LGPD

Há algum tempo o tema Transformação Digital vem permeando as reuniões de CIOs de organizações de diferentes portes. Os focos são variados: infraestrutura; digitalização dos processos; Big Data; Inteligência Artificial; cloud computing; e Internet das Coisas. Antes da pandemia, algumas empresas já haviam ingressado nesse novo momento, enquanto outras estavam em processo de mapeamento das etapas, avaliação de custos e escolha de parceiros. Mas postergavam a decisão sempre que precisavam resolver um problema pontual do dia a dia.

Quando começaram os primeiros movimentos de distanciamento social, tudo mudou. O primeiro choque para algumas organizações foi aderir ao trabalho remoto. Alguns executivos, da noite para o dia, precisaram digitalizar o negócio, fazer aquisições e organizar a estrutura de TI para viabilizar o trabalho remoto. Era preciso criar ou ampliar a capacidade de compartilhar informações, se comunicar a acessar os dados a qualquer hora e de qualquer lugar. Estar fora da nuvem deixou de ser uma opção viável. Paralelamente a isso, era preciso inserir ou reforçar na empresa a cultura do trabalho distribuído, com atenção especial para orientar os líderes no processo da gestão remota e os colaboradores com relação ao autogerenciamento das ações.

O que vimos foi um processo de Transformação Digital que estava previsto para acontecer em um período de três ou cinco anos ser acelerado de maneira maciça. É possível ter uma ideia dos impactos desse movimento por meio de alguns dados do Gartner. A consultoria prevê, pelo menos, quatro crescimentos no mercado de TI até o final do ano: 6,3% nos serviços de nuvem pública; 13,4% nos serviços de infraestrutura como serviço (IaaS); e 95,4% nos de desktop como serviço (DaaS); enquanto o software como serviço (SaaS) deve encerrar o ano com receita de US$ 104,7 bilhões.

Considerando que muitas ações foram decididas às pressas, seria interessante que os CIOs fizessem uma pausa para avaliar todos os erros e acertos desde o início da pandemia até agora. Acredito que seja importante dedicar atenção para avaliar se a infraestrutura está adequada e atendendo às necessidades do negócio e dos colaboradores. Pode ser que nesse mapeamento descubra-se redundâncias de sistema, superposições, soluções inadequadas ou estruturas de cloud mal dimensionadas ou configuradas de maneira inadequada.

É importante, ainda, avaliar se há a unificação de todas as fontes de informações. A recomendação é que essa base integre dados estruturados e não estruturados, incluindo os que foram gerados por máquinas e humanos. O fluxo desse processo precisa considerar a identificação, a análise e o carregamento das informações críticas a partir de grandes volumes de dados, da borda para a nuvem. Isso, claro, sem deixar de considerar todas as exigências da Lei Geral de Proteção de Dados (LGPD).

A Transformação Digital foi um processo bastante acelerado em algumas empresas para garantir a continuidade dos negócios. Por conta disso pode ser que muitos pontos tenham ficado mal amarrados no meio do caminho. Mas ainda é possível fazer ajustes. Afinal, sempre é tempo de avaliar a infraestrutura de TI para buscar oportunidades de realizar melhorias, reduzir custos e aumentar a produtividade. Tudo em prol de uma operação mais eficiente.

Via CIO

A Lei Geral de Proteção de Dados, popularmente conhecida como LGPD, vem sendo alvo de muitas discussões, seja sobre o seu conteúdo ou sobre quando ela entrará, de fato, em vigor. Nesse último ponto, ainda que a Câmara dos Deputados tenha aprovado a Medida Provisória (MP) 959/2020, que previa que a lei começasse a valer em 31 de dezembro deste ano (com as penalidades sendo aplicadas apenas a partir de agosto de 2021, de acordo com a Lei 14.010), o Senado pensou diferente.

A casa transformou a MP em questão em Projeto de Lei de Conversão (PLC) 34/2020 e que agora vai para a sanção do presidente Jair Bolsonaro. Feito isso, a LGPD finalmente entraria em vigor, 15 dias úteis depois da assinatura do mandatário brasileiro. Ou seja, seu funcionamento está mais próximo do que nunca. Mas, mesmo essa data ainda não está inteiramente clara, já que a lei pode entrar em vigor de maneira retroativa.

E agora que já sabemos quando a LGPD entra em vigor, cabe aqui uma pergunta igualmente importante: você sabe do que se trata a lei? Ou melhor dizendo: você sabe quais são os seus direitos legais dentro deste novo cenário ou como a empresa que você trabalha pode ser impactada? 

