LGPD: veja como as empresas precisam se preparar
A LGPD - Lei Geral de Proteção de Dados passa a valer em 2020, regulamentando a atuação de centenas de empresas que lidam com dados. Saiba tudo sobre (...)
Autor: Redação Impacta
Não pode ler esse artigo agora? Ouça a matéria no Player abaixo
A segurança da informação é um tema relevante e um motivo de preocupação por parte de muitas empresas atualmente. Portanto, é uma área que está gerando novos cargos e funções, com empregadores procurando por mais pessoas qualificadas para atender às suas demandas.
Nesse sentido, destaca-se a Lei Geral de Proteção de Dados, também conhecida como LGPD. Pessoas que de uma forma ou outra lidam com dados ou que desejam descobrir novos caminhos na carreira precisam conhecer suas implicações.
Se você quer aprender sobre as implicações dessa lei, detalhes importantes sobre seus impactos e como profissionais lidam com ela, acompanhe este artigo. Boa leitura!
O que é a Lei Geral de Proteção de Dados (LGPD)?
A Lei Geral de Proteção de Dados é um conjunto de normas que tem como objetivo proteger a privacidade das pessoas e estabelecer uma relação mais transparente entre companhias e clientes, principalmente no que tange ao uso de informações.
A lei foca em pontos que deixam evidente que as empresas vão precisar ser mais justas ao lidarem com as informações particulares de seus consumidores, não podendo negligenciar a questão da segurança.
Ou seja, o objetivo é dar mais controle aos usuários sobre suas informações. Ao longo deste artigo, vamos saber em detalhes como isso afeta as organizações, assim como as multas e penalizações previstas para quem não buscar conformidade.
A seguir, vamos conhecer os principais pontos da LGPD e os princípios que ela destaca.
Finalidade e necessidade
Dois pontos fundamentais são o foco na finalidade e a necessidade no uso de dados. As empresas deverão apresentar um motivo legítimo, específico e claro para o uso das informações de cada usuário, bem como documentar isso em relatórios.
Assim que o propósito for cumprido, a LGPD orienta que as companhias eliminem esses dados de sua base, garantindo, assim, que haja proteção para os titulares. Caso seja necessário usar informações para outros fins, os agentes (companhias que realizam o tratamento) precisarão de uma nova autorização.
Isso é fundamental para evitar que haja abuso por parte de organizações na coleta e armazenamento de informações. Da mesma forma, fica mais claro para as pessoas o porquê dessa coleta e de seu uso, o que gera mais tranquilidade e confiança.
Consentimento
Esse ponto denuncia de maneira clara como o controle dos usuários titulares é bem maior com a nova lei. As normas determinam que o uso de dados deverá obedecer à vontade de seus donos, a partir do consentimento deles.
Da mesma maneira, caso queira cancelar, excluir ou alterar suas informações da base das empresas, o cliente deve ter livre acesso. Nesse ponto, a LGPD é precisa em tornar a relação focada no consumidor.
O uso de dados deverá se adequar às condições que foram negociadas com o cliente. A empresa nunca poderá se afastar do que foi definido, pois isso prejudicaria a transparência da relação.
Comunicação
Com os dados em suas bases, a empresa torna-se a principal responsável por protegê-los com medidas de segurança reforçadas, como veremos em um dos tópicos a seguir.
Mas caso algum incidente ocorra, a companhia terá que comunicar aos órgãos protetores e aos clientes, sempre com clareza. Ou seja, a relação entre empresas e seu público deverá ser horizontal, com interações que detalham bem cada situação — baseadas no princípio da transparência.
Diferença entre dados
Os dados pessoais seriam relacionados à raça, etnia, sexualidade, opinião política, saúde, entre outras questões. Enquanto isso, quanto aos dados sensíveis, a lei estabelece ainda mais restrição e rigor.
