A nova lei de dados – Lei Geral de Proteção de Dados (LGPD) – foi sancionada em agosto de 2018 e entrou em vigor em agosto de 2020.
Mas por que precisamos falar sobre isso agora?
As empresas e organizações enfrentarão importantes obrigações no que diz respeito à segurança dos dados pessoais de seus colaboradores, parceiros e clientes. Portanto, é crucial agir imediatamente e resolver qualquer questão pendente. Para auxiliá-lo nesse processo, neste artigo destacamos os principais elementos dessa nova legislação e fornecemos orientações práticas sobre como iniciar sua implementação em seu negócio.
O que é a nova lei de dados?
O Brasil concentra 92% dos casos de ransomware na América Latina. Foi o quinto país mais afetado pelo Ransomware WannaCry em 2016 e também o quinto colocado na lista de dispositivos vulneráveis, de acordo com estudo da Avast. Ao longo desse tempo tivemos vários crimes cibernéticos, alguns deles ficaram bem famosos como: nRanson, Bad rabbit, ExPetr entre varios outros que derivam do ransomware. Nos últimos anos vários países colocaram em xeque como anda a segurança da informação de pessoas físicas e jurídicas, desde então muitos escândalos e vazamentos de dados de empresas que são familiares a nós, como o Facebook, por exemplo tiveram grandes proporções na mídia.
Este é um assunto tão sério que em maio de 2018 a União Europeia transformou a proteção de dados em lei – a GDPR (General Data Protection Regulation), e, três meses depois, foi a vez do Brasil, por meio da Lei nº 13.709/2018.
A nossa Lei Geral de Proteção de Dados (LGPD) regulamenta o uso e tratamento dos dados pessoais, tanto pela iniciativa privada quanto do poder público, na tentativa de protegê-los contra vazamentos e uso indevido.
Nesse caso, caberá a todas as empresas e órgãos públicos que lidam com dados pessoais (estejam elas em meio digital ou não) algumas responsabilidades. Ou seja, se a sua empresa realiza um simples cadastro de CPF, por exemplo, você precisa se ajustar à nova lei de dados. Se você tem um cadastro com os dados pessoais de seus funcionários também.
Pontos importantes sobre a LGPD:
Ela também inclui empresas que não possuem estabelecimentos aqui no Brasil;
Os 10 princípios da LGPD, o que inclui a prestação de contas demonstrando que a empresa está cumprindo a lei;
Todos os dados pessoais que a empresa tem sobre pessoas físicas e jurídicas precisam ter o consentimento delas para serem guardados e utilizados pela empresa;
Os titulares dos dados têm direito ao acesso, informação, cancelamento, retificação, oposição e portabilidade de seus dados;
A nova lei de dados também tem regras específicas para tratar dados sensíveis, dados de crianças e adolescentes, e, ainda, transferência internacional de dados;
Toda empresa que for responsável pelo tratamento de dados deverá nomear uma pessoa encarregada pela proteção de dados pessoais.
As atividades de tratamento de dados devem ser registradas em relatório;
A lei também trata da realização de avaliação de impacto à proteção de dados (muito semelhante ao Data Protection Impact Assessment, o DPIA);
A lei determina punições para infrações envolvendo incidentes de segurança de dados, que vão de advertência a multa de até 2% do faturamento anual da empresa, limitado a R$ 50 milhões por infração.
Como implementar a Lei LGPD na sua empresa?
Conscientização e Treinamento: É fundamental que todos os colaboradores estejam cientes dos princípios e requisitos da LGPD. Promova treinamentos e workshops para garantir que todos compreendam a importância da proteção de dados pessoais e as responsabilidades envolvidas.
Mapeamento de Dados: Realize um inventário completo de todos os dados pessoais que a empresa coleta, armazena e processa. Identifique os fluxos de dados, as finalidades de uso e os períodos de retenção. Isso ajudará a compreender quais dados estão sendo tratados e onde estão armazenados.
