• Telefone: (17) 3265-9600

Notícias

SUA EMPRESA JÁ SE ADEQUOU Á LEI GERAL DE PROTEÇÃO DE DADOS?

SUA EMPRESA JÁ SE ADEQUOU À LEI GERAL DE PROTEÇÃO DE DADOS?

 

Por Fernando Fornazieri–

Diretor da ACEJB (Associação Comercial e Empresarial de José Bonifácio), com formação em PMP - Project Management Professional e CISSP - Certified Information System Security Professional.

 

Agora a proteção à privacidade de dados é lei. Essa é basicamente a proposta da Lei Geral de Proteção de Dados (Lei 13.709) sancionada em agosto de 2018 e que passa a valer a partir de agosto de 2020.

Qualquer atividade que envolva acesso a dados pessoais nos meios digitais é aplicável à nova legislação, que tem por objetivo regular como empresas do setor público e privado devem tratar essas informações, garantindo proteção aos direitos fundamentais de liberdade e de privacidade.

Dentro do escopo da lei, todos os aspectos que envolvem a coleta, o uso, o tratamento, o compartilhamento e a proteção de dados por empresas privadas e órgãos públicos, passam a ser regulados.

Ela também tipifica os direitos do titular do dado e as sanções para as instituições que não cumprirem as normas. Isso significa que as entidades não poderão acessar ou usar informações pessoais sem o consentimento do usuário, incluindo em meios digitais, o que reflete também sobre o uso de dispositivos móveis corporativos.

POR QUE A LEI GERAL DE PROTEÇÃO DE DADOS FOI CRIADA?

Basicamente para que o usuário tenha assegurado o direito de proteção sobre qualquer ação referente às suas informações pessoais. Sob a ótica corporativa e governamental, isso representa um marco legal para que as regras pertinentes a esse objetivo sejam devidamente cumpridas.

É direito dos colaboradores de uma empresa, por exemplo, escolher sobre quais dados pessoais podem ser coletados, acessados e usados pelo empregador. Apenas sob seu consentimento a empresa poderá realizar essas ações. Isso envolve, inclusive, informações disponíveis em dispositivos móveis corporativos, que passam a estar sujeitos às regras definidas na lei.

A nova legislação, semelhante à GDPR (General Data Protection Regulation) já vigente na União Europeia, concede proteção à privacidade e padroniza normas claras para o tratamento de dados pessoais de usuários.

Com base em transparência e escolha de cada usuário, a legislação fortalece a segurança jurídica existente na relação de confiança entre o portador do dado e a empresa que recebe essa informação. Dessa forma, em caso de conflito entre as partes, a lei visa resolver esses pontos.

CONHEÇA MAIS SOBRE OS TIPOS DE DADOS TRATADOS PELA NOVA LEI

A nova lei segmenta quatro diferentes categorias de informações:

•  Dado pessoal: informações que identificam uma pessoa como: RG, CPF, características pessoais, dados genéticos, entre outros. Esse é o dado mais comum coletado pelas empresas.

•  Dados sensíveis: alguns tipos de dados pessoais são considerados sensíveis e podem indicar informações que podem ser usadas de forma discriminatória, portanto carecem de tratamento especial. Dados como: origem racial ou étnica, convicção religiosa, opinião política, filiação à sindicato ou organização de caráter religioso, filosófico, político ou qualquer dado referente à saúde, vida sexual.

•  Dados pessoais de crianças e adolescentes: quando uma criança ou adolescente compartilha seus dados em um dispositivo móvel corporativo, existe a necessidade do consentimento do responsável legal. Um exemplo seriam estagiários ou jovens aprendizes.

•  Dado pessoal anonimizado: é um dado especial que não identifica o usuário diretamente, mas pode coletar dados anônimos do dispositivo. Essa é uma opção interessante para as empresas que querem tratar dados não relacionados à pessoa, mas sim ao dispositivo.

MUDANÇAS NAS RELAÇÕES DE TRABALHO E DIREITOS DOS TITULARES DOS DADOS

Uma coisa é certa: muitas empresas terão que rever e instituir políticas internas para ficarem em conformidade com a nova legislação.

O impacto da lei nas relações de trabalho é um dos pontos críticos dessa adequação já que a perspectiva é que a privacidade seja respeitada em toda a cadeia de processos de uma organização. Em muitos casos, isso pode envolver um projeto de alta complexidade.

