Como surgiu a Lei de Proteção de Dados e qual é a sua finalidade?
A lei entrou em vigor em setembro de 2020. Desde então, todas as empresas precisam se adequar. Não existe exceção, para nenhum porte ou segmento, todas precisam se adequar, pois a lei refere-se à proteção de qualquer dado pessoal, independente se é cliente, fornecedor, colaborador ou um parceiro.
Ainda existem muitas dúvidas do tipo: nós não temos relação direta com o consumidor final. Preciso me adequar? Sim!
Afinal em algum momento você vai manipular os dados pessoais desse cliente, e nesse momento você já precisa tomar certos cuidados para não infringir a lei.
As principais sanções para empresas que não cumprirem essas exigências já existem, e uma delas é a multa financeira, que pode chegar até 50 milhões de reais. Podendo haver também o bloqueio dos dados, exigindo que os dados utilizados envolvidos em alguma infração, alguma violação, sejam bloqueados. Ou seja, você não pode mais manipular esses dados, sendo necessário elimina-los da sua base.
E como funciona a arquitetura da Lei?
O titular dos dados, seja ela um colaborador, funcionário, fornecedor ou parceiro, se essa pessoa transferir um dado pessoal para uma determinada empresa, nesse momento essa empresa passa a se chamar: controlador. Esse vínculo entre titular e controlador, pode se estabelecer de diversas formas: como quando uma pessoa faz uma compra em um e-commerce por exemplo, e ele faz um cadastro para fazer uma compra, ao transferir seus dados pessoais para o e-commerce, esse vínculo se estabelece.
Outro exemplo: quando um colaborador entra na empresa e preenche uma ficha admissional, o colaborador está transferindo seus dados pessoais para uma empresa, e quando isso acontece passam a se chamar titular e controlador, e quando essa empresa transfere esses dados desse titular para uma empresa terceira, (contabilidade, agência de marketing, etc) todo cuidado é pouco.
Exemplo: uma vez que a contabilidade recebeu esses dados para fazer a folha de pagamento, ela está manipulando esses dados em nome do controlador, ela passa a se chamar operador.
Portanto vale ressaltar que qualquer problema de violação de dados, acesso indevido, qualquer tipo de incidente de segurança que envolva esses dados pessoais, a principal responsabilidade ainda é do controlador. O controlador detêm total responsabilidade pelo zelo e pela segurança desses dados. É preciso haver uma relação de confiança entre essas duas empresas.
Uma boa prática que é muito utilizada, é adicionar cláusulas de privacidade e responsabilização em contratos de prestação de serviço entre essas duas empresas, além de auditorias periódicas com todos os operadores, porque qualquer problema que aconteça, a responsabilidade principal ainda é do controlador. É ele que vai receber a fiscalização da autoridade supervisora, é ele que vai receber a denúncia por parte do titular, então por isso se faz necessário auditar os operadores e garantir em contrato e cláusulas de privacidade e responsabilizações, assim se evita maiores problemas caso aconteçam fiscalizações da ANPD, Autoridade Nacional de Proteção de Dados, órgão do Governo criado para fiscalizar o cumprimento das normas da LDPD.
Como funciona o órgão fiscalizador regulamentador?
Na prática, ele recebe as denúncias por parte do titular, a partir daí, a qualquer momento ele podem entrar em contato com a empresa para fiscalizar a possível fraude, solicitar a documentação, como por exemplo: pedir para falar com o DPO, pois ele não vai falar com o dono da empresa, nem um advogado, nesses casos ela fala apenas com o DPO que é o encarregado pela proteção de dados. Toda a empresa deve ter alguém nomeado para essa função. É uma função nova, que pode ser atribuída a um colaborador da empresa, ou pode ser um serviço terceirizado.
Uma das exigências da Lei no artigo 37, é a de que o controlador deve manter o registro das operações e tratamento de dados pessoais, além de todo fluxo dos dados que trafegam dentro da empresa. Tudo deve ser documentado, desde o momento em que entra na empresa, desde o armazenamento até quando ele é transferido para outra empresa. Incluindo o momento em que esses dados são eliminados. Todo esse fluxo deve estar devidamente documentado.
O inventário de dados é basicamente uma planilha que mapeia todos os processos que envolvam a manipulação de dados pessoais. Desde de dados que entram na empresa por e-mail, através de um simples cadastro que o próprio cliente faz. É muito importante também, deixar registrado aqui o fluxo do processo, aonde esses dados ficam armazenados, para quem ele é transferido, quem tem acesso, e quais são os sistemas envolvidos nesse processo.
