A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em setembro de 2020 e com ela foram estabelecidos os direitos dos indivíduos em relação às suas informações pessoais e as regras para as empresas – públicas e privadas – que coletam, armazenam, tratam, compartilham e utilizam estes dados.
Quando se trata de sistemas e dados de uma empresa, podemos identificar três tipos ações indesejadas.
1-Tentativa de invasão: quando o sistema identifica uma tentativa de acesso não autorizado e consegue evitar, mantendo o dado inacessível (ação de um antivírus, por exemplo).
2-Acesso sem permissão: quando um dado é acessado sem autorização, mas não é exposto e nem gera prejuízo a alguém (curiosidade pessoal sobre a idade de uma pessoa).
3. Vazamento: quando uma invasão a um sistema é bem sucedida e os dados obtidos são expostos (bem como para vazamentos intencionais), causando algum tipo de prejuízo a alguém ou gerando uma vantagem indevida (questões ou gabarito de uma prova de vestibular, por exemplo).
A LGPD não se preocupará com as consequências dos itens 1 e 2, mas atuará fortemente nos casos de vazamento de dados (intencional ou não), conforme descrito no item 3. Mas essa lei também vem para normatizar a relação trabalhista entre empresas e colaboradores, ratificando os casos em que o empregador tem direito de continuar de posse de suas informações pessoais; na prática, nem todos os dados podem ser apagados. O que altera é a autonomia do titular em relação às coletas a respeito dele. A lei faz ainda repensar se precisa ou não obter e fazer uso de determinados conhecimentos privilegiados. A LGPD focará também nas responsabilidades de quem é o dono dos dados e quem os utiliza para trabalhar, prevendo punições para ambos casos, em geral, mais severas para o proprietário do dado, mas sem deixar de responsabilizar os usuários também, como no caso de uma empresa que detém os dados de seus funcionários, mas que precisa permitir o acesso a esses dados para que um funcionário terceirizado faça o controle de acesso na portaria.
Segundo nosso CIO, Carlos Varani, com a LGPD, surge um novo tipo de serviço: a gestão e manutenção do fluxo de ativos tecnológicos e documentos em relação à proteção de dados pessoais. “O momento é de elevar as medidas de segurança aos equipamentos e sistemas, estabelecer regras mais claras de armazenamento, descarte, manipulação e compartilhamento de dados”, disse.
Controle de dados e o impacto operacional
De olho nessas mudanças e atento às exigências judiciais, o advogado Zac Zagol da ZS Advogados Associados, que presta consultoria especializada na Security com um programa de proteção de dados, fez o mapeamento de todas as coletas realizadas pela empresa para o manuseio correto desses registros. "A Security em alguns casos é controladora e operadora, principalmente sobre os dados de funcionários. Já na atividade fim o objetivo é terceirizar tais serviços diretamente para as outras empresas por meio de sistemas tecnológicos, principalmente, na parte de condomínios. O mapeamento levou em consideração o gerenciamento de dados sensíveis sobre adolescentes, orientação sexual e saúde em condomínios ou prédios", falou Zac.
Diferenciais da Security com a LGPD
Para o CMO da Security, Erasmo Prioste, assim como a Security estava preparada para a implementação do e-Social, as alterações devidas à nova lei vêm sendo realizadas com responsabilidade. “Já colocamos a LGPD em prática e estamos atentos a quaisquer ajustes que sejam necessários nesse início para o cumprimento integral da lei. Isso dá tranquilidade para os clientes, prospects, colaboradores, parceiros e demais stakeholders em relação ao uso das informações e dados coletados", explicou. Entre as ações na Security a respeito da nova lei podemos destacar:
- Criação do Comitê LGPD.
- Estabelecimento de novos procedimentos.
- Workshop, treinamento e criação do manual sobre o correto uso da proteção de dados.
- Quatorze novas políticas de acessos implementadas na fase inicial.
- Assessoria jurídica de uma empresa especializada.
- Implantação de tecnologia.
A empresa também incluirá em seu site um formulário para aqueles que queiram solicitar que seus dados sejam deletados. O maior volume de coletas de dados na Security é de seus próprios funcionários, que por sua vez ficam impedidos de solicitar a destruição das informações por motivos legais, na esfera trabalhista. “Nesta fase de adaptação, estuda-se também o perfil de profissionais para ocupar a posição de DPO (Data Protection Officer ou Encarregado de Dados). O cargo cuida da eficiência e regularidade quanto ao tratamento da proteção dos dados”, declarou Carlos Varani.
Próximos passos da Security
- Análise de contratos dos fornecedores em que os sistemas de coletas de dados são compartilhados para a execução segura entre controlador e operador: suas finalidades, para onde vão e avaliar as necessidades do uso.
- Criação de procedimento para transferência de dados: diretrizes sobre os dados permitidos para o que pode e que não pode ser usado.
“A Security é uma empresa que tem a segurança no nome e se ela não se dispusesse a proteger os dados de seus clientes, como eles continuariam a deixá-la proteger seu patrimônio?”, pontuou Zac.
“Temos o trabalho de educar, conscientizar e normatizar a lei aos nossos clientes, parceiros e funcionários. Existem também os recursos tecnológicos para que tenhamos segurança digital dessas informações e se houver algum problema com os dados teremos a rastreabilidade e poderemos agir rápido”, finalizou Erasmo.
Quer garantir o melhor em segurança para o seu negócio ou patrimônio? A Security está à disposição!
E para continuar por dentro das principais novidades do setor, siga a Security nas redes sociais!