Existe também o cuidado com dados de crianças e adolescentes, algo que deve ser observado com atenção pelas empresas, bem como transferências internacionais das informações. No caso do público infantil, é necessário que haja comunicação e consentimento dos pais ou responsáveis.
Confiabilidade, integridade e disponibilidade
A lei assegura que cada empresa priorize os três princípios de segurança: confiabilidade, integridade e disponibilidade. A confiabilidade diz respeito a medidas de proteção e prevenção que devem ser implementadas para garantir que as pessoas não sejam expostas a riscos.
Enquanto isso, a integridade refere-se à qualidade dos dados, que devem estar corretos e atualizados. Já a disponibilidade determina que as informações deverão estar sempre disponíveis para acesso livre, a qualquer momento.
Permissão do tratamento
O tratamento das informações particulares é permitido em alguns casos específicos também. A seguir, listamos alguns deles:
- para cumprir alguma obrigação determinada por lei/regulação;
- para políticas públicas;
- para estudos estatísticos por órgãos de pesquisas como o IBGE;
- para proteger a vida ou segurança física do titular ou terceiros;
- para garantir a preservação da saúde em procedimentos médicos ou sanitários.
Como surgiu a LGPD?
A Lei Geral de Proteção de Dados está relacionada à experiência do usuário. Nos tempos modernos, as relações comerciais focam bastante na satisfação das pessoas e na fidelização delas, a partir de um conjunto de práticas que respeitam os valores dos consumidores.
Por isso, esse cuidado com privacidade e segurança é muito mais que simplesmente conformidade: é uma boa estratégia para aumentar a competitividade entre as empresas ao focar em uma experiência segura para os clientes.
Em um cenário cada vez mais competitivo, é importante focar nesse quesito e se destacar como uma alternativa confiável para as pessoas. Por essa razão, as companhias terão que se adaptar e pensar em soluções específicas para tratar desse tema.
Contexto
A LGPD surgiu dentro de um contexto em que as discussões sobre privacidade estão se acirrando e tornando-se frequentes. O avanço das tecnologias modernas está associado a uma invasão maior das empresas nas casas e na privacidade das pessoas, por meio de aparelhos eletrônicos e da internet.
Sendo assim, é difícil aliar eficiência ao cuidado com os dados pessoais. Se as companhias entregam aplicações mais inteligentes e precisas, que realmente auxiliam os clientes, elas têm que coletar ainda mais informações. Se não cuidarem, acabarão pedindo uma quantidade maior do que o necessário e expondo os usuários a riscos. Parece que é sempre um jogo de soma-zero.
No decorrer dos anos, diversos escândalos com o uso de informações particulares deixaram evidente que esse equilíbrio é complexo, mas que muitas companhias simplesmente não estavam se esforçando para garantir que ele existisse. O descaso com os dados e a falta de normas definitivas e claras geraram exposições de clientes e insatisfação diante do crescente número de ataques virtuais.
GDPR
A lei brasileira foi baseada na versão europeia (GDPR), sancionada em 2016, depois de ter sido inicialmente idealizada em 2012. A LGPD coloca o Brasil no mesmo cenário de países que estão focados em normatizar a segurança da informação com mais cuidado e rigor, bem como prevenir problemas e transtornos no mundo virtual.
Quais são seus impactos nas empresas e como evitá-los?
Diante do que já apresentamos, é possível notar que a LGPD, que entrará em vigor em 2020, causará um grande impacto nas companhias. É preciso se preocupar mais com os pontos principais e implementar medidas de segurança e prevenção, bem como organização das bases de dados, a fim de garantir conformidade.
Uma das principais questões sobre o impacto nas empresas é o fato de que o escopo da lei é amplo. Qualquer atividade que envolver os dados de qualquer setor deve ser regulamentada e respeitar as normas. Essa definição também inclui as informações dos próprios empregados, que deverão ser coletadas, segundo os princípios da LGPD.