É necessário se atentar também, sobre o tempo de retenção dos dados. Não se pode armazenar um dado pessoal por mais tempo do que o necessário para cumprir determinadas finalidades. Então, se o objetivo do meu processo de cadastro de cliente, é apenas emitir uma nota fiscal, é importante avaliar quais dados são realmente necessários para essa finalidade.
O artigo 46 exige que as empresas adotem também medidas de segurança técnicas e administrativas para proteger os dados pessoais. Ferramentas como Firewalls, antivírus, backup IPS, além de políticas de segurança da informação e política de controle de acesso. Isso deve ser implementado como um atenuante em uma possível ação judicial.
Uma empresa que não tem nenhuma medida de segurança pode sofrer uma sanção muito mais severa do que uma empresa que tenha as medidas de segurança da informação mínimas. Devem sempre indicar um DPO de forma pública, no site da empresa por exemplo, com todos os dados para contato. É extremamente necessário que esse encarregado tenha conhecimento da Lei e de segurança da informação, para poder cuidar das questões de proteção dos dados e das bases legais.
Recapitulando tudo o que vimos até aqui
Primeira ação – elaborar um inventário de dados para todos os processos e também definir as bases legais.
É muito importante que essa definição de base legal seja efetuada pelo jurídico, eles irão fundamentar e justificar a manipulação dos dados. Isso deve ser sempre feito especialista.
Segunda – elaborar políticas de retenção e eliminação de dados pessoais.
Não se pode manipular dados pessoais, nem armazenar por mais tempo do que o necessário, para cumprir determinada finalidade. E como se garante isso? Através de uma política de retenção e eliminação
Terceira – Realizar uma auditoria de segurança da informação para avaliar as medidas técnicas e administrativas existentes a lei exige que as empresas tenham medidas técnicas e administrativas para proteger esses dados pessoais.
Quarta – Elaborar e publicar a política de privacidade.
A política de privacidade é um documento onde contém todos os detalhes a relação de como a empresa lida com as questões de manipulação dos dados, como ela os protege e quais as medidas de segurança ela pratica, e para quais empresas ela transfere qual esses dados, a finalidade e a base legal. E para que serve isso?
Para demonstrar transparência perante ao público externo, demonstrar sua transparência e de que sua empresa se preocupa e zela pelas questões de proteção e privacidade de dados pessoais
Quinta – Fazer uma adequação dos web sites públicos, com relação aos termos de Transparência, adequar os formulários de coleta de dados, publicar a política de privacidade
Sexta – Adequar os contratos dos colaboradores, prestadores de serviço, fornecedores, clientes e parceiros.
Todos os contratos que envolvem algum vínculo de transferência de dados pessoais necessariamente precisam ter cláusulas de privacidade e responsabilização incluídas nesses contratos.
Sétima – Planejar o procedimento de notificação de incidentes previamente.
Ter esse planejamento também em relação a resposta a incidentes, como identificar os incidentes, quem vai receber a notificação interna caso ocorra um incidente, quem vai avaliar se realmente é um acidente que deve ser reportado pela MP, quem vai avaliar se realmente precisa ser notificado, e por fim, enviar notificação para todos os titulares.
A Contego Security atua projeto LGPD de ponta a ponta, desde o momento da criação de um comitê de privacidade de dados até mesmo na pós adequação, fazendo auditorias, atuando como Dpo as a service, entre outros. Temos Consultorias e Serviços que se complementam para ajudar empresas tanto na área jurídica quanto na parte técnica.
Operamos também com a gestão dessas ferramentas através do nosso centro de operações de segurança, onde fazemos o monitoramento e acompanhamento de logs, monitoramento de tentativas de inclusão, 24×7. Sempre de forma proativa, com ferramentas de Firewall ou antivírus. Além da proteção do servidor de e-mail e soluções de backup desastre.
Nossa equipe de consultores é uma equipe multidisciplinar, onde temos especialistas em segurança da informação, advogados especializados em direito digital, e DPOs.
E ainda contamos com o apoio dos nossos parceiros tecnológicos, nos auxiliando com o que há de mais atual no mercado, seja através de consultorias ou de produtos.
Agende uma conversa com nosso time para saber detalhadamente o que sua empresa precisa para se adequar à LGPD!
