Se você está antenado nas últimas notícias, provavelmente ficou sabendo do famoso caso dos vazamentos de dados envolvendo os membros da Operação Lava Jato, revelados pelo site The Intercept.
Nosso objetivo, aqui, não é fazer juízo de valor ou debater política, mas falar sobre segurança dos dados, pois as conversas foram retiradas do aplicativo Telegram. A reflexão sobre a proteção dos dados pessoais está cada vez mais séria e requer leis específicas, como a LGPD.
A Lei Geral de Proteção de Dados foi sancionada pelo ex-presidente Michel Temer, em 2018, e entrará em vigor em dezembro de 2020. As empresas terão um pouco mais de dois anos para se adaptar à nova regra, modificando a forma de captação, armazenamento e tratamento das informações de seus clientes.
Neste post, vamos tirar 7 dúvidas sobre a LGPD, deixando claro quais são as principais mudanças que ela trará para empresas e clientes. Confira!
1. O que a LGPD efetivamente muda?
Existe uma palavra-chave em relação à LGPD: consentimento. A lei passa para o titular todo o protagonismo sobre os seus dados. Isso significa que, para que uma empresa capture, armazene e trate os dados de um cliente, deverá provar o consentimento explícito de seu titular.
A internet é um ambiente muito veloz, o que é considerado uma qualidade no ambiente online. Nesse cenário, na maioria das vezes, os termos de utilização dos sites são sumariamente ignorados.
As empresas sabem disso, e, como os dados são muito importantes para uma série de estratégias, o layout das notificações dos termos de uso favorecem a agilidade, visando à facilitação dessa captação.
Não é incomum vermos botões pré-selecionados — como “OK”, “aceito”, “avançar”, “prosseguir” e “concordo” —, que estimulam os usuários a clicar para continuar a navegação. Em contraste com os botões salientes, tínhamos os termos em letras miúdas, que dificultavam a leitura. Tudo isso passa a ser vedado, de acordo com a lei.
A Lei Geral de Proteção de Dados veio para definir as bases para que esse consentimento seja claro e que fique evidente para o usuário, ou seja, caberá às empresas criar notificações que não dificultem a compreensão das suas intenções. Caso seja comprovada má-fé ou indução, o titular poderá buscar medidas judiciais.
2. O que são dados sensíveis?
Um dos pontos mais ressaltados na LGPD são os dados sensíveis, que vão além da mera identificação de uma pessoa. Esses dados são:
- etnia;
- posicionamento religioso;
- opinião política;
- filiação a sindicato;
- posicionamento filosófico ou político;
- dados relacionados a saúde;
- dados relacionados a biometria.
O objetivo, aqui, é proteger informações que possam causar algum tipo de discriminação, sendo que o artigo 11 da LGPD define as situações em que o tratamento desse tipo de dado é permitido.
Mais uma vez, a palavra-chave é “consentimento do titular”. Assim, além de ter que seguir as regras do artigo 8º da lei, há exigência de que haja um respeito maior a essas informações, com a menção da real finalidade da captação.
3. E os dados pessoais não sensíveis?
Os dados pessoais não sensíveis são aqueles que podem, sozinhos ou em conjunto com outros, identificar uma pessoa. A diferença para os sensíveis é que eles não revelam características físicas, opiniões e comportamento, apenas identificam a pessoa. Entre eles, podemos destacar:
- nome;
- idade;
- CPF;
- RG;
- CEP;
- endereço IP;
- cookies;
- data de nascimento etc.
4. O que as empresas devem fazer para se adequar à lei?
O que as organizações precisam ter como foco em relação à LGPD é: todo dado coletado precisa ser justificado. É preciso informar aos clientes os motivos da captação, de forma clara e objetiva, além de informar ao titular a forma de tratamento e por quanto tempo os dados ficarão no banco de dados da empresa.
Mesmo com os dados cedidos, o titular mantém o controle sobre a alteração, remoção, transporte e eliminação das informações a qualquer momento, e caberá à corporação entregar as ferramentas para que o titular possa tomar essas decisões de forma desburocratizada.
Será de responsabilidade da empresa, também, designar um profissional para cuidar do controle de dados. Essa pessoa deverá se especializar sobre a lei, deixar os seus companheiros atualizados sobre a norma e servir como mediadora quando ocorrer algum tipo de entrave ou problema relacionado aos dados.
Uma preocupação que deverá ser latente dentro das empresas, é a questão da segurança desses dados. Como responsáveis pela captação e tratamento, cabe ao gestor adquirir os melhores sistemas de proteção — firewalls, antivírus e VPNs, para garantir 100% de integridade.
5. Como organizar seu setor de TI para obedecer à legislação?
O setor de TI é, sem dúvidas, o mais atuante nessa nova legislação, pois é por meio dele que serão criados todos os mecanismos de notificações, segurança, armazenamento, tratamento, disponibilização e integridade dos dados.
As empresas deverão estabelecer um Comitê de Segurança da Informação, que ficará responsável pela análise dos procedimentos internos. É nesse comitê que atuará o profissional responsável pela proteção dos dados e pelo cumprimento da lei.
É no setor de TI, também, que deverá ser feita a avaliação da maturidade dos processos e impactos de risco. Após essa avaliação, a equipe de TI deverá verificar os detalhes que precisam de correção para que a LGPD seja cumprida em todos os departamentos.
6. Qual é a importância da adoção do Privacy by Design?
Como vimos no início do post, as empresas têm até dezembro de 2020 para se adequar às novas regras. Uma solução que deve ser adaptada durante esse período é o Privacy by Design, que nada mais é do que integrar a privacidade à própria arquitetura e estrutura e do sistema desde já.
Sim! Esse conceito também deve ser aplicado à estrutura física da empresa, afinal, a segurança da informação é muito mais abrangente e deve se preocupar com fatores analógicos e digitais.
7. Qual é o impacto financeiro que a LGPD pode causar?
Bem, já tiramos as dúvidas básicas sobre a Lei Geral de Proteção de Dados, mas ainda não falamos sobre as sanções que a regulamentação trará para as empresas que não seguirem as regras à risca. A primeira coisa que devemos ressaltar é que, em caso de disputa judicial, o ônus da prova cabe ao controlador, ou seja, a empresa que fez a solicitação das informações.
Ela é que deverá provar que não descumpriu as normas, entregando evidências de que as informações foram enviadas de forma voluntária, com consentimento explícito. A empresa também deverá provar que os dados foram tratados da forma correta, ou seja, como foi combinado no termo de adesão aceito pelo titular. Se ficar comprovado que a empresa infringiu a lei, ficará passível das seguintes sanções:
- advertência com prazo estipulado para adoção de medidas corretivas;
- multa de até 2% do lucro do faturamento do último exercício, limitada a R$ 50 milhões;
- multa diária;
- divulgação da infração após a apuração e comprovação do problema;
- retenção dos dados pessoais referentes à infração até que haja a regularização;
- remoção dos dados pessoais referentes à infração.
A LGPD — Lei Geral de Proteção de Dados veio para deixar a relação entre pessoas físicas e empresas mas transparente na questão da captação e tratamento de dados.
Essa é uma questão que estará cada vez mais presente em nossa rotina, afinal, cada vez mais as nossas tarefas rotineiras estão migrando para a nuvem, e os nossos dados estão sendo transportados pela web.
Para saber mais sobre como se proteger de invasões, malware etc, veja também como a Kaspersky pode te ajudar.
Gostou do post? Quer receber outros conteúdos informativos como este? Então, siga-nos nas redes sociais e fique por dentro de nossas novidades. Estamos no Facebook, Twitter, Instagram e LinkedIn.