-alvo. Diante disso, foi criada a LGPD, que visa proteger o consumidor de eventuais abusos praticados por essas companhias.
A Lei Geral de Proteção de Dados Pessoais (LGPD) criou regras para a realização da coleta, armazenamento, tratamento, bem como para o compartilhamento de dados pessoais, fazendo com que as organizações obedeçam a um padrão de segurança elevado. Aquelas que não respeitarem as normas poderão sofrer penalidades pesadas.
As empresas que ainda não se adequaram totalmente à Lei devem correr contra o tempo, pois a mesma está a beira de sua vigência oficial. Ainda tem dúvidas sobre a LGPD? Acompanhe, neste post, como ela atua em relação à vazamento de dados!
Qual é o objetivo da LGPD?
Basicamente, a Lei Geral de Proteção de Dados Pessoais tem a função de regulamentar as atividades relacionadas ao tratamento de dados das pessoas, a fim de assegurar o cumprimento dos direitos fundamentais de proteção da liberdade, intimidade e privacidade dos cidadãos brasileiros.
A partir de agora, as empresas deverão obter o consentimento dos clientes para a coleta de dados pessoais, além de seguir o princípio da finalidade, adequação, necessidade, e da transparência.
Empresas públicas e privadas deverão coletar e armazenar somente os dados que serão aproveitados na interação com o consumidor. Sendo assim, determina-se que a coleta de dados se restrinja a sua finalidade.
O que é considerado vazamento de dados?
O vazamento de dados acontece quando informações de caráter sigiloso se tornam públicas, de modo a prejudicar o titular do dado (cliente) e os demais usuários. Geralmente, isso ocorre devido à ação de invasores que encontram brechas de segurança da companhia, incluindo desde aplicativos até e-mail.
As informações vazadas podem ser utilizadas por ativistas que objetivam comprovar e expor as falhas da empresa. Esses ataques podem ser feitos de diferentes maneiras, o que dificulta o rastreamento e, consequentemente, a punição dos responsáveis.
Qual é o potencial danoso do vazamento de dados?
Há diversas situações que configuram o vazamento de dados, que geram consequências desastrosas para as instituições. Alguns dos principais casos são:
- quando o incidente envolve informações confidenciais sobre sistemas sigilosos e estratégias secretas utilizados pelas empresas, há impactos e prejuízos no desenvolvimento de processos e projetos;
- quando o incidente envolve dados bancários, pessoas mal-intencionadas podem utilizá-los para fins indevidos;
- quando o incidente envolve dados pessoais, empresas podem utilizá-los de forma indevida para traçar perfis de consumidores e efetuar vendas.
Vale ressaltar que o vazamento de dados também afeta diretamente a reputação da empresa no mercado, afastando clientes e investidores. O resultado disso é uma grande crise de imagem que pode acarretar uma crise financeira.
Como a LGPD atua no vazamento de dados?
Como se sabe, a LGPD determina quais são os deveres e direitos das organizações privadas, instituições públicas e dos cidadãos em se tratando da proteção de dados pessoais. Outro aspecto importante da lei é estabelecer quais são as punições aplicadas diante de infrações. Confira como os infratores poderão ser responsabilizados de agora em diante.
Reparação de dados
Conforme foi citado anteriormente, o vazamento de dados pessoais, como de informações bancárias, pode acarretar prejuízos financeiros para o titular.
Levando isso em consideração, a lei prevê que o responsável por manipular os dados ou tomar decisões sobre eles, que são o operador e o controlador respectivamente, deverão reparar os danos causados à pessoa física.
No que diz respeito ao operador dos dados, a responsabilidade será aplicada de forma solidária. Porém, a determinação deixa de valer para casos em que ele descumpra ordens explícitas estipuladas pelo controlador, que é quem toma decisões.
Sanções administrativas
Além de ressarcir as pessoas prejudicadas pelo vazamento de dados, a LGPD também implica em responsabilidades administrativas para o operador e o controlador de dados. Nessa situação, quem determina a punição é a Autoridade Nacional de Proteção de Dados (ANPD).
Entre as punições administrativas que podem ser aplicadas estão: advertências para que o incidente não volte a acontecer — quando se trata de infração de baixa gravidade —, publicização da infração, além do bloqueio e a eliminação dos dados pessoais utilizados nas atividades da organização.
Para incidentes que resultam em consequências graves, podem ser aplicadas multas que atingem 2% do faturamento da companhia, e que estão limitadas ao valor de R$ 50 milhões. A definição do método utilizado para calcular o valor da multa fica a cargo da ANPD.
Um escândalo de vazamento de dados mancha a imagem da empresa. Sem falar que se receber uma multa muito alta e que não consiga pagar, há o risco de entrar em falência.
Sanções administrativas, civis ou penais
Os agentes de tratamento de dados que não cumprirem a LGPD corretamente poderão receber punições no âmbito administrativo, civil e penal. É preciso ter em mente que a lei se aplica igualmente para todos, mesmo órgãos públicos poderão ser punidos ao cometerem infrações.
Por fim, é importante deixar claro que os efeitos e punições referentes ao vazamento de informações podem variar conforme o tipo de dado que é vazado e a proporção do incidente. Assim sendo, é urgente adotar medidas para adequar-se a LGPD, a fim de evitar aborrecimentos legais.
Alguns dos passos indispensáveis para obedecer a nova lei são:
- contratar uma equipe de advogados que ajude a empresa criar um Programa de Conformidade baseado na LGPD;
- treinar os funcionários da organização para viabilizar uma gestão de dados responsável, com a correta implementação das normas de confidencialidade;
- nomear e formar um DPO (Data Protection Officer), que é responsável pela comunicação entre a empresa, a ANPD e os titulares dos dados;
- criar um ambiente seguro para o tratamento de dados, incluindo o uso de firewalls e criptografia;
- implementar uma política de segurança da informação, estabelecendo processos que reduzam os riscos de vazamentos.
Como você pode perceber, a LGPD pode punir de maneira severa os infratores. Apesar disso, muitas empresas ainda não entraram em conformidade com a lei. Se esse é o seu caso, é fundamental buscar ajuda especializada para fazer todos os ajustes necessários para proteger os dados dos seus clientes e precaver-se contra penalidades.
Está em busca de ferramentas e um planejamento de segurança da informação que atenda às suas necessidades? Entre em contato com a Athena Security e entenda como podemos ajudá-lo!
Thiago Cabral
Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.
