LGPD e a proteção à privacidade
A Lei Geral de Proteção de Dados (LGPD) já está em vigor e fiscalizando empresas para que cumpram a lei e os direitos dos titulares. Durante a jornada para a conformidade muitos negócios se deparam com diversos desafios, alguns deles são a segurança e privacidade dos dados.
Para conversarmos sobre o tema, convidamos alguns especialistas para abordarem cases de sucessos e uma visão prática da nova lei:
• Fernanda Wiggers - Business Developer na SEC4YOU;
• Marcelo Souza - Professional Services Manager na McAfee;
• Paulo Yukio Watanabe - Junior DPO na Boa Vista;
• (Moderador) Alfredo dos Santos - Advisor de API & HIP na Digibee;
No dia 18 de setembro de 2020, entrou em vigor a Lei Geral de Proteção de Dados Pessoais (LGPD). Sua principal premissa é alterar a forma como empresas e organizações cuidam, armazenam, compartilham e tratam dos dados pessoais. Desta forma é mais simples fiscalizar os abusos cometidos com as informações fornecidas pelos usuários
Para a lei informações como nome, idade, gênero, endereço e e-mail se enquadram na categoria de “dado pessoal”, e “tratamento de dados” se refere a tudo aquilo que a organização pode realizar com os dados recebidos.
Essas regras permitem que o padrão de segurança seja elevado, e que para a utilização das informações deve existir uma autorização do usuário. Caso a empresa não cumpra com o estabelecido, penalidades serão aplicadas.
Segurança de Dados Pessoais – do Dispositivo à Nuvem
De acordo com Marcelo de Souza, existem 3 pilares sobre segurança da informação: confidencialidade, integridade e disponibilidade de dados. Por muitos anos, a segurança da informação no Brasil foi movida por este tripé, entretanto, ouvia-se falar sobre disponibilidade de dados, mas não levavam em conta a confidencialidade das informações.
“Quando temos uma lei que traz estes assuntos, como proteção de dados pessoais, privacidade das informações e segurança dos dados, a confidencialidade passa a ter uma importância nunca antes vista”, alega Marcelo.
Isto acontece porque se em alguma situação a empresa for atacada por malwares, por exemplo, a confidencialidade das informações passa a ter um peso muito maior do que a disponibilidade dos dados, isto porque a LGPD poderá aplicar sansões caso as informações sejam vazadas.
A LGPD dispõe de 2 pilares importantes:
• Uso devido e legal dos dados pessoais
• Segurança dos dados pessoais
No caso de uso devido e legal dos dados pessoais, estamos falando de empresas regularizadas que seguem padrões, estão dentro da lei e mostram a seus usuários que as informações que estão ao seu poder estão sendo utilizadas da forma correta e dentro da lei.
Já o pilar da segurança dos dados pessoais, de acordo com Marcelo, não é o foco principal das empresas, visto que o Uso devido e legal dos dados pessoais aborda aspectos jurídicos, e quando falamos de segurança, o aspecto técnico é deixado de lado.
“Faça a gestão contínua e transparente para garantir o devido tratamento a segurança dos dados pessoais da sua organização”, diz Marcelo de Souza.
Quando falamos de segurança dos dados pessoais, devemos pensar em alguns desafios que devem ser superados, para isso, devemos diferenciar o que é vulnerabilidade e ameaças.
Ameaça pode partir de algum problema sistêmico ou por algum erro de um colaborar, colocando em risco a segurança das informações. Neste caso, é possível encontrar se a falha foi acidental, como por exemplo, se um funcionário envia as informações por e-mail acidentalmente para uma pessoa fora da corporação.
Caso a falha seja proposital, podemos direcionar a culpa para hackers, malwares, softwares e colaboradores mal intencionados.
Quando falamos de vulnerabilidades devemos entender que estas situações giram em torno de problemas na segurança que permitem o vazamento das informações. Neste tópico podemos encontrar alguns problemas como: controle de acesso; repositórios de dados; aplicações web; APIs; entre outros.
Todos estes problemas aparecem no funcionamento técnico de diversas empresas que guardam suas informações no servidor próprio, ou na nuvem.