Outro ponto é o fato de que quaisquer companhias que negociam informações de brasileiros precisarão se adequar, mesmo que a sede delas não seja no Brasil. Ou seja, grandes corporações de fora do país serão controladas pelas mesmas regras de organizações nacionais.
Além disso, a restrição ao uso, segundo os princípios de finalidade, necessidade e consentimento, entende-se até as subcontratantes e parceiras da empresa. Ou seja, companhias parceiras e fornecedoras também terão que se adaptar às normas estabelecidas, podendo ser penalizadas caso não obedeçam.
Em suma, a LGPD gera um grande impacto nas empresas, pois assegura que elas se reorganizem para proteger os dados e estabelecer medidas de segurança de ponta a ponta. Assim, cada companhia precisará gerenciar melhor as bases, as operações que utilizam as informações e definir políticas claras para a proteção delas.
É importante que haja uma mudança cultural para que esse impacto seja reduzido, e a transição para o período regulamento pela LGPD seja fluida e natural. A privacidade deverá ser o foco, assim como a satisfação do cliente. Com a reeducação e o acompanhamento rigoroso dos processos internos, as companhias serão capazes de cumprir o que foi definido sem grandes dificuldades.
Quais são as penalidades das empresas que não cumprirem a lei?
A LGPD prevê diferentes tipos de penalidades para cada caso específico de incidente. Pode haver, por exemplo, uma advertência simples, que visa principalmente à educação das empresas. Outra opção é a multa em valores financeiros, que podem atingir até 50 milhões de reais em alguns cenários. Há ainda as multas diárias para impedir que o uso inadequado continue.
Em outros casos, os órgãos responsáveis estão aptos a solicitar que haja a interrupção abrupta de todas as atividades que utilizam informações pessoais. Isso geraria um enorme gargalo produtivo e prejudicaria a geração de receita da empresa diretamente.
Geralmente, em casos de exposição, a notificação é obrigatória ao órgão e aos titulares, com os detalhes sobre os dados envolvidos e as medidas que foram tomadas para minimizar o prejuízo.
Como se adaptar à LGPD nas empresas?
Um dos pontos prescritos pela lei é o “privacy by design” (privacidade por padrão). Isso significa que as empresas devem priorizar a privacidade em todas as etapas da concepção de um produto ou sistema, ou seja, do início ao fim.
Assim, o usuário deve ser capaz de controlar o uso de seus dados em todas as fases — e isso deve estar definido na base arquitetural das operações. Nesse sentido, as companhias devem saber exatamente quais informações serão coletadas, bem como ter controle do ciclo de vida delas.
Outro dos aspectos mais interessantes da LGPD é o fato de que ela prevê a criação de um comitê de segurança nas empresas, no qual haverá um profissional especializado em privacidade e em adotar políticas de proteção.
Esse profissional, chamado de Data Protection Officer (Diretor de Proteção de Dados, em tradução livre), terá habilidades e conhecimentos jurídicos, dominando a segurança da informação. Ele deverá liderar a organização da empresa, bem como cuidar do tratamento dos dados.
A criação desse cargo é fundamental, pois ajuda as companhias na adaptação. Dessa forma, menos erros serão cometidos e haverá uma fiscalização interna importante para garantir a transparência necessária no cuidado com os dados.
O DPO é o responsável por liderar formas de alcançar o desenvolvimento e atingir a melhoria de resultados sem prejudicar a privacidade das pessoas. Vale lembrar que esse cargo poderá ser ocupado por uma pessoa ou por uma empresa parceira. O importante é que haja autonomia para que a fiscalização aconteça corretamente.
Boas práticas de conformidade
A seguir, vamos conhecer algumas boas práticas que devem ser seguidas para realizar a adaptação às novas normas.
Mapear as informações
A adaptação à LGPD requer organização no gerenciamento de informações. Tudo começa com o mapeamento dos processos: a empresa precisa saber bem quais são as principais operações e quantos dados serão necessários para cada uma, de maneira definida e específica.