Análise de Riscos e Medidas de Segurança: Faça uma avaliação de riscos de segurança da informação em relação aos dados pessoais. Identifique possíveis vulnerabilidades e implemente medidas de segurança adequadas, como criptografia, acesso restrito aos dados e proteção contra ameaças cibernéticas.
Políticas e Procedimentos: Desenvolva e implemente políticas internas claras sobre privacidade e proteção de dados. Essas políticas devem abordar a coleta, uso, compartilhamento e descarte de informações pessoais. Estabeleça procedimentos para lidar com solicitações de acesso, retificação e exclusão de dados pessoais.
Consentimento e Transparência: Obtenha consentimento explícito dos indivíduos para coletar e processar seus dados pessoais. Informe claramente os propósitos do tratamento de dados e forneça políticas de privacidade claras, explicando como os dados serão utilizados.
Responsabilidade do Controlador: Designe responsáveis internos pela proteção de dados (Encarregado de Proteção de Dados - DPO) e estabeleça procedimentos para lidar com incidentes de segurança e violações de dados.
Parcerias com Fornecedores: Certifique-se de que seus fornecedores e parceiros comerciais também estejam em conformidade com a LGPD. Estabeleça contratos que estipulem a responsabilidade pela proteção de dados pessoais compartilhados.
Atualização dos Contratos: Revise e atualize os contratos existentes para incluir cláusulas de proteção de dados adequadas, especialmente se houver transferência de dados pessoais para fora do país.
Avaliação e Auditoria: Realize auditorias regulares para garantir o cumprimento das políticas e procedimentos de proteção de dados. Faça revisões periódicas para garantir que as práticas estejam em conformidade com as exigências da LGPD.
Resposta a Incidentes: Desenvolva um plano de resposta a incidentes de segurança da informação para lidar prontamente com possíveis violações de dados e notifique a Autoridade Nacional de Proteção de Dados (ANPD) conforme exigido pela legislação.
ALERTA: Para o departamento de TI, muito importante investir em soluções de CiberSegurança:
Busque um parceiro de tecnologia e infraestrutura de TI especializado em Segurança da Informação para apoiar a sua empresa na preparação da TI para a LGPD, do Assessment de Vulnerabilidades, Construção do Roadmap de Ações priorizadas e Sustentação da Segurança da Informação;
NOC - (Network Operation Center) mantenha seu ambiente monitorado;
Monitoramento do processo de tratamento de dados;
Monitoramento dos riscos de tratamento dos dados na empresa e em terceiros;
Gestão e mascaramento de dados;
Segurança e controle de acesso dos Bancos de dados;
Gestão de identidade de clientes e consumidores;
Arquiteturas tecnológicas e práticas de proteção de dados incorporadas em todo novo ambiente e aplicação de TI por padrão (privacy by design) – como o acesso controlado e a encriptação nativa de dados pessoais assim que forem coletados, bem como a guarda segura deles.
Se você busca adequar seu negócio á LGPD, a Audere pode ajudar!
Somos um canal oficial especializado em cibersegurança e estamos aqui para ajudar o seu negócio na implementação efetiva da LGPD. Nossa equipe de especialistas possui o conhecimento e a experiência necessários para orientar e apoiar sua empresa em todos os aspectos relacionados à proteção de dados pessoais.
Não deixe que a implementação da LGPD seja uma tarefa complexa e intimidadora. Conte com nosso expertise em cibersegurança e proteção de dados para garantir que sua empresa esteja em conformidade com a legislação e para proteger a privacidade e os direitos das pessoas envolvidas. Entre em contato conosco hoje mesmo e vamos trabalhar juntos para fortalecer a segurança de seus dados pessoais.
Proteja-se com quem entende do seu negócio!
Venha agora mesmo aderir a Audere!
☎️ (11) 4063-2655
✉️ vendas@audere.com.br