Para responder essas e outras questões a respeito da LGPD, Gustavo Quedevez,  advogado especializado em Direito Digital e Novas Tecnologias e sócio do BVA Advogados, explica, de uma forma didática, como funciona a lei, como seus dados devem ser protegidos pelas empresas que os utilizam e quem você deve procurar caso suas informações não estejam sendo tratadas conforme estipula a legislação.

Em linhas gerais, o que é a LGPD? 

Gustavo Quedevez: Fugindo do conceito jurídico, a LGPD veio para regulamentar as relações e definir condições e limites para o tratamento de dados pessoais por empresas (ou entidades) públicas ou privadas. O conceito de tratamento é muito amplo (e tem que ser), mas abrange desde o recebimento dos dados e seu armazenamento até a manipulação direcionada ao levantamento de preferências de consumo, por exemplo.

Quais os novos direitos o cidadão terá a partir da vigência desta lei? O que ele pode exigir junto às empresas em termos de proteção de dados e privacidade?

G.Q.: Há uma série deles, mas os principais envolvem a possibilidade do usuário ter a exata noção das razões pelas quais suas informações estão sendo exigidas por uma determinada empresa privada ou agente público. Ele precisará saber dos detalhes relativos ao tratamento daqueles dados, tendo a faculdade de exigir sua exclusão quando bem lhe interesse.

É o que a Lei define como livre acesso, por exemplo. As empresas precisarão definir um série de procedimentos relacionados à comunicação com essas pessoas, permitindo a elas decidir de maneira franca e, mais do que tudo, transparente, sobre até aonde admitem que aqueles dados sejam utilizados.

De forma prática, quais dados estão protegidos pela LGPD?  

G.Q.: Dados pessoais de indivíduos naturais identificados ou identificáveis, coletados em solo Brasileiro. Se a pessoa não puder ser identificada através de uma determinada informação, este dado não estará abrangido pelos termos da LGPD.

G.Q.: Todos, indistintamente. E não só por empresas, pois as pessoas físicas que realizem o tratamento de dados também estão sujeitas aos mesmos limites definidos para as empresas.

O que pode acontecer a uma empresa caso ela descumpra a LGPD? Quais são as penalidades?   

G.Q.: Além do crivo do consumidor, que se mostra cada vez mais atento aos detalhes e motivos pelos quais seus dados são exigidos, a LGPD traz penalidades consideráveis para aqueles que não cumprirem seus termos, que vão desde a simples advertência, podendo chegar a multas de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração.

Além disso, a LGPD ainda traz a possibilidade de que a infração seja levada à público, suspensão do banco de dados e do tratamento de QUALQUER informação pessoal por aquele determinado agente, ou mesmo a proibição parcial ou total do tratamento de dados. Como se vê, são penalidades bastante duras.

Diversos setores se mostraram contra o início da vigência da LGPD sem a presença de uma Autoridade Nacional de Proteção de Dados (ANPD) que supervisione as regras do jogo. A ausência dessa entidade não pode criar um cenário de insegurança jurídica?

No entanto, foi publicada a Lei que define a estrutura regimental da ANPD, passo que contribui de maneira muito positiva para tirarmos esse cenário de insegurança da cabeça de todos. Sobre a insegurança jurídica em si, é natural que haja esse sentimento diante de tantas idas e vindas, mas vejo com bons olhos o início da vigência, que como disse no início, é exigida pelo usuário/consumidor.

Que medidas devem ser tomadas pelas empresas para que eles se adaptem à LGPD? Será necessário a criação de cargos específicos para essa função ou setores nas companhias já existentes podem assumi-la?

G.Q.: Mais do que tudo, será necessário compromisso por parte das empresas e agentes públicos. Não será a implantação de uma ou outra prática que tornará sua empresa aderente aos termos da LGPD. Avaliação, Engajamento, Treinamento e Acompanhamento serão palavras de ordem para rigorosamente todos os integrantes de corporações que realizem o tratamento de dados.

Neste momento, ou até que a ANPD defina de maneira específica, todas as empresas precisarão contar com o Encarregado pelo Tratamento de Dados Pessoais (o DPO, segundo o Regulamento Europeu que  serviu de base para a nossa LGPD), e caberá a ele avaliar as reclamações dos titulares dos dados, receber comunicações da ANPD, orientar funcionários e contratados, e executar outras atividades determinadas pela empresa em relação a este tema. Indo além do conceito legal, o Encarregado precisará de autonomia e liberdade para que suas funções sejam exercidas de maneira plena.

Como as micro e pequenas empresas, que não dispõem de tantos recursos, podem se adaptar à LGPD, sem o risco de sofrerem sanções?

