A partir de agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável por fiscalizar o cumprimento da Lei nº 13.709 de 2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD), começa a aplicar as penalidades prevista pela legislação, entre elas há a previsão de advertência, multa simples de 2% do faturamento — limitada a R$ 50 milhões —, multa diária, publicitação da infração, bloqueio ou eliminação dos dados pessoais.
As empresas públicas e privadas, precisam estar atentas aos prazos de implementação da LGPD, adequando as suas regras aos seus compliance’s internos que garantam o cumprimento da legislação vigente, o que por si só já dá qualidade e robustez em demandas jurídicas quando da defesa a ser apresentada.
As empresas geralmente estão suscetíveis, entre outros, a dois tipos de ataques virtuais o Data Scraping e a Intrusão.
Data Scraping
Data scraping (do inglês, raspagem de dados) é uma técnica computacional na qual um programa extrai dados de saída legível somente para humanos, proveniente de um serviço ou aplicativo. Os dados extraídos geralmente são minerados e estruturados em um formato padrão como CSV, XML ou JSON.
Intrusão
Intrusão quando a informação é obtida de forma ilícita, quando estas deveriam ser confidenciais.
Para proteger contra esta segunda modalidade de ataque a empresa deve adotar um Sistema de Detecção de Intrusão (em inglês, Intrusion Detection System – IDS) que é um sistema que monitora uma rede em busca de eventos que possam violar as regras de segurança dessa rede. Eles também não são utilizados como registro de rede e tampouco são ferramentas que avaliam e buscam as vulnerabilidades da rede.
Um Sistema de Prevenção de Intrusão é uma abordagem preventiva da segurança de rede, usada para identificar ameaças em potencial e responder rapidamente aos ataques.
O que é a Lei Geral de Proteção dos Dados
A LGPD foi sancionada pelo presidente Michel Temer, em 14 de agosto de 2018, e, desde então, as empresas tiveram um período de transição para se adequarem às mudanças. Em julho de 2019, foi aprovada a criação da Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável por fiscalizar o cumprimento da lei.
A LGPD (Lei Nº 13.709) disciplina um conjunto de aspectos: define categorias de dados, circunscreve para quem valem seus ditames, fixa as hipóteses de coleta e tratamento de dados, traz os direitos dos titulares de dados, detalha condições especiais para dados sensíveis e segmentos (como crianças), estabelece obrigações às empresas, institui um regime diferenciado para o Poder Público, coloca sanções em caso de violações e prevê a criação de uma autoridade nacional.
Abaixo um simples passo a passo para implementação da LGPD
Criação de comitê gestor da LGPD
Este comitê será responsável pela avaliação dos mecanismos de tratamento e proteção de dados existentes e pela proposição de ações voltadas ao seu aperfeiçoamento, tem o objetivo de dar cumprimento as disposições da Lei13.709, de 14 de agosto de 2018. A referida lei entrou em vigor em setembro no Brasil e define limites e condições para coleta, guarda e tratamento de informações pessoais.
O comitê gestor discutirá a atuação da empresa no atendimento à lei. Esse grupo deverá elaborar um programa de governança em privacidade, que contemple ações como o treinamento e conscientização dos diversos setores da superintendência e a definição de estratégias e diretrizes para as atividades do setor que atuará com a proteção de dados.
Estabelecer o DPO – Data Protection Office ou seja “Encarregado de dados”. É o profissional responsável pela proteção de dados dentro da empresa, garantindo a segurança das informações, tanto dos clientes quanto da própria organização.
Conhecendo os processos e seus fluxos
Conhecer os processos de negócios internos e externos da empresa, buscando identificar todos os pontos de tratamento de dados, aquilo que é necessário e o que não é, chegando as vezes ao ponto de não mais tratar certos dados pessoais.
Realizar inventário dos dados, dos processos, os seus fluxos e verificar onde existem terceiros envolvidos
Para adequação à LGPD será realizado um levantamento dos dados que são tratados pelo seu negócio, sejam físicos ou digitais, on-line ou off-line, realizando um inventário e um diagnóstico para se detectar onde estão os pontos de atenção para serem ajustados à luz da LGPD.
Classificar os dados pessoais, os dados pessoais sensíveis, verificar se existem dados de crianças e adolescentes, entre outros, objetivando mitigar os riscos que possam causar aos titulares se forem violados.
Absorver e debater sobre todos os fluxos processuais verificando a segurança em cada ponto do processo e a existência de terceiros estranhos a empresa que forneceram ou consumiram os dados.
Analise de riscos
Identificar todos os riscos a privacidade, a sensibilidade e a proteção dos dados o que permitirá a empresa definir os custos necessários e montar uma rede de proteção e segurança, objetivando a segurança dos dados e evitar impactos negativos ao titular dos dados, antevendo possíveis vazamentos de dados.
Regulamentação
Fase extremamente importante, onde a empresa deverá criar ou adequar seus regulamentos e normativos internos, definindo a sua politica de proteção dos dados, sempre pautada na Lei Geral de Proteção dos Dados.
Revisar e modelar contratos com terceiros, regulamentos internos, normativos, comunicações internas e externas.
A falta de governança por si só já leva a empresa a ser passível de sanções e penalidades pelos órgãos fiscalizadores e reguladores, mesmo sem que haja incidentes de vazamento de dados, mas pelo simples descumprimento da LGPD.
Implantação
Implantar processos estruturados balizados por processos de conformidade, sejam através de controles tecnológicos de todo o fluxo ou manual, com arquivamento adequado e seguro, através de bases de dados tecnológicas ou arquivamento em papel.
Eliminar, de forma correta, tudo aquilo que é dispensável e não necessário a empresa, evitando o custo de trabalho para manter aquilo que não serve a empresa.
A visão intrínseca e primordial da implantação deve ser pautada na proteção dos direitos do titular dos dados.
Vida que segue
Fase final, onde aplicamos todo o conhecimento e os processos definidos nas fases anteriores de implementação, utilizando dos controle e regulamentos efetivos, fixação dos conceitos, politica e da cultura da LGPD na empresa, Sejam em seus funcionários, usuários ou clientes.
Enfim, implementamos a LGPD na nossa empresa, agora o grande desafio é manter todo o processo por tempo indefinido, melhorando e evoluindo a cada dia.
A evolução continua é fundamental para garantir a proteção dos dados contra novas tecnologias que neste momento estão sendo desenvolvidas por mentes insanas voltadas a desmoralização de nossos processos e a comercialização dos dados, que são o maior patrimônio das nossas empresas.
A LGPD trouxe a segurança jurídica, pois cria uma legislação única e valida para todo o país que harmoniza a necessidade do consentimento pessoal para o tratamento de dados.
Então olho vivo e LGPD neles.
Por: João Eduardo Moraes de Melo – Presidente do Instituto VIA e da Comissão de Direito de Trânsito da OAB/PB
Fonte: Trânsito Web