A atuação das empresas que lidam com o tratamento de dados vai mudar significativamente. Isso se deve à Lei Geral de Proteção de Dados (LGPD), que tem como finalidade aumentar a proteção das informações dos cidadãos titulares. A norma afeta diretamente a relação entre clientes, fornecedores, empregados e empregadores. Por isso, cabe às empresas se prepararem desde já, fazendo a transição para as novas regras de manipulação de dados pessoais.
A nova legislação determina que o controlador, ou seja, a empresa que está manipulando os dados, fique responsável pela segurança dessas informações e informe de maneira clara os objetivos desse uso. A principal mudança da LGPD é a determinação de que as empresas só podem coletar dados pessoais e identificáveis, como nome, idade, telefone, e-mail e endereço, com a autorização clara do titular dessas informações.
Mas como manter tudo isso em controle absoluto e assim, adequar a sua empresa para que fique em conformidade com a lei?
A Lei Geral de Proteção de Dados hoje é sem dúvida um dos assuntos mais comentados pelo mercado e um dos maiores desafios das empresas e profissionais da área Jurídica e Tecnologia da Informação.
Nós da Athena Security, por sermos uma empresa especializada em segurança da informação e governança de TI, já temos uma larga experiência em adequação de processos correlacionados a área de negócios e tecnologia da informação, e com o auxílio de advogados especializados em direito digital, criamos um serviço de consultoria completo para orientar nossos clientes a se adequar a todos requisitos da LGPD.
Listar e organizar todos os dados pessoais existentes na organização
Classificar os dados de acordo com a sensibilidade
Adaptar sistemas informatizados para atender à legislação
Identificar na organização os agentes de tratamento de dados
Apresentação de relatório de impacto
Dentro da Lei Geral de Proteção de Dados existem diversas cláusulas com exigências e requisitos que deve ser seguido por todas as empresas que coletem e armazenem dados pessoais privados, seja esses dados de clientes, colaboradores ou prestadores de serviço. Portanto é uma lei que atinge praticamente todas empresas.
Essas exigências e requisitos afetam diferentes áreas e departamentos das empresas, onde, para que possa entender melhor, dividimos em 03 aspectos principais, sendo eles:
Técnico, Jurídico e Processual.
A primeira etapa impacta diretamente a área de TI das empresas, sendo normalmente, responsabilidade do gestor da área de tecnologia.
O requisito mais crítico de adequação aqui é bem direto: “Manter os dados seguros”, como é citado na GDPR, “Não existe privacidade de dados sem a proteção dos dados”. Portanto, será necessário tanto manter, como comprovar que seus dados estão seguros, para isso nós recomendamos realizar de forma contínua serviços como Análise de Vulnerabilidade e Pentest, e avaliação dos processos internos de segurança de acordo com metodologias e normas de mercado, como por exemplo a ISO 27000.
O conhecimento jurídico é importante para ajudar a interpretar a Lei, e no auxílio de revisão de contratos, seja eles de clientes, colaboradores, ou prestadores de serviços. No caso de algum incidente ou ação judicial, o auxílio jurídico é fundamental para orientar as empresas de como agir e se proteger para evitar o pagamento da temida multa devido a sanção sobre cada evento de incidente de vazamento de dados pessoais de clientes e afins, que pode ser de até 2% do faturamento da empresa, podendo chegar a incríveis R$ 50 milhões de reais.
Entender como funciona o processo é essencial, mas como se trata de lei, um profissional especializado em direito digital e com licença para abordar assuntos de lei, é o que te dá a sustentação e tranquilidade perante a conformidade com a justiça brasileira de proteção de dados pessoais.
A etapa processual é a mais extensa e normalmente a mais complexa. A grande maioria das leis impactam diretamente os processos de negócio das empresas, envolvendo os departamentos que realizam o tratamento de dados pessoais, ou seja, quase todos. Como exemplo, podemos considerar o mapeamento de todo ciclo de vida da informação dentro da empresa, onde precisa ser levantado:
Onde a informação foi coletada? Como foi coletada? Como ela foi classificada? Por quanto tempo ela será utilizada? E por último e um dos mais importantes – Quando ela será excluída?
O levantamento, detalhamento e ajustes destes processos influenciam e impactam diversos departamentos das empresas, principalmente o Marketing, Comercial e Recursos Humanos, variando sempre de acordo com a realidade de cada empresa.
A própria LGPD traz, em seu artigo 41º, algumas das funções que devem ser desenvolvidas pelo Data Protection Officer. São as seguintes:
“I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares”.
Saber como se adequar à LGPD é indispensável para a manutenção das organizações no mercado, já que o descumprimento da mesma pode acarretar sérias consequências.
Para contribuir com a missão de adequação do seu negócio, criamos um passo a passo exclusivo de como se adequar à Lei Geral de Proteção de Dados.
Você pode baixá-lo gratuitamente logo abaixo e obter conhecimentos como:
Veja tudo isso e muito mais neste material inteiramente gratuito que preparamos para você
A Athena Security é uma empresa de consultoria especializada em segurança da informação, onde apoiamos nossos clientes na gestão de infraestrutura e segurança dos dados para segurança de dados.