A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709, sancionada em agosto de 2018 no Brasil, passou a ser regulamentada em setembro de 2020. E embora as dúvidas sobre a implementação da nova lei ainda estejam em discussão, seus benefícios passam a ser cada vez mais validados, tanto no ambiente digital quanto offline.
Afinal, a lei que regulamenta o tratamento de dados pessoais provoca um impacto considerável em empresas e usuários que precisam identificar os pontos a serem adequados, além de entender a importância da transparência na coleta e no armazenamento destas informações.
Neste artigo, saiba como a LGDP pode proporcionar mais segurança aos usuários na prática e por onde as empresas do mercado de segurança devem iniciar o processo para estarem em conformidade com a nova lei.
A Lei Geral de Proteção de Dados (LGPD)
A preocupação com a privacidade e com a disponibilidade de informações pessoais no meio online já existe há alguns anos. Mas foram os recentes casos de vazamento e o uso indevido de dados coletados por meios digitais que levaram à formulação de mecanismos legais de controle e segurança ao usuário.
Desta forma, a Lei Geral de Proteção de Dados Pessoais (LGPD) segue uma tendência de outros países e foi inspirada na lei europeia, General Data Protection Regulation (GDPR). Com algumas especificidades a mais, a lei brasileira rege tudo o que envolve tratamento de dados pessoais como acesso, coleta, utilização, armazenamento e distribuição.
Em vigor desde setembro de 2020, as empresas têm até agosto de 2021 para estarem regulamentadas às novas regras. Para o setor de segurança e monitoramento, uma das áreas que atua diretamente com a segurança do usuário, a LGDP chega para aumentar essa proteção também no ambiente digital, já que o ramo lida diariamente com informações consideradas como dados pessoais e dados pessoais sensíveis.
Com a LGDP, será necessário comprovar o fluxo de captação, armazenamento e uso de dados, além de gerar um relatório que comprove a conformidade com a lei. Por isso, adaptar-se agora com sistemas que facilitem a segurança dos dados e o relatório dessa conformidade com a lei é um passo importante para evitar problemas futuros.
Como a LGPD afeta a segurança e o monitoramento
Para a LGPD, são considerados dados pessoais toda a informação que identifique ou torne identificável uma pessoa. Há também a especificação de dados pessoais sensíveis com tratamento diferenciado, ou seja, informações relacionadas a etnia, orientação sexual, filiação, posicionamento político, dados de saúde e informações biométricas como impressão digital e íris. Assim, aqueles que oferecem o serviço de controle de acesso por impressão ou por reconhecimento facial, por exemplo, devem garantir que essas informações sejam preservadas de maneira segura e controlada.
Outra preocupação ocorre com as câmeras de segurança. Embora a LGPD não mencione diretamente os vídeos de monitoramento, uma imagem que identifique uma pessoa pode ser considerada um dado pessoal. Nesse caso, é preciso garantir que a imagem não será divulgada e que seu uso será feito com o consentimento da pessoa que foi registrada.
Segundo o texto da lei, os dados pessoais coletados pela empresa, independentemente da sua natureza, só poderão ser tratados e utilizados para proteger a vida ou a segurança da pessoa identificável. Se não houver o consentimento explícito da pessoa, os dados não poderão ser utilizados. Isso significa, por exemplo, que não se pode utilizar o reconhecimento facial para identificar horários de entrada e saída de pessoas específicas em um espaço. Essa prática só poderia ser feita com o consentimento prévio.
Cabe ressaltar que o consentimento previsto na lei requer que a pessoa esteja realmente ciente dos dados que são coletados, por quem são coletados e para qual finalidade. A prática de aceitar o uso dos dados sem saber ao certo qual é o tratamento enquadra-se como “vício de consentimento” e é proibido pela LGPD.