Por mais que haja bons softwares que podem auxiliar, e muito, no acompanhamento do dia a dia e na prevenção de violações a LGPD, ninguém poderá se esquivar de cumprir o que a Lei exige. Meu conselho é o seguinte: se informe, busque elementos de análise junto a entidades já estabelecidas para esse tipo de agenda e, a partir daí, organize com o seu assessor a melhor agenda de adaptação aos termos da Lei. Não há fórmula mágica, lamento dizer, e há projetos para todos os bolsos, mas certamente demandará esforços de todos.

Que órgãos públicos ficarão responsáveis pela supervisão e aplicação da lei? E quem o consumidor deve buscar caso verifique que seus dados tenham sido, de alguma forma, usados de forma indevida?

G.Q.: Formalmente, a ANPD é a entidade que agregará essa função, mas outras entidades poderão, legalmente, exercer essa prática, como o Ministério Público (MP) e os Procons. Muito embora o tema esteja absolutamente em voga no momento, o fato é que a proteção de dados pessoais já foi tratada em outros dispositivos legais, como no Marco Civil da Internet e daí vem a competência do MP.

Postergada mais uma vez, a Lei Geral de Proteção de Dados (LGPD) vai mudar a forma como as empresas coletam, tratam, armazenam e utilizam os dados de clientes. A legislação foi criada justamente para proporcionar maior autonomia para os usuários e aumentar a responsabilidade das empresas com relação aos dados armazenados.

A LGPD é essencial evitar a exposição de informações pessoais e responsabilizar as empresas — nos últimos anos, de acordo com o Avast, diversas empresas sofreram com vulnerabilidades que causaram a exposição das informações dos clientes.

Uma pesquisa realizada pelo Serasa Experian mostra que boa parte das empresas ainda não está preparada: cerca de 85% diz ainda não estar pronta. Será que as empresas de tecnologia já estão se adaptando? Conversamos com 4 especialistas para entender quais as mudanças necessárias e por onde as adequações podem começar.

Mapeie todos os dados

Wilson Keske, arquiteto de soluções da WK Sistemas, empresa de Blumenau referência em ERP (software de gestão de empresas), recomenda que se comece pelo começo, entendendo os conceitos da LGPD e realizando um mapeamento de todos os locais onde são utilizados dados pessoais dentro da organização. Esse mapeamento precisa buscar os dados além do óbvio, e levar em consideração para qual finalidade e como essas informações estão sendo coletadas e compartilhadas, seja interna ou externamente.

Para Keske, contratar um bom ERP nesse momento pode ser uma boa saída para se adequar de forma mais rápida e segura. “Os ERPs já colocam os dados em um fluxo de processos empresariais que facilitam esse mapeamento. Além disso, um bom software de gestão vai ter os controles de acesso a processos e informações, garantindo a privacidade dos dados conforme a política de adequação de cada empresa”, comenta.

Crie um grupo interdisciplinar

Na visão de Naiara Cattoni, advogada e integrante da Comissão LGPD na Unifique – operadora eleita a melhor banda larga do Brasil segundo pesquisa da Anatel, o primeiro passo para a adequação à lei é criar um grupo interdisciplinar com a participação das áreas de segurança da informação, jurídica, governança corporativa, marketing, departamento pessoal e relacionamento com o cliente. “Essa equipe terá a incumbência de estudar a legislação sob diversas perspectivas, mapear processos internos e riscos do negócio, propor ideias práticas para implementação da norma e disseminar conhecimento a respeito da proteção de dados para todos os colaboradores”, explica.

Ainda conforme Cattoni, o segundo passo é a realização de inventário dos dados pessoais. “Esta etapa é trabalhosa e exigirá o envolvimento de diversos setores da empresa, porém, é de extrema relevância, já que o inventário servirá como guia para todo o projeto de implementação”, complementa. Tendo levantado todos os riscos e ajustadas as principais recomendações, será possível elaborar políticas de governança, de proteção de dados, de privacidade, de segurança da informação e outras que a empresa entender necessárias.

Invista em criptografia

A criptografia é uma aliada quando se fala em proteção de dados. A tecnologia usada para codificar mensagens e documentos está cada vez mais acessível conforme ocorre a transformação digital em empresas privadas e órgãos públicos.

O recurso pode ser usado para fortalecer o compliance dentro das corporações, que é fundamental para a eficiência do projeto da LGPD. “Uma medida de segurança que pode ser usada internamente é emitir certificados digitais corporativos para as equipes que tratam dados”, explica Carlos Roberto De Rolt, fundador da BRy Tecnologia.

