Redigida em 14 de agosto de 2018 (antes, em abril de 2014, o Marco Civil da Internet) a Lei Geral de Proteção de Dados já está em vigor e dita regras e punições para as empresas que armazenam, tratam ou lidam com dados de terceiros (clientes, fornecedores, parceiros, funcionários) para posse, uso ou transferência.
O que muda afinal?
Qualquer negócio, desde pequenas empresas a corporações de grande porte, todos que tenham dados de terceiros precisam assegurar sua inviolabilidade, proteção a falhas, consentimento explícito de quem é o dono do dado, e obviamente o uso correto e legítimo dos dados.
Se já não adotava medidas de proteção então precisa tomar diversas providências como: avisar ao proprietário dos dados sobre o seu uso, guarda e processo de transferência de dados; adotar recursos tecnológicos de backup e restauração em caso de falhas; tomar o consentimento explícito do proprietário dos dados sobre sua posse; rever os processos internos de manutenção de dados cadastrais excluindo o que for desnecessário à manutenção do negócio;
Você precisa conhecer esses termos técnicos
Vamos explicar em detalhes cada um desses termos a seguir, para você entender melhor:
inviolabilidade: a constituição de 1988 (art. 5º, XII) declara como direitos fundamentais do cidadão a inviolabilidade de sua privacidade e de seus dados, da intimidade, da vida privada do indivíduo, e salvaguarda a confidencialidade dos dados.
proteção a falhas: sistemas de backup, recuperação a catástrofes e até replicação de dados são maneiras de proteger contra falhas, que invariavelmente irão ocorrer, em pequena ou grande escala, então é melhor estar preparado.
consentimento explícito: o titular dos dados precisa dar sua permissão explícita quanto ao uso de seus dados, sabendo inclusive para qual fim serão usados e para quem serão repassados, se for o caso.
Os três pilares de bancos de dados e o que tem a ver com a LGPD
confidencialidade: a confidencialidade tem a ver com a privacidade dos dados da organização. Esse conceito se relaciona às ações tomadas para assegurar que informações confidenciais e críticas não sejam roubadas por meio de ataques, espionagem, ou outras práticas. Óbvio que os dados de clientes, parceiros e fornecedores devem ser confidenciais e usados exclusivamente para fins de manutenção do negócio, com consentimento anterior e explícito do titular do dado.
integridade: refere-se à confiabilidade e consistência das informações, quer dizer, o dado não pode sofrer qualquer alteração indevida, deve manter-se íntegro. Os dados dos clientes não podem ser corrompidos ou alterados de maneira indevida.
disponibilidade: qualquer informação necessária a um processo deve estar disponível para a pessoa certa no momento requisitado.
⠀
A partir de agora, todos os negócios precisarão reforçar a segurança dos dados e promover políticas mais transparentes sobre o uso, a coleta e o armazenamento deles. Afinal, os dados continuam sendo de seus titulares.
Compras pela internet
Empresas que vendem produtos ou serviços pela internet precisam de dados financeiros (cartão de crédito, por exemplo) e dados de entrega quando aplicáveis. Prover segurança para transmissão e uso desses dados não é tarefa de outro mundo, porém também não é algo trivial e, agora mais do que nunca, devem ser intensificados os trabalhos de melhor tratamento desses dados.
Segundo o Jornal do Comércio, em maio de 2020, houve um aumento de 18% nas tentativas de fraudes no e-commerce na quarentena.
Quanto menos dados você precisar, melhor será
Se nos seus processos internos, gestão do cliente, compras e relacionamento você não precisar de dados de endereço residencial por exemplo, não peça, não os tenha para não ser necessário se preocupar com a gestão desses dados.
Dica de ouro: armazene e gerencie apenas os dados que são essenciais para seu negócio.
É obrigação de quem trata dados pessoais:
Realizar o tratamento de dados pessoais em conformidade com a LGPD.
Manter registro sobre o tratamento dos dados.
Informar ao titular dos dados e a ANPD as violações de segurança dos dados pessoais que venham a ocorrer.
Confirmar a existência e providenciar o acesso a dados pessoais, mediante requisição do titular.
Divulgar os tipos de dados coletados.
Descrever a metodologia utilizada para a coleta e compartilhamento de dados, além de como garantir a segurança das informações.
