Definições sobre a Lei Geral de Proteção de Dados
São muitas as perguntas no mundo corporativo em relação a Lei Geral de Proteção de Dados, a LGPD, por isso é importante que empresas não parem projetos de sua implantação. A LGPD entrou em vigor em agosto de 2020, mas suas sanções só serão aplicadas a partir de janeiro de 2021.
Pela lei, empresas devem ser responsáveis com a coleta e armazenamento de dados considerados sensíveis sobre seus clientes. Além da questão legal, esse é um assunto que desperta interesse de toda a população, cada vez mais exigente em ter sua privacidade garantida pelas empresas.
Os negócios que se adequarem mais rápido ganharão benefícios em sua imagem como uma organização responsável e confiável.
Acima de tudo, a LGPD é um avanço necessário no país, assim como ocorre em outros lugares do mundo. Na União Europeia já existe o GDPR e nos EUA a CCPA que regulamentam, bem como trazem segurança e diretrizes do que aceitável como no uso de dados.
Mas quais são as bases legais da LGPD? O que são os tais dados sensíveis? Como sua empresa pode se adequar a essa realidade? O Blog FoxManager vai tentar ajudar a esclarecer algumas dessas questões.
Definições estabelecidas
A LGPD estabelece uma série de nomenclaturas e cria figuras no processo de tratamento de dados:
- Titular: a pessoa a quem os dados se referem;
- Consentimento: a manifestação livre pela qual o titular permite o uso dos dados;
- Dado pessoal: qualquer informação a respeito de uma pessoa identificada;
- Dado pessoal sensível: informações a respeito de origem geográfica, raça, etnia, religião, posição política, filiação a sindicato ou organização, prontuário médico, vida sexual, registro biométrico ou dados genéticos;
- Dado anonimizado: dados a respeito de um titular não identificável;
- Banco de dados: o conjunto estruturado de informações pessoais;
- Controlador: a pessoa responsável por tomar as decisões referentes a tratamento de dados;
- Operador: executor do tratamento em nome do controlador;
- Encarregado: o responsável pela comunicação entre controlador, o operador (empresa), o titular e a Autoridade Nacional de Proteção de Dados.
E quem é a Autoridade Nacional de Proteção de Dados? É o órgão federal criado para fiscalizar todo o processo.
“Da parte das empresas, essas devem ser transparentes no tratamento e utilização dos dados. Da parte dos titulares, estes devem confirmar a utilização dos dados e os manter sempre atualizados”, diz o advogado Bruno Faigle, especialista em direito digital e tecnologias.
3 principais bases legais
Dentro da Lei Geral de Proteção de Dados há um conjunto de 3 principais bases legais no que diz respeito ao tratamento de dados pessoais de usuários ou clientes.
É importante ter em mente que elas existem sem ser dependentes ou prevalecentes uma das outras.
Como cada empresa possui um modelo de negócios próprio que envolve, por exemplo, um CRM para o manejo de dados, cabe a ela própria definir a maneira mais apropriada de gerenciar e coletar os dados.
Consentimento, legitimidade e contratos
- Consentimento: Definir com clareza de que o usuário do site concorda que seus dados sejam utilizados para o envio de emails promocionais ou para propaganda direcionada. É importante que se deixe claro de que é necessário o consentimento do próprio usuário para que isso aconteça;
- Legitimidade: É quando há o uso de dados do usuário sem que sua permissão seja necessária. Vamos supor que sua empresa atraia um lead para seu site por este estar interessado em um assunto específico. A justa causa, ou interesse legítimo, repousa na ação da empresa em enviar um e-mail a esse lead com um assunto correlato, que também pode ser de seu interesse. Contudo, não há diretrizes claras a respeito da legitimidade, o que causa confusões. No entanto, esta base legal tem de se pautar pelo respeito e indistinção dos usuários;
- Contratos de uso de serviço ou trabalho: Toda vez que você contrata um serviço gratuito ou não na internet, há o chamado ‘termos de uso’. Se você possui uma conta no Google, ou no Facebook, com certeza teve de concordar com o uso dos seus dados para diversos fins. Essa base legal da LGDP diz respeito a responsabilidade da empresa com o armazenamento e tratamento desses dados. A empresa não pode tornar informações a seu respeito em um ativo financeiro para terceiros. Não sem seu consentimento. O mesmo vale para contratos de trabalho realizados no ambiente virtual, quando o candidato a uma vaga dispõe de informações pessoais para a empresa em seu currículo. Esses dados devem estar seguros e não podem ser compartilhados com outras organizações.
Monitoramento é essencial
Com a chegada da LGPD, a tendência é um aumento significativo dos casos de extorsão, dos incidentes de vazamentos de dados e dos casos de ransomware. É o que diz o especialista Sandro Suffert, CEO da Apura S/A. “Será preciso que elas entendam que não existe proteção perfeita. A proteção dos dados de uma empresa passará pela criação de backups seguros, implantação adequada de controles e pela diversificação de recursos em várias áreas de segurança”.
Por isso, o especialista indicou um passo primordial para as empresas melhorarem na conformidade com a LGPD, antevendo ameaças e traçando melhores estratégias de proteção e detecção: o monitoramento por meio de Inteligência de Fontes Abertas (Open Source Intelligence - OSINT).
“Enquanto há alguns anos ferramentas de monitoramento interno, como SIEM, tinham grande importância na detecção de incidentes, hoje a solução mais efetiva do mercado é a monitoração externa, tanto para identificação de vazamentos quanto para identificação de incidentes de segurança e golpes relacionados”
Sandro Suffert
Conclusões
Para efetuar sua adequação a empresa deve revisar suas políticas de proteção, capacitar seus colaboradores responsáveis e mapear os processos da empresa que envolvam o manejo de dados.