Assim, vai ser possível gerenciar as informações e controlar o ciclo delas nas bases internas. A companhia também deve implementar um gerenciamento inteligente que garanta a disponibilidade desses dados a qualquer momento. Com esse conhecimento sistematizado, é possível reduzir a coleta de dados ao mínimo necessário, como recomendado pela lei.
Atualizar-se constantemente
Outra dica fundamental é a atualização constante dos sistemas da empresa. É preciso tomar ainda mais cuidado com a segurança e com medidas de proteção, o que passa por uma mudança cultural nos hábitos e na postura dos colaboradores, mas também o uso de softwares e hardwares atualizados, que não apresentem instabilidades, brechas e/ou falhas.
Isso vai ajudar a combater problemas decorrentes de ataques e crimes virtuais, como sequestro e roubo de informações. A nova lei destaca que essa será uma responsabilidade da organização e ela precisará reforçar a sua base para garantir proteção contra os perigos do mundo virtual.
Essa atualização também se refere ao conhecimento. As companhias precisarão se atualizar acerca dos novos princípios associados com a privacidade, bem como do que está sendo feito em outros cenários para implementar medidas de adaptação. É preciso focar na especialização nessa área e contratar profissionais dedicados para contribuir com conhecimento aprofundado.
Além disso, é preciso conhecimento especializado sobre a lei em si, seus princípios e normas. Por essa razão, esse período vai ser marcado por uma procura maior por profissionais que dominem a LGPD.
Focar na experiência
Como a LGPD está relacionada diretamente com a experiência do usuário, as empresas deverão implementar medidas concentradas na satisfação do seus usuários, reconhecendo a autonomia que eles têm. É preciso adequar as relações e as regras comerciais ao fato de que as pessoas sabem dos seus direitos e desejam proteção.
Por isso, o ideal é escolher um caminho que favoreça o cliente, com o objetivo de transmitir confiança e respeito que a empresa tem por ele. Assim, as organizações podem começar a pensar em estratégias que reforçam o relacionamento com os consumidores, pois isso ajudará com a adaptação à nova lei.
Avaliar impactos
É interessante também avaliar os possíveis riscos que os sistemas com dados pessoais enfrentam. Isso ajuda a combater ameaças de maneira preventiva, com a identificação de possíveis sinais de problemas muito antes do prejuízo propriamente dito.
Essa avaliação ajudará a preparar as companhias para o que pode acontecer com as informações particulares coletadas, o que gerará maior responsabilidade. O ideal é mudar a cultura do foco em ações reativas para a proatividade.
Qual é o papel do profissional de TI diante dessa lei?
A lei de proteção de dados estabelece formas de gerenciar as informações coletadas. Geralmente, eles são processados por sistemas de computação, ou seja, ficam a cargo do setor de TI. Por isso, a responsabilidade do profissional dessa área é grande na conformidade com as novas regras.
Segurança
A equipe de TI deverá reforçar as barreiras de segurança para auxiliar a empresa. Afinal, o objetivo é proteger as bases internas contra ataques externos e garantir que os clientes saibam de tudo, sempre. Por isso, o profissional desse setor será o responsável por cuidar dos backups, das medidas de segurança, da atualização dos softwares e integração de informações. O suporte deve ser inteligente e proativo, com a garantia de que as máquinas estejam seguras e consistentes.
Mudança de cultura
Os profissionais de TI devem entender que é plenamente possível criar sistemas inteligentes, úteis e relevantes e, ao mesmo tempo, manter o cuidado com a privacidade e os direitos dos clientes. Nem sempre será necessário pedir dados demais — com o nível adequado de organização, somente o que realmente for utilizado.