Avaliar de forma permanente as salvaguardas e os mecanismos de mitigação de riscos adotados.
Vazamento de dados
Com as mudanças trazidas pela LGPD nas organizações, algumas boas práticas de gestão da informação se tornaram obrigatórias. Você acredita que vazamento de dados é algo muito distante da sua realidade? Está enganado quem pensa assim. Na maior parte das vezes que ocorre um vazamento de dados sigilosos, o fator “humano” está diretamente envolvido por erro, ação ou omissão, sendo que na maioria dos casos os problemas poderiam ter sido evitados com treinamentos e medidas de segurança como políticas de acesso.
É de senso comum que os maiores casos de vazamento de dados foram maliciosos, visando causar prejuízos financeiros ou de imagem a pessoas e empresas. Mas há casos de pura inocência ou falta de atitudes mais seguras para proteção dos dados. De qualquer forma há sanções aplicáveis, então é melhor evitar quaisquer problemas por meio de tecnologias e processos mais seguros.
Autorização para compartilhar dados
Consentimento é a palavra de ordem do momento. Você já deve ter acessado diversos sites que falam sobre o uso de cookies, por exemplo, e pede sua autorização para armazená-los e usá-los para prover uma experiência mais interessante no uso da internet. Esse é mais um passo dado pela regulação de dados provenientes da LGPD.
Nenhuma empresa ou entidade pode repassar as informações se seus clientes, fornecedores ou parceiros para outros sem o consentimento explícito do titular dos dados.
Se sua empresa lida (trata, armazena, usa para divulgação) com qualquer dado pessoal então é necessário coletar de seu proprietário a autorização, além de identificar explicitamente qual será o uso dos dados coletados. Sua empresa pode coletar tal consentimento por meio de formulários de autorização, por exemplo.
A preocupação com os dados das pessoas já existia
O artigo 43 do CDC (Código de Defesa do Consumidor) dispõe que “o consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.
Ainda na seção VI (Dos Bancos de Dados e Cadastros de Consumidores) do CDC:
§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.
§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.
ANPD
A Autoridade Nacional de Proteção de Dados, tem, entre as suas incumbências, zelar pelos dados pessoais da população brasileira e pela aplicabilidade da LGPD. A Autoridade possui autonomia técnica e decisória para fiscalizar e elaborar diretrizes e normas relacionadas à proteção, coleta, uso, armazenamento e distribuição de dados pessoais dos cidadãos brasileiros. De acordo com a legislação, a aplicação de sanções e multas previstas na LGPD só poderá ocorrer por parte da ANPD a partir de agosto de 2021.
LGPD em todo o mundo?
Não exatamente, a União Européia tem leis distintas, e até mais restritivas. Em 2018 entrou em vigor o Regulamento Geral de Proteção de Dados da União Europeia – RGPD (ou GDPR em inglês).
As empresas passaram a ser obrigadas a proteger os dados que mantém de maneira eficaz. Ainda, são obrigadas a informar ao órgão regulador e a seus clientes qualquer vazamento de dados que ocorrer. As empresas também passam a ser responsáveis pelos processos dos fornecedores em relação à proteção de dados, mesmo que esses fornecedores estejam fora da Europa.
A LGPD não possui prazos detalhados para que seja feita a notificação de vazamento de dados à autoridade de supervisão. A lei diz apenas que a comunicação deve ser feita em prazo “razoável”. Já o GDPR determina que esses incidentes devem ser notificados dentro de 72 horas.
Também é importante ressaltar que o GPDR é um regulamento e, portanto, busca ser mais direto e objetivo em seus termos, estabelecendo regras específicas para diferentes situações, enquanto a LGPD é uma lei, com cláusulas mais abertas e subjetivas, permitindo interpretações diferentes em alguns pontos, que serão consolidados pela jurisprudência e regulamentados pela ANPD (Autoridade Nacional de Proteção de Dados).
Apesar disso, ambos possuem o mesmo objetivo: garantir a privacidade dos indivíduos e atribuir às empresas responsabilidades pelo tratamento, guarda e uso dos dados.
A SPARK SYSTEMS é uma empresa especialista em desenvolvimento de soluções de alta performance com toda a segurança aplicável. Contate-nos para saber mais.