Fale com um consultor Fale com consultor
Microcity

Entenda tudo sobre a Lei Geral de Proteção de Dados (LGPD)

Entenda tudo sobre a Lei Geral de Proteção de Dados (LGPD)

A nova Lei Geral de Proteção de Dados foi aprovada em agosto de 2018. Ela visa regulamentar a coleta e tratamento de dados pelas empresas para garantir proteção e privacidade para os dados pessoais dos usuários de posse das empresas para promover mais transparência e segurança nesta relação.

 

Sancionada em 2018, a nova Lei Geral de Proteção de Dados entra em vigor em sua totalidade a partir de agosto de 2021. Assim, as empresas que ainda não adequaram seus processos têm um curto prazo para se adaptar e evitar as penalidades.

Muitas empresas já estavam preparadas para a primeira data prevista para a implementação da nova legislação, em 2020. No entanto, devido à pandemia global da Covid-19 e possíveis efeitos econômicos, o Senado aprovou uma extensão no prazo por mais um ano.

As novas regras interferem diretamente no dia a dia das empresas, principalmente na gestão de TI, já que hoje o volume de dados armazenados e manipulados é enorme e as multas e sanções previstas são severas. Para se adequar à legislação, as palavras de ordem são segurança e privacidade.

Preparamos este artigo para que você tenha todas as informações necessárias para adaptar os processos do seu negócio. Trouxemos, também, algumas soluções disponíveis no mercado para ajudar a sua empresa a se adequar às novas normas.

Qual a origem da Lei Geral de Proteção de Dados (LGPD)?

Depois do escandaloso vazamento de informações de milhares de usuários do Facebook, ocorrido em 2018, o debate sobre a proteção de informações no Brasil ganhou força e senso de urgência.

A LGPD tem suas diretrizes inspiradas na General Data Protection Regulation (GDPR), legislação da União Europeia que regula o uso e armazenamento de dados. Uma das motivações para a urgência da versão brasileira da legislação foi, exatamente, a abrangência das normas europeias.

Isso porque qualquer organização que tenha relações institucionais ou corporativas com países onde a GDPR se aplica devem observar as leis, ainda que estejam fora da jurisdição da União Europeia. As multas chegam a 20 milhões de euros ou 4% do volume global de negócios anual da instituição (o que for maior) para a empresa autuada.

Ou seja, se uma empresa brasileira realizar operações comerciais com uma organização europeia, ela deve estar de acordo com a legislação de lá, estando inclusive sujeita às penalidades previstas pela GDPR.

Por aqui no Brasil, depois de dois anos de tramitação no Congresso, o projeto de lei (PLC 53/2018) foi aprovado e sancionado em agosto de 2018, pelo então presidente Michel Temer. A partir desta data, as empresas tiveram três anos para se adaptarem às novas definições.

Ou seja, a LGPD já está em vigência e, de acordo com as últimas inclusões em 2019, as multas já podem ser aplicadas a partir de agosto de 2021. Se a sua empresa ainda não está de acordo com a Lei de Proteção de Dados, está na hora de se adequar.

O que diz a LGPD?

A legislação foi desenvolvida com base em dois pontos principais: as empresas não podem mais repassar dados pessoais sem autorização e, em caso de vazamento de informações, as companhias precisam avisar a todas as pessoas impactadas.

Entende-se como dado pessoal todo aquele que identifica um indivíduo, como nome, RG, CPF, endereço, telefone, e-mail etc. São ainda inclusos, na legislação, todo dado sensível, que inclui informações sobre religião, saúde, etnia, biometria, posicionamento político ou qualquer dado que possa deixar o indivíduo mais vulnerável a discriminação de qualquer ordem.

As regras exigem práticas de segurança e transparência claras nas empresas. Todas as pessoas têm o direito de saber como, por que e para que as organizações coletam dados. No caso de informações armazenadas, as empresas também devem informar por quanto tempo serão guardadas e com quem podem vir a ser compartilhadas.

