Tecnologia

Desmistificando a LGPD: Acabe com esse Bicho Papão chamada adequação à LGPD

Escrito por Grupo Fatos

A LGPD entrou em vigor há alguns anos, mas somente a partir de agosto de 2021 começou a aplicar penas. E as multas são salgadas para aqueles que forem flagrados descumprindo essa Lei, podendo atingir valores milionários com facilidade.

Por causa das punições, diversas empresas buscaram se adequar às novas regras. Mas isso não é tão simples quanto parece – por isso foi dado um prazo de mais de 2 anos entre ser assinada e aplicar penas.

Neste conteúdo, vamos explicar os aspectos principais dessa lei e como você pode fazer para se adequar. Leia até o final!

Por que a LGPD é relevante para o mundo atual?

A LGPD veio em um momento oportuno, sendo que ainda poderíamos dizer “atrasado”, se olharmos a situação tecnológica do Brasil.

Hoje, praticamente todas as empresas do país registram dados de seus clientes. Vale lembrar que todos os dados que identificam uma pessoa são tomados como objeto pela LGPD, necessitando de cuidados específicos.

Fora isso, o número de ciberataques aumenta ano após ano. Um relatório publicado pela FortiGuard Labs mostrou que, somente em 2020, foram mais de 8,4 bilhões de ameaças cibernéticas, considerando apenas o Brasil.

A Lei vem impedir o desleixo por parte das empresas quanto aos dados de seus clientes e consumidores.

Quais são os marcos da LGPD?

Uma empresa que se adequou à LGPD possui alguns atributos claros desse feito. Afinal, a nova Lei demanda bastante das empresas, inclusive sobre aspectos culturais do negócio.

Nesta seção, vamos resumir os principais marcos. Veja na íntegra no site do Governo Federal.

Governança em Privacidade

A governança da empresa é um dos principais pilares que devem ser reestruturados para se adequar à LGPD. Esse tema pode ser resumido em 3 grandes tópicos, sendos eles:

  1. Iniciação e planejamento: a empresa precisa designar um colaborador para cuidar da segurança de dados pessoais dentro da empresa, assim como planejar medidas de segurança e alinhar os setores visando maior proteção de dados.
  2. Construção e execução: esse tópico trata da parte mão-na-massa da operação, onde os métodos e técnicas serão esquematizados e executados, visando a adequação à Lei. Neste ponto, as políticas são revistas, o relatório de incidentes é estruturado e uma cultura de segurança de dados é fomentada.
  3. Monitoramento: esse tópico trata de assuntos como indicadores de performance, tratamento de incidentes e reporte de resultados.

Inventário de Dados Pessoais

O objetivo do inventário de dados pessoais é fazer um balanço dos processos de tratamento de dados, informando o que a instituição faz com eles. Portanto, ele trata de alguns itens, como os seguintes:

  • Identificação de processos.
  • Fluxo de tratamento dos dados pessoais.
  • Natureza dos dados pessoais.
  • Finalidade do tratamento desses dados.
  • Medidas de segurança e privacidade.
  • Transferência internacional de dados.
  • Contratos.

Política de Privacidade

O site do Governo Federal também especifica alguns itens que devem estar na política de privacidade da empresa. Da mesma forma, faz menção aos termos de uso dos dados do usuário.

Os principais elementos dos termos de uso são:

  • Arcabouço legal do termo.
  • Definições.
  • Descrição do serviço.
  • Direitos do usuário.
  • Quaisquer mudanças nos termos de uso.
  • Informações para contato.

Já a política de privacidade deve abranger, em essências, os seguintes tópicos:

  • Encarregado.
  • Controlador e operador.
  • Como os dados são coletados.
  • O tratamento que os dados passam.
  • Informações sobre compartilhamento de dados.
  • Finalidades posteriores dos dados.

Avaliação de Riscos

A avaliação de riscos é um conceito bastante amplo, no âmbito da LGPD. No caso, ela aborda diversos aspectos que podem ajudar ou não a manter a segurança das informações.

Um deles, por exemplo, é a estrutura utilizada pela empresa para armazenar os dados. Os métodos usados para garantir a segurança e o fluxo de saída de dados também são peças importantes dessa avaliação.

Relatório de Impacto de Proteção de Dados (RIPD)

O relatório de impacto de proteção de dados é muito importante e é um requisito da LGPD. Em resumo, ele será usado quando a segurança do coletivo for afetada pela empresa.

Ele também é usado como prova em situações de possíveis violações da LGPD.

Fora isso, o relatório pode ser requerido pela ANPD a qualquer momento, sem justificativa prévia.

Você pode baixar o template do relatório clicando aqui!

O que fazer em caso de vazamento de dados?

Em caso de vazamento de dados pessoais, a empresa deve agir de acordo com o previsto no art. 48 da LGPD:

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I – a descrição da natureza dos dados pessoais afetados;

II – as informações sobre os titulares envolvidos;

III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV – os riscos relacionados ao incidente;

V – os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I – ampla divulgação do fato em meios de comunicação; e

II – medidas para reverter ou mitigar os efeitos do incidente.

§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Como adequar sua empresa à LGPD?

Agora que você sabe o essencial para se adequar à LGPD, é hora de executar algumas tarefas na empresa. Como você deve imaginar, o processo de adequação pode levar muito tempo, ainda mais quando é preciso alterar a cultura da empresa.

Porém, como foi comentado anteriormente, é de suma importância estar dentro da Lei, pois não se sabe como será a auditoria das empresas.

Veja algumas formas de adequar sua empresa o mais rapidamente possível.

Realize auditorias nos bancos de dados

Estar dentro da Lei significa, para a LGPD, manter seus bancos de dados seguros, de forma a prevenir vazamentos de informações e perda de dados.

Uma ótima maneira de fazer isso é realizando auditorias em seu sistema de armazenamento. Dessa forma, ficará mais fácil localizar falhas e pontos frágeis em sua estrutura, permitindo otimizações.

Tenha um especialista em sua empresa

Ter um especialista em segurança de dados é quase um requisito para as empresas nos dias de hoje. Afinal, o custo dessa contratação pode ser visto como um investimento de longo prazo, dado que um profissional dessa área é capaz de evitar muitas dores de cabeça.

Reformule suas políticas e contratos

Por fim, vale a pena ler e reler suas políticas e contratos para ajustá-los de acordo com a LGPD. Lembre-se de cumprir os requisitos exigidos por lei, de modo a proteger seus clientes e evitar problemas com a Justiça.Quer mais conteúdos informativos como este? Leia mais em nosso blog!

Sobre o autor

Grupo Fatos

Com mais de 25 anos de mercado e um atendimento de excelência, nos tornamos um Centro de Apoio ao Empreendedor, estruturado em unidades de negócios de diferentes áreas (Contabilidade, Consultoria, TI, Financeiro e RH), com soluções corporativas que permitem potencializar o futuro de nossos clientes.

Deixar comentário.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Share This