A LGPD

A LGPD (Lei Geral de Proteção de Dados – 13.709/18) regulamenta a forma pela qual a empresa poderá captar, armazenar, trabalhar os dados pessoais dos indivíduos e eventualmente compartilhar estes dados captados. Não diz como fazer, mas o que deve ser feito.

Terá impacto direto na maneira como a empresa poderá utilizar estes dados captados (cadastros em outros sistemas internos, uso pelo CRM, etc.) e como poderá, se necessário, compartilhar estes dados com parceiros externos. Todo dado captado de indivíduos (funcionários, clientes, terceiros, etc) e tudo o que estiver de alguma forma relacionado deverá ser tratado conforme regulamenta a LGPD.

A partir de agosto de 2020 todas as empresas estarão sujeitas a fiscalização e às sansões previstas na LGPD com aplicações de multas que pode chegar até a R$ 50 milhões de reais por evento verificado.

O atendimento das definições da LGPD mapeadas e documentadas, sem que haja um efetivo controle dos itens verificados, não garantem que em caso de vazamentos, solicitações não atendidas do indivíduo ou de vulnerabilidades, que a empresa esteja isenta das aplicações das multas. Ou seja, o fato de ter um documento contendo o que foi definido como medidas de segurança por si só não garantem nada.

 

Compete ao agente responsável pela captura e tratamento dos dados, o emprego de medidas técnicas e organizacionais adequadas para proteção do titular dos dados, sem privá-lo, contudo, do acesso aos novos produtos e serviços.

Pontos de atenção
  • Saneamento dos dados (organizar e manter organizado)

  • Acessos controlados (quem pode ver os dados abertos)

    • Criptografia  (garantia de controle dos dados no banco de dados)

  • Direito ao esquecimento (eliminar definitivamente os dados)

  • Temporalidade (tempo que o dado deve ser mantido)

  • Segurança contra vazamentos (garantir que ninguém distribua)

  • Controles de compartilhamento de dados (quais empresas devem receber os dados)

  • Interação com o indivíduo de fácil manejo (permitir que o indivíduo solicite informações a qualquer momento e de maneira fácil e simples.)

  • Evidências contra incidentes (caso um incidente ocorra deve-se garantir e evidenciar as medidas tomadas, dentre as quais a notificação ao indivíduo)

    • O artigo 6º., inciso X diz: responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Day after

O trabalho foi entregue, estou com a documentação em mãos, eventualmente com alguns contratos revisados, talvez com alguns processos mapeados.

Se um indivíduo, colaborador ou cliente, quiser solicitar seu direito ao esquecimento. Como fazer? Quais são os sistemas que precisam ser revistos? Quais dados precisarei eliminar (se puder eliminar)? Compartilhei estes dados com algum parceiro? Se compartilhei, como fazer para notificar este parceiro para eliminar estes dados? Como notificar o indivíduo que executei os procedimentos de eliminação? Se houver auditoria, como comprovar que executei as atividades dentro do prazo previsto pela LGPD?

Quanto a gestão de acessos aos sistemas, outro ponto importante a ser verificado, ficou definido alguma regra para revisão dos perfis e acessos?

Meus colaboradores estão acessando e visualizando somente as informações dos sistema que realmente podem?

Foi mapeado algum procedimento para revogar os acessos das pessoas desligadas da empresa?

São muitos itens a serem pensados para que o mapeamento seja correto e os riscos mitigados!

Fale conosco

Se for a sua vontade, não precisa se identificar.