A empresa controladora de dados deverá ser capaz de demonstrar que o processamento de dados pessoais é realizado de acordo com a LGPD. Para isso, os seguintes direitos dos titulares de dados devem ser garantidos de forma acessível e eficaz:

• Confirmação da existência de tratamento de seus dados pessoais: o usuário pode solicitar para a empresa uma garantia de que seus dados estão sendo protegidos;

• Acesso a seus dados pessoais: o usuário deve ter acesso às informações pessoais que são coletadas pela empresa;

• Correção dos dados pessoais: o usuário deve ter o direito de corrigir suas informações coletadas pela empresa;

• Portabilidade de dados pessoais: o usuário pode transferir informações pessoais entre empresa, como operadoras de telefonia e bancos;

• Obtenção de informações sobre o compartilhamento de dados pessoais: o usuário deve saber para quais instituições suas informações foram passadas;

• Anonimização, bloqueio ou eliminação de dados pessoais: os usuários podem optar em ter seus dados sob anonimato, além de bloquear ou excluir suas informações de uma empresa;

•   Eliminação de dados com seu consentimento: o usuário precisa consentir que uma determinada empresa exclua seus dados coletados;

• Revogação do consentimento dado e obtenção de informações sobre as consequências da negativa: o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do usuário.

• A partir de agora, as organizações devem estabelecer um Comitê de Segurança da Informação para analisar os procedimentos internos. Dentro deste comitê haverá um profissional exclusivo, podendo ou não ser terceiro para a proteção dos dados e responsável pelo cumprimento da nova lei.

As empresas precisam adotar políticas de segurança da informação para o tratamento de dados com medidas de segurança técnicas e administrativas garantindo proteção contra vazamento, roubo de informação ou até mesmo divulgação de dados pessoais sensíveis.

GESTÃO DOS INCIDENTES DE SEGURANÇA

É importante criar processos claros para o monitoramento e notificação de incidentes relacionados à segurança das informações, tais como:

•  descrição da natureza dos dados pessoais afetados;

•  informações sobre os titulares envolvidos;

•  medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comerciais e industriais;

•  os riscos relacionados ao incidente;

•  os motivos da demora, no caso de a comunicação não ter sido imediata;

•   medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

ADOTE BOAS PRÁTICAS E TRACE UM PLANO DE AÇÃO

Para ser bem-sucedida na adequação à nova legislação, as corporações precisam adotar boas práticas e planejar os passos necessários para contemplar todas as regras. Listamos as etapas que devem ser implementadas:

• utilize uma plataforma de gestão de dispositivos móveis e informação;

•  identifique os dados pessoais;

•  implemente auditoria sobre o tratamento;

•  faça a gestão do consentimento e anonimização (controle do uso pelo usuário);

•  desenvolva relatórios de impacto;

•  garanta a segurança dos dados;

•  tenha governança do tratamento dos dados;

•  crie um plano de Comunicação para incidentes de segurança;

•  saiba a validação do término do tratamento.

QUAL É A PUNIÇÃO DAS INFRAÇÕES?

As penalidades estão estabelecidas em até 2% do faturamento bruto da empresa referente ao ano anterior, limitada no total de até R$ 50 milhões por infração. Antes da multa, as empresas são notificadas e recebem um prazo para se adequar.

E SE MINHA EMPRESA POSSUI UM PROGRAMA DE BYOD, EM QUE OS FUNCIONÁRIOS UTILIZAM SEUS PRÓPRIOS APARELHOS, COMO A LEGISLAÇÃO SE APLICA?

Usar o próprio smartphone como ferramenta de trabalho já é uma prática bem comum nas empresas. Essa tendência, chamada de BYOD (Bring Your Own Device, que na tradução significa “Traga seu próprio dispositivo”), traz benefícios para a empresa e para o funcionário. Entretanto não exime a empresa da responsabilidade quanto ao vazamento ou utilização dos dados, reforçando a importância de ter um programa de segurança da informação para dispositivos móveis e que respeite a lei.

De forma geral a lei é bem clara quanto ao papel que as organizações têm de assegurar proteção aos dados do usuário, independentemente, se o dispositivo é próprio ou cedido pela empresa. Nesses casos, o tratamento das informações pessoais precisa ser feito dentro das especificações da LGPD.

INFORMAÇÕES COMPLEMENTARES

Como a lei foi sancionada em agosto de 2018, a vigência passará a valer a partir de agosto de 2020. Logo, as empresas têm até essa data para se adequar e ficar em conformidade com a legislação.