A empresa especializada em soluções de criptografia é pioneira no uso dessa solução em diferentes áreas, como recursos humanos e administrativo. “O certificado digital corporativo é uma espécie de identidade do colaborador e tem mecanismos para protegê-lo de fraudes. Pode ser usado na assinatura de contratos e é muito mais seguro, tem maior durabilidade e é mais fácil de armazenar do que o papel. Além disso, pode ser acessado em diferentes dispositivos, uma facilidade quando se fala em trabalho remoto”, completa.

E, por fim, olhe igualmente para tecnologia e legislação

As instituições financeiras, dentre elas as fintechs, sofrerão um grande impacto, isso porque os dados dos clientes são fundamentais para a operação dos negócios, explica Rafael Negherbon, CTO da Transfeera, startup open banking.

O especialista ainda afirma que: “com a LGPD, o consentimento do usuário poderá ser revogado a qualquer momento, caso não exista clara finalidade ou outra base legal vigente que obrigue o armazenamento dos dados. Aqui, cabe ressaltar que alguns dados, no que diz respeito ao sistema financeiro, não podem ser apagados, pois existem bases legais que se sobrepõe à LGPD, como regulamentações específicas do setor promovidas pelo Banco Central do Brasil”.

Hoje em dia, a maior parte das empresas, de pequenas a gigantes, em alguma frente de seu negócio, recebe algum tipo de dado do seu cliente – desde um nome e data de nascimento chegando a informações sensíveis, como o número do cartão de crédito, caso bem comum nas companhias de e-commerce, por exemplo.

Se é o caso da sua empresa, então a LGPD – Lei Geral de Proteção de Dados – é para você, e ela começará a valer a partir de 16 de agosto do ano que vem. Inspirada na GDPR (General Data Protection Regulation ou Regulamentação Geral de Proteção de Dados), da União Europeia, a lei brasileira define como as empresas devem tratar, a partir do marco zero, dados de cidadãos brasileiros, e como devem se preparar para evitar vazamentos e que esses dados caiam em mãos erradas, como as dos criminosos digitais.

A partir da vigência da lei, companhias que a infringirem poderão ser, dependendo da infração, advertidas ou receber multas até 2% do faturamento, limitada, no total, a R$ 50.000.000,00.

Marcos Paulo Pires dos Santos, diretor de engenharia de valor da Think IT, empresa brasileira provedora de serviços de infraestrutura de TI, separou 5 dicas básicas de como sua empresa deve se preparar de hoje até agosto do ano que vem, para se enquadrar na LGPD:

1. Organizar a base de Dados Interna

O primeiro passo é fazer uma varredura de quais dados de pessoas física a empresa dispõe hoje. A LGPD descreve dados pessoais como qualquer informação relacionada a uma pessoa natural identificada ou identificável, e inclui cookies. Vale ressaltar que alguns dados requerem atenção especial, tais quais os classificados como sensíveis, que identificam a origem racial ou étnica, religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas, sobre a saúde do indivíduo ou relacionada à vida sexual.

Posteriormente, é preciso organizar a base, o que realmente é útil à empresa, o que não se refere ao negócio e o que pode ser desconsiderado. A partir daí terá a real visão de quais dados têm em casa.

2. Selecionar o enquadramento legal

A LGPD estabelece 10 bases jurídicas diferentes para as companhias continuarem tratando dados pessoais. Do ponto de vista de negócios comerciais, os maiores enquadramentos são Interesse Legítimo e Consentimentos Legítimos. A companhia precisa se adequar a um desses fundamentos legais para prosseguir.

3. Definir um modelo de autorização para obtenção dos dados

Se a opção é para coletar consentimentos, é preciso obter uma maneira para ter essa autorização, já que a Lei compreende que o consentimento é um “pronunciamento livre, informado e inequívoco por meio do qual os titulares de dados concordam com o processamento de seus dados pessoais para um propósito específico”.

4. Investir em cibersegurança

Independente do tamanho ou segmento da empresa, há sempre algumas proteções necessárias para evitar invasões e vazamento de dados. “Quanto mais sensíveis os dados, mais sofisticada tem que ser a barreira para evitar os ciberataques”, explica Santos. Além da medida ampliar a segurança da empresa, a lei também prevê que a adoção de política de boas práticas seja considerada como critério atenuante das infrações.

5. Nomear um responsável

Algumas companhias, especialmente as maiores ou cujo tratamento de dados seja o core business também poderão ter de nomear o “Encarregado de Proteção de Dados”, DPO (Data Protection Officer), que terá a função de monitorar e conscientizar os funcionários no tema da proteção de dados, assim como será a interface com a Autoridade Nacional de Proteção de Dados.

Via Computer World