Marcelo de Souza conta que para estas situações a McAfee desenvolveu um resumo de solução voltado para a LGPD. Seu objetivo é tratar dos diversos aspectos da lei e demonstrar como a empresa pode auxiliar nos processos de segurança em diversas frentes, como nuvens de arquivos, servidores próprios e dispositivos móveis.
A privacidade e a lei matemática da sugestão de serviços
Vivemos em uma era tecnológica regada de dados que são monitorados 24 horas por dia, desta forma, empresas que investem em Inteligência Artificial (IA) estão ganhando mercado e crescendo rapidamente. Você se torna alvo à partir do momento que procura um produto no google, após, você receberá diversas indicações.
“A internet não tem fim, nós somos um produto, somos a mercadoria”, diz Fernanda Wiggers. De acordo com Fernanda, a LGPD foi formulada para orquestrar e garantir a segurança dos usuários, visto que na era dos dados nós somos bombardeados com diversas informações.
Wigger cita alguns riscos que a LGPD pretende controlar:
• Risco de vazamento de dados;
• Risco legal – titular;
• Risco de imagem;
• Risco cibernético;
• Risco de negócio;
O risco de vazamento de dados é atrelado diretamente ao risco cibernético e risco legal, visto que caso algo ocorra nestes tópicos a empresa pagará judicialmente. Expandindo o olhar, podemos dizer que quando uma empresa tem os dados vazados, ela pode sofrer custos no seu negócio e sujar a imagem da empresa.
O maior desafio das empresas é como crescer utilizando as tecnologias emergentes, como a IA, e garantir ao mesmo tempo a conformidade com as leis que regem a privacidade humana. Pensando nessas situações, a SEC4YOU desenvolveu uma plataforma de gestão de privacidade e governança. A IDEssentials tem atendimento focado para as empresas se adequarem a LGPD.
“A maioria das empresas que trabalhamos, já conseguem entender e visualizar a LGPD como programa. Visto que a lei precisa ter continuidade para chegar à conformidade”, diz Fernanda. O ecossistema possui uma grande quantidade de dados, isto significa que as empresas estão constantemente atualizando seus servidores, funcionários e precisando garantir a segurança das informações.
A LGPD sobrescreve as demais leis?
Sabemos que a LGPD garante a possibilidade de aplicações de sansões para empresas que descumprirem as regras de segurança dos dados, isso quer dizer que a Lei Geral de Proteção de dados é superior as outras garantias de segurança?
De acordo com Paulo Yukio, a aplicação de multas sob o descumprimento da LGPD só ocorrerá no ano de 2021, entretanto, já existem entidades junto com o ministério público atuando na proteção dos dados pessoais.
Yukio relembra que a punição sofrida pela empresa Cyrella não corresponde a LGPD e sim ao Código de Defesa do Consumidor, porém, este é um caso que pode ser avaliado sobre a ótica da LGPD, visto que as punições futuras irão ocorrer da mesma forma.
“Precisamos lembrar que já existem diversas leis que tratam sobre a segurança e privacidade dos consumidores. Desta forma devemos entender que LGDP não surgir para sobrescrever as leis, mas sim para organizar as questões sobre privacidade”, relembra Paulo.
A LGPD irá compor um leque extenso de circunstâncias relacionadas a privacidade como vazamento de dados, falhas na segurança, má configuração do sistema, entre outros.
Apesar da lei já estar em vigor, as penalidades só poderão ser aplicadas em 2021. O conjunto de sanções engloba:
• Advertência;
• Multa de até 2% do faturamento (limite de até R$ 50 milhões);
• Entrave ou retirada dos dados pessoais ligados à irregularidade;
• Proibição parcial ou total do tratamento dos dados.
A LGPD deve ser vista como uma complementação e parceira na organização ao que se refere a proteção dos dados pessoais. Devemos enxergá-la como instrumento de segurança, desta forma teremos a garantia que empresas utilizarão as informações dos clientes da melhor forma, prezando pela qualidade do serviço.
Este artigo foi escrito por Alfredo Santos e publicado originalmente em Prensa.li.