Em outras palavras, a cultura dos profissionais deve mudar para abarcar a compreensão de que é possível inovar com respeito ao direito particular de cada um. Se isso for incorporado ao jeito de pensar dos desenvolvedores de sistemas desde o início de sua concepção, o “privacy by design” será possível chegar ao resultado com menos impacto para o cliente.
Qualidade dos dados
Também é dever do setor de TI a manutenção dos dados limpos, claros e disponíveis. Eles devem ser fáceis de encontrar, mesmo que com restrições de acesso. É preciso encará-los como um ativo fundamental, assim como os computadores da empresa, que precisam ser gerenciados com cuidado.
Integração e comunicação
É importante focar na integração entre todas as áreas, não somente a de TI. Todos devem falar a mesma língua, com acordos e o foco contínuo na defesa. É importante que o setor de TI saiba se comunicar com os outros colaboradores para que eles também conheçam as práticas corretas e saibam o que é efetivo para a proteção das informações.
Como aprender mais sobre essa lei?
O conhecimento sobre essa lei é importantíssimo, tanto para profissionais que desejam crescimento no mercado de TI quanto para que as empresas adaptem seus processos. Por isso, é interessante saber onde aprender mais sobre a LGPD e seus pontos relevantes. A seguir, veremos algumas opções para que você possa escolher cursos interessantes para atualização.
Privacy & Data Protection Essencials
O curso de privacidade e proteção de dados da Impacta é importante em um mundo no qual os dados assumem um papel fundamental. Existem coletas a todo tempo e, por isso, é fundamental saber o que fazer com eles, tendo o cuidado para que não sejam expostos.
O curso orienta os alunos acerca das normas da LGPD e os prepara para o exame EXIN Privacy & Data Protection – Essentials, um dos mais valorizados da área. Ou seja, além de se preparar para a adequação à lei, o estudante se torna capacitado para lidar com segurança e privacidade, bem como orientar políticas que foquem nesses aspectos.
Privacy & Data Protection – Foundation
Outro curso oferecido pela Impacta, o Privacy & Data Protection – Foundation é um preparatório para o exame EXIN Privacy & Data Protection Foundation e parte da formação Data Protection Officer. Nele, o profissional aprenderá os aspectos mais relevantes da GDPR, norma europeia que serviu de base para a LGPD. Assim, será capaz de sugerir práticas de conformidade e organização dos dados, uma vez que entende profundamente essa lei.
Privacy & Data Protection Practitioner
Já o Privacy & Data Protection Practitioner é preparação para o exame EXIN em Privacy & Data Protection – Practitioner e vai ajudar os alunos a desenvolverem medidas práticas, políticas e procedimentos de proteção para assegurar conformidade com a lei. Também ensina diretrizes para estabelecer um Sistema de Gestão de Proteção de Dados e Privacidade.
A LGPD é um conjunto importante de regras e normas que deverão ser seguidos com cuidado pelas empresas brasileiras. A lei entrará em vigor em 2020, e as companhias já estão começando a se adaptar, principalmente com a contratação de profissionais especializados no assunto, que conheçam a fundo o que está definido no documento.
Por essa razão, se você deseja se manter atualizado e crescer profissionalmente, ler sobre a LGPD foi um passo fundamental. Contudo, é importante também seguir cursos da área e aprofundar os conhecimentos com informações práticas e consolidadas.
Neste artigo, vimos alguns exemplos muito bons de como fazer isso. O papel do profissional de TI diante da discussão sobre a privacidade é muito importante e deve ser conhecido por você.
Gostou do que leu sobre a LGPD? Então, aproveite para entrar em contato com a Impacta e conheça nossos cursos sobre privacidade e segurança.
Ola, gostaria de mais informações sobre o curso e certificações;
Abraços.
Willian Rocha
Olá, Willian. Muito bom saber do seu interesse! Um de nossos consultores entrará em contato para tirar todas as suas dúvidas. De qualquer forma, se quiser nos passar o seu telefone, entraremos em contato. Até mais!