Soluções para a segurança de dados
Muitas empresas já aplicam algumas soluções previstas para se adequar à LGPD, como o consentimento claro dos dados que serão coletados. Contudo, além disso é preciso garantir a proteção dos dados e a restrição no acesso a eles. É importante ainda, ter um plano de ação para casos de vazamento, como a comunicação imediata aos órgãos competentes.
A necessidade desse plano de ação está contemplada no documento que as empresas terão que produzir para comprovar que seguem as determinações da LGPD. Esse documento, chamado de Relatório de Impacto à Proteção de Dados Pessoais, deverá conter informações sobre o encarregado da proteção de dados pessoais, as regras de segurança da informação, os procedimentos em caso de vazamento e um mapeamento sobre as formas de coleta de dados, uso, compartilhamento, armazenamento e exclusão de dados.
Por esse motivo, empresas que conseguirem aplicar uma tecnologia que faça esse mapeamento do fluxo de dados estarão em vantagem. Elas podem comprovar sua adequação à lei com maior facilidade, o que também as garante maior segurança jurídica.
A Segware entende que a proteção de dados pessoais é de extrema relevância no mercado de segurança – tanto para os clientes quanto para as empresas. Por esse motivo, oferece um sistema de
armazenamento de dados em nuvem, o Sigma, com acesso controlado. Desse modo, os dados ficam assegurados e restritos, podendo ser consultados apenas por pessoas previamente autorizadas. O sistema oferece também integração com outras funcionalidades, o que deve facilitar o mapeamento do fluxo de dados coletados.
6 passos para estar em conformidade com a LGPD
Agora que você pode conferir as especificidades da LGPD e as suas implicações, saiba como estar em conformidade com a lei em 6 passos. A começar pelo entendimento que além de tecnologias, possuir um programa de segurança é essencial para o compliance.
1 – Organize sua empresa e seus colaboradores
A partir do planejamento e da organização interna da empresa e das equipes, informar sobre os benefícios e exigências da LGDP é o primeiro passo a ser dado. Nesta etapa, você pode criar um grupo de segurança da informação, a fim de gerenciar o processo e planejar o projeto de conformidade com a lei a ser implementado.
2 – Tenha uma equipe responsável
Além de organizar e informar sua equipe, com o grupo de proteção destes dados, é importante nomear responsáveis, como um diretor, por exemplo. Outro ponto a ser considerado, é atribuir funções de controlador e/ou operador de dados na equipe, como está previsto na lei.
3 – Faça o mapeamento dos dados pessoais e sensíveis
Como vimos, tanto os dados pessoais quanto os dados sensíveis carecem de cuidados e muita transparência. Neste caso, manter o mapeamento destes dados de forma atualizada, em cada etapa, desde a coleta ao armazenamento, facilita a compreensão do ciclo de vida destas informações dentro da empresa, bem como a avaliação dos processos, políticas e tecnologias utilizadas ao longo desta prática.
4 – Conheça os riscos
Saber quais os dados que você coleta e como os trata é primordial para estar em conformidade com a LGDP. Ao entender quais são essas informações obtidas e avaliar os riscos de cada atividade com dados pessoais na sua empresa, contribui para fortalecer e potencializar a segurança em operações com maiores riscos.
5 – Crie sua política de segurança e privacidade
Crie procedimentos e guias para informar seu usuário, bem como estruturar e otimizar processos internos. Desta forma, implemente e revise os controles de segurança, a fim de agir de forma mais assertiva, coordenada e transparente.
6 – Mantenha o monitoramento dos dados
Para que todas as informações e ações realizadas dentro do seu programa de segurança e privacidade estejam em conformidade com a LGDP, mantenha o monitoramento e sua revisão. Afinal, é um processo que implica a conscientização permanente de seus colaboradores, assim como, da garantia da sua efetividade.
Pronto para proporcionar mais segurança aos dados dos seus clientes, bem como estar regulamentado com a lei?
Acesse nossa planilha de Mapeamento de Dados e saiba como utilizá-la na sua empresa.