As multas para quem descumprir o que está previsto na LGPD podem chegar a R$50 milhões. As empresas podem, ainda, ser obrigadas a apagar as informações pessoais que possuem. Por isso, é preciso garantir, por exemplo, a segurança dos bancos de dados.

A Associação das Empresas Brasileiras de Tecnologia da Informação de Minas Gerais (Assespro-MG) alerta que as empresas de TI precisam ter atenção especial à legislação. Abaixo listamos 4 dicas principais para seguir:

  • Informe obrigatoriamente clientes e usuários sempre que houver coleta de dados pessoais pela empresa;
  • Após obter as informações pessoais, armazene os dados somente pelo tempo necessário para diminuir os riscos de vazamento;
  • Mantenha atualizados relatórios sobre as atividades envolvidas no processamento de dados do seu negócio;
  • Fique atento aos contratos com fornecedores ou empresas terceirizadas, que manipulem dados pessoais em nome da sua empresa. A segurança no tratamento das informações também precisa estar garantida nesses casos.

Como a LGPD impacta o setor de TI?

O setor de TI é, provavelmente, o mais afetado em seus processos, assumindo uma grande responsabilidade. Isso porque o tráfego e a segurança de dados estão em suas mãos, já que quase tudo é extraído e armazenado de forma digital.

Com a nova legislação, surge na área de TI a demanda por um setor ou comitê aliado à segurança da informação. As medidas adotadas para adequar à LGPD devem estar associadas à Política de Segurança da Informação da empresa, com foco em quatro pontos cruciais:

  • Autenticidade;
  • Disponibilidade;
  • Integridade.

Essa nova demanda é apenas a ponta de um iceberg. A equipe deve estar atenta a novas soluções que ajudem a promover a segurança dos dados, além de estar pronta para fazer com que a vontade do titular da informação prevaleça sempre, seja pelo cancelamento, portabilidade ou acesso às informações a qualquer momento.

De forma geral, a LGPD unifica e padroniza as regras vigentes no país, adicionando transparência e objetividade tanto para empresas quanto para usuários. Para os últimos, elimina-se as letras miúdas em contratos e termos de uso, deixando claro quais dados e para qual finalidade estão sendo coletados.

Na outra ponta, as empresas passam a ter mais segurança e embasamento para o uso de Big Data de acordo com seus interesses, desde que de acordo com a lei.

A nova legislação ainda tem o potencial de incentivar o investimento estrangeiro em empresas nacionais, visto que o Brasil passa a ser bem-visto como um país que se preocupa em proteger dados digitais por meio de leis gerais de proteção de dados.

Como o gestor de TI deve se adaptar às novas legislações de proteção de dados e privacidade?

Em muitas empresas, o gestor de TI é a pessoa diretamente responsável pelo projeto de adaptação às novas normas da LGPD. Por isso, sua primeira providência deve ser a de se informar sobre a nova legislação e compreender as mudanças necessárias na sua empresa.

A própria lei prevê uma série de medidas a serem tomadas, com o intuito de evitar que as informações de pessoas físicas ou jurídicas sejam utilizadas de maneira indevida ou sem o consentimento do proprietário.

Sim, a Lei de Proteção de Dados passa a considerar dados pessoais e sensíveis como propriedade da pessoa a quem se referem. E assim sendo, é o titular dessa informação quem deve consentir seu uso ou armazenamento por qualquer empresa.

Para quem adota soluções de TI terceirizadas, é essencial se certificar que as parcerias sejam firmadas com empresas que atuam conforme a LGPD. Também é fundamental assegurar que as soluções adotadas, como softwares de gestão ou armazenamento em nuvem, atendem aos critérios de segurança exigidos pela norma.

O que é preciso para se adaptar à LGPD?

