Arthur Dantas Oliveira (*)
A Lei Geral de Proteção de Dados Pessoais (LGPD) regulamenta qualquer organização que lide com dados pessoais no Brasil, independentemente de sua localização, setor e tipo de serviço. Descumpri-la pode resultar na suspensão das atividades da organização (caso seja relacionada a dados pessoais), impossibilitando o tratamento de dados e gerando multas que podem chegar a 50 milhões de reais.
Assim, as empresas brasileiras estão moldando suas estratégias de proteção de dados e segurança da informação para se adequar à nova lei. A abordagem preventiva das atividades de processamento de dados é uma dessas requisições, baseada na avaliação de risco e adoção das melhores práticas de segurança da informação, como o monitoramento de incidentes de segurança e de vazamento de dados pessoais.
Embora a maioria das empresas colete e utilize dados pessoais, normalmente a segurança da informação não é, necessariamente, seu principal know how, necessário para entender e implementar as exigências legais na proteção desses dados. A LGPD é detalhada e exige que as empresas alterem ou adaptem seus processos de manipulação de dados, visando às melhores práticas de segurança da informação. Por isso, elencamos sete práticas que facilitarão a jornada rumo à conformidade com a LGPD.
- – Nomear um responsável pela proteção de dados – As organizações que tratam dados pessoais devem nomear um encarregado independente (DPO), responsável pelo tratamento, organização e que reporte diretamente a alta direção do status de segurança dos dados pessoais presentes nos bancos de dados da empresa.
Pela nova lei, o tratamento dessas informações tem o seguinte escopo: toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Ou seja, qualquer informação, mesmo que parcialmente, que possa identificar uma pessoa. Um dos processos é educar a organização e seus funcionários sobre conformidade, treinar a equipe envolvida no tratamento de dados para manter registros de todas as atividades de tratamento de dados, e realizar auditorias de segurança regulares.O DPO também atua como ponto de contato entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
- – Mapeie e classifique todos os dados – Para garantir a confidencialidade, integridade e disponibilidade dos dados, uma organização precisa saber quais dados ela possui. Conduza um inventário de dados para que as partes interessadas entendam a qualidade e o valor dos dados pelos quais são responsáveis. É mais fácil garantir que os controles de segurança e privacidade sejam adequados e justificados quando os dados estão classificados e sinalizados como informações de identificação pessoal.
- – Preencha uma avaliação de impacto na privacidade – Antes que o tratamento de dados comece, realize uma avaliação de impacto de privacidade.
O relatório de impacto deve identificar riscos da coleta, uso, transferência e tratamento de dados pessoais. Esse é um ponto importante para o pressuposto legal de Privacy By Design e By Default.
O roadmap de como os dados fluem pela empresa é fundamental, incluindo onde e como são coletados; como e onde são usados; por quem, como, onde e por quanto tempo são armazenados; bem como se são transferidos para fora do país, via cloud (nuvem), por exemplo.
O relatório de impacto também exige uma avaliação das atividades para determinar o nível de risco a liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
- – Documentar, manter e fazer cumprir as políticas, procedimentos e processos de privacidade – Os inventários de dados pessoais e o mapeamento do fluxo de dados precisam ser constantemente atualizados para que o DPO saiba quais dados estão sendo tratados, protegidos e qual a base legal do tratamento.
As políticas para proteção de informação pessoal devem abranger as pessoas, processos e sistemas envolvidos nas atividades e onde circulam os dados pessoais, garantindo que estes sejam tratados de acordo com as bases legais e estejam sempre protegidos.
- – Treinar funcionários na LGPD – Os funcionários também devem entender quais são suas responsabilidades para proteger os dados pessoais. A integração e o treinamento da equipe devem estar contidos na política de privacidade da organização, que deve ser implementada. Qualquer pessoa que manuseie dados pessoais precisa estar ciente da importância de manter os dados seguros e conhecer todos os procedimentos e processos relevantes.
- – Teste os procedimentos de resposta à violação de dados pessoais – A LGPD exige que a organização deverá comunicar à autoridade nacional e ao titular a ocorrência de qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Essa comunicação deve ser feita em prazo razoável, a ser definido pela autoridade nacional. Entendemos que, até a regulamentação formal, a melhor prática é adotar o prazo da Lei Europeia (GDPR): 72 horas do incidente.
Sendo assim, convém testar regularmente os procedimentos de gestão de incidentes e as respostas às solicitações do titular dos dados para garantir que os funcionários cumpram esses prazos. Eles devem saber como identificar e relatar uma violação de dados internamente, e os passos seguintes para comunicar os titulares e a ANPD.
- – Monitore o vazamento de dados pessoais e incidentes de segurança da informação – A LGPD determina que as empresas devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Isso inclui as boas práticas de segurança da informação. É preciso adotar procedimentos no caso de vazamento ou incidentes de dados pessoais, não estando a organização à mercê do acaso. É necessário e fundamental que monitore a ocorrência de incidentes ou de vazamento de dados pessoais.
O BTTng é uma ferramenta da Apura, que, entre suas funcionalidades, monitora a ocorrência de vazamento de dados pessoais e de incidentes de segurança da informação, através de pesquisa em fontes abertas de inteligência, como a deep web, fóruns hackers, grupos de mensagens etc. Em se tratando de proteção de dados pessoais, as empresas precisam estar à frente dos agentes criminosos.
O BTTng permite identificar vazamentos de dados pessoais ainda não divulgados e, muitas vezes, desconhecidos da organização. Isso permite que a empresa tome ações imediatas para proteger seus ativos, corrigir os riscos de segurança da informação, proteger os direitos dos titulares de dados pessoais e, principalmente, demonstrar a conformidade com a LGPD, evitando, assim, as penalidades.
- – Implemente as melhores práticas da LGPD – Essas sete recomendações compõem a base de um projeto sólido com base legal para a proteção do tratamento e trânsito de dados pessoais. No entanto, não são tarefas triviais que devem ser realizadas apenas casualmente. A implementação dos controles básicos necessários para atender aos requisitos da LGPD não resultará, necessariamente, em estratégia de manipulação de dados adequada e resiliente.
Investir na adequação à LGPD leva segurança ao negócio, aos consumidores, aos fornecedores e ao poder público, de que a empresa leva a sério sua privacidade e segurança de dados. Isso aumenta a reputação e fortalece os negócios.
(*) – É especialista em Direito Digital e Compliance da Apura (https://apura.com.br/).