A nova Lei Geral de Proteção de Dados foi aprovada em agosto de 2018. Ela visa regulamentar a coleta e tratamento de dados pelas empresas para garantir proteção e privacidade para os dados pessoais dos usuários de posse das empresas para promover mais transparência e segurança nesta relação.
Sancionada em 2018, a nova Lei Geral de Proteção de Dados entra em vigor em sua totalidade a partir de agosto de 2021. Assim, as empresas que ainda não adequaram seus processos têm um curto prazo para se adaptar e evitar as penalidades.
Muitas empresas já estavam preparadas para a primeira data prevista para a implementação da nova legislação, em 2020. No entanto, devido à pandemia global da Covid-19 e possíveis efeitos econômicos, o Senado aprovou uma extensão no prazo por mais um ano.
As novas regras interferem diretamente no dia a dia das empresas, principalmente na gestão de TI, já que hoje o volume de dados armazenados e manipulados é enorme e as multas e sanções previstas são severas. Para se adequar à legislação, as palavras de ordem são segurança e privacidade.
Preparamos este artigo para que você tenha todas as informações necessárias para adaptar os processos do seu negócio. Trouxemos, também, algumas soluções disponíveis no mercado para ajudar a sua empresa a se adequar às novas normas.
Depois do escandaloso vazamento de informações de milhares de usuários do Facebook, ocorrido em 2018, o debate sobre a proteção de informações no Brasil ganhou força e senso de urgência.
A LGPD tem suas diretrizes inspiradas na General Data Protection Regulation (GDPR), legislação da União Europeia que regula o uso e armazenamento de dados. Uma das motivações para a urgência da versão brasileira da legislação foi, exatamente, a abrangência das normas europeias.
Isso porque qualquer organização que tenha relações institucionais ou corporativas com países onde a GDPR se aplica devem observar as leis, ainda que estejam fora da jurisdição da União Europeia. As multas chegam a 20 milhões de euros ou 4% do volume global de negócios anual da instituição (o que for maior) para a empresa autuada.
Ou seja, se uma empresa brasileira realizar operações comerciais com uma organização europeia, ela deve estar de acordo com a legislação de lá, estando inclusive sujeita às penalidades previstas pela GDPR.
Por aqui no Brasil, depois de dois anos de tramitação no Congresso, o projeto de lei (PLC 53/2018) foi aprovado e sancionado em agosto de 2018, pelo então presidente Michel Temer. A partir desta data, as empresas tiveram três anos para se adaptarem às novas definições.
Ou seja, a LGPD já está em vigência e, de acordo com as últimas inclusões em 2019, as multas já podem ser aplicadas a partir de agosto de 2021. Se a sua empresa ainda não está de acordo com a Lei de Proteção de Dados, está na hora de se adequar.
A legislação foi desenvolvida com base em dois pontos principais: as empresas não podem mais repassar dados pessoais sem autorização e, em caso de vazamento de informações, as companhias precisam avisar a todas as pessoas impactadas.
Entende-se como dado pessoal todo aquele que identifica um indivíduo, como nome, RG, CPF, endereço, telefone, e-mail etc. São ainda inclusos, na legislação, todo dado sensível, que inclui informações sobre religião, saúde, etnia, biometria, posicionamento político ou qualquer dado que possa deixar o indivíduo mais vulnerável a discriminação de qualquer ordem.
As regras exigem práticas de segurança e transparência claras nas empresas. Todas as pessoas têm o direito de saber como, por que e para que as organizações coletam dados. No caso de informações armazenadas, as empresas também devem informar por quanto tempo serão guardadas e com quem podem vir a ser compartilhadas.
As multas para quem descumprir o que está previsto na LGPD podem chegar a R$50 milhões. As empresas podem, ainda, ser obrigadas a apagar as informações pessoais que possuem. Por isso, é preciso garantir, por exemplo, a segurança dos bancos de dados.
A Associação das Empresas Brasileiras de Tecnologia da Informação de Minas Gerais (Assespro-MG) alerta que as empresas de TI precisam ter atenção especial à legislação. Abaixo listamos 4 dicas principais para seguir:
O setor de TI é, provavelmente, o mais afetado em seus processos, assumindo uma grande responsabilidade. Isso porque o tráfego e a segurança de dados estão em suas mãos, já que quase tudo é extraído e armazenado de forma digital.
Com a nova legislação, surge na área de TI a demanda por um setor ou comitê aliado à segurança da informação. As medidas adotadas para adequar à LGPD devem estar associadas à Política de Segurança da Informação da empresa, com foco em quatro pontos cruciais:
Essa nova demanda é apenas a ponta de um iceberg. A equipe deve estar atenta a novas soluções que ajudem a promover a segurança dos dados, além de estar pronta para fazer com que a vontade do titular da informação prevaleça sempre, seja pelo cancelamento, portabilidade ou acesso às informações a qualquer momento.