As novas normas preveem uma série de obrigações por parte da empresa que coleta, armazena e usa dados, não apenas de clientes ou fornecedores, por exemplo, mas também dos colaboradores internos das empresas. Por isso, até mesmo as políticas internas devem ser observadas para garantir a proteção dos dados e evitar o vazamento de informações.

Também não há distinção entre profissionais efetivos da empresa ou terceirizados, a empresa é responsável pela ação de qualquer pessoa que a represente. Assim, é preciso compartilhar as práticas que garantem a proteção dos dados como uma nova mentalidade do negócio.

Uma metodologia criada na década de 1990 e que ganha força com a chegada da LGPD é a Privacidade por Definição, ou Privacy by Design.

A ideia é que a privacidade seja encarada como parte do modelo de negócio, sendo incorporada na arquitetura de TI. Na metodologia, a proteção da privacidade é colocada no centro de todo o desenvolvimento, incluindo-a entre os valores da empresa e, consequentemente, da gestão de TI.

O conceito de Privacy By Design pode ser sintetizado em sete preceitos principais:

  • Ser proativo e não reativo;
  • Privacidade por padrão;
  • Privacidade incorporada ao projeto;
  • Funcionalidade total – soma positiva em vez de soma zero;
  • Segurança de ponta a ponta;
  • Visibilidade e transparência;
  • Respeito pela privacidade do usuário (solução centrada no usuário);

Assim, para assegurar que sua empresa está de acordo com as normas da LGPD, trouxemos algumas dicas de revisão dos processos atuais:

Nutra uma cultura de proteção de dados

Não basta implementar algumas ações e softwares se a equipe não estiver a par da importância das mudanças. É preciso criar e nutrir, dentro da empresa como um todo, uma cultura voltada para a proteção dos dados, na qual todos os profissionais compreendem sua importância e agem ativamente a seu favor.

Revise as normas de tratamento de dados pessoais

Ainda que aparentemente um processo cumpra a legislação, é importante que as normas e processos sejam revistos com cuidado para assegurar sua legalidade. Quando necessário, adapte e reformule as regras internas.

Dê atenção aos formulários de consentimento de uso de dados

Os formulários de consentimento do uso de dados podem estar vinculados a cadastros em lojas online ou ao uso de cookies, por exemplo. Esses formulários adquiriram relevância extra com a LGPD e não devem ser ignorados.

Alinhe suas expectativas com terceirizadas

Como já mencionamos, a Lei Geral de Proteção de Dados não diferencia efetivos e terceirizados. Por isso, é importante que suas parceiras, sejam fornecedoras de TI ou de qualquer solução que possa lidar com dados pessoais e sensíveis, estejam alinhadas quanto ao cumprimento da legislação.

Guia de melhores práticas para construção de RFP

Como a Microcity auxilia seu negócio a se adaptar à LGPD?

A Microcity possui uma série de soluções, com o que há de mais novo no mercado, que vão auxiliar seu negócio a se adaptar às novas regras. Todas elas contam com a praticidade e confiabilidade da nuvem de serviços Microcity em parceria com os produtos Microsoft Azure:

PC as a Service: conecta os dispositivos de acesso ao ambiente de TI da sua empresa à Nuvem de Serviços Microcity e aos serviços do Microsoft Azure;

Backup and Restore da Microcity: conta com a eficiência do Microsoft Azure para garantir a segurança no armazenamento dos dados da sua empresa;

Os serviços oferecidos pela Microcity também estão de acordo com o padrão da legislação da União Europeia para proteção de dados (GDPR). Assim, não importa o tamanho da sua empresa ou o alcance dos negócios. Nós temos uma solução que atende à sua necessidade.

Quer saber mais sobre a Lei Geral de Proteção de Dados e como implantar as normas no dia a dia da sua empresa? Acesse nosso artigo sobre compliance em TI e entenda mais sobre o assunto.

O compliance em TI impacta na segurança da informação em sua empresa

Assine nossa
newsletter

    Ebook
    do mês