De forma geral, a LGPD unifica e padroniza as regras vigentes no país, adicionando transparência e objetividade tanto para empresas quanto para usuários. Para os últimos, elimina-se as letras miúdas em contratos e termos de uso, deixando claro quais dados e para qual finalidade estão sendo coletados.
Na outra ponta, as empresas passam a ter mais segurança e embasamento para o uso de Big Data de acordo com seus interesses, desde que de acordo com a lei.
A nova legislação ainda tem o potencial de incentivar o investimento estrangeiro em empresas nacionais, visto que o Brasil passa a ser bem-visto como um país que se preocupa em proteger dados digitais por meio de leis gerais de proteção de dados.
Em muitas empresas, o gestor de TI é a pessoa diretamente responsável pelo projeto de adaptação às novas normas da LGPD. Por isso, sua primeira providência deve ser a de se informar sobre a nova legislação e compreender as mudanças necessárias na sua empresa.
A própria lei prevê uma série de medidas a serem tomadas, com o intuito de evitar que as informações de pessoas físicas ou jurídicas sejam utilizadas de maneira indevida ou sem o consentimento do proprietário.
Sim, a Lei de Proteção de Dados passa a considerar dados pessoais e sensíveis como propriedade da pessoa a quem se referem. E assim sendo, é o titular dessa informação quem deve consentir seu uso ou armazenamento por qualquer empresa.
Para quem adota soluções de TI terceirizadas, é essencial se certificar que as parcerias sejam firmadas com empresas que atuam conforme a LGPD. Também é fundamental assegurar que as soluções adotadas, como softwares de gestão ou armazenamento em nuvem, atendem aos critérios de segurança exigidos pela norma.
As novas normas preveem uma série de obrigações por parte da empresa que coleta, armazena e usa dados, não apenas de clientes ou fornecedores, por exemplo, mas também dos colaboradores internos das empresas. Por isso, até mesmo as políticas internas devem ser observadas para garantir a proteção dos dados e evitar o vazamento de informações.
Também não há distinção entre profissionais efetivos da empresa ou terceirizados, a empresa é responsável pela ação de qualquer pessoa que a represente. Assim, é preciso compartilhar as práticas que garantem a proteção dos dados como uma nova mentalidade do negócio.
Uma metodologia criada na década de 1990 e que ganha força com a chegada da LGPD é a Privacidade por Definição, ou Privacy by Design.
A ideia é que a privacidade seja encarada como parte do modelo de negócio, sendo incorporada na arquitetura de TI. Na metodologia, a proteção da privacidade é colocada no centro de todo o desenvolvimento, incluindo-a entre os valores da empresa e, consequentemente, da gestão de TI.
O conceito de Privacy By Design pode ser sintetizado em sete preceitos principais:
Assim, para assegurar que sua empresa está de acordo com as normas da LGPD, trouxemos algumas dicas de revisão dos processos atuais:
Não basta implementar algumas ações e softwares se a equipe não estiver a par da importância das mudanças. É preciso criar e nutrir, dentro da empresa como um todo, uma cultura voltada para a proteção dos dados, na qual todos os profissionais compreendem sua importância e agem ativamente a seu favor.
Ainda que aparentemente um processo cumpra a legislação, é importante que as normas e processos sejam revistos com cuidado para assegurar sua legalidade. Quando necessário, adapte e reformule as regras internas.
Os formulários de consentimento do uso de dados podem estar vinculados a cadastros em lojas online ou ao uso de cookies, por exemplo. Esses formulários adquiriram relevância extra com a LGPD e não devem ser ignorados.
Como já mencionamos, a Lei Geral de Proteção de Dados não diferencia efetivos e terceirizados. Por isso, é importante que suas parceiras, sejam fornecedoras de TI ou de qualquer solução que possa lidar com dados pessoais e sensíveis, estejam alinhadas quanto ao cumprimento da legislação.
A Microcity possui uma série de soluções, com o que há de mais novo no mercado, que vão auxiliar seu negócio a se adaptar às novas regras. Todas elas contam com a praticidade e confiabilidade da nuvem de serviços Microcity em parceria com os produtos Microsoft Azure:
PC as a Service: conecta os dispositivos de acesso ao ambiente de TI da sua empresa à Nuvem de Serviços Microcity e aos serviços do Microsoft Azure;
Backup and Restore da Microcity: conta com a eficiência do Microsoft Azure para garantir a segurança no armazenamento dos dados da sua empresa;
Os serviços oferecidos pela Microcity também estão de acordo com o padrão da legislação da União Europeia para proteção de dados (GDPR). Assim, não importa o tamanho da sua empresa ou o alcance dos negócios. Nós temos uma solução que atende à sua necessidade.
Quer saber mais sobre a Lei Geral de Proteção de Dados e como implantar as normas no dia a dia da sua empresa? Acesse nosso artigo sobre compliance em TI e entenda mais sobre o assunto.