Lei Geral de Proteção de Dados (LGPD)

A Lei Geral de Proteção de Dados (LGPD), nº 13.709, visa garantir mais segurança e transparência às informações coletadas por empresas públicas e privadas. Aprovada em agosto de 2018 e com vigência a partir de agosto de 2020, ela objetiva criar um cenário se maior segurança jurídica, com padronização de normas e práticas para promover a proteção, de forma igualitária aos dados pessoais de todos os cidadãos que estejam no Brasil.

A LGPD, como ficou conhecida, começou a aplicar penalidades em agosto de 2021. Ainda assim, a Associação Brasileira das Empresas de Software (ABES) apontou que muitas empresas brasileiras ainda não se adaptaram para cumprir aos requisitos previstos pela LGPD. Cerca de 60% das 900 empresas pesquisadas não atendem as exigências da nova lei.

Quem participou dessa pesquisa, 31,8% apontaram que sofreram incidente de violação nos últimos 2 anos e 75,5% realizam coleta de dados considerados sensíveis. Em empresas de grande porte, somente 38,31% delas estão atualmente em conformidade. Sobre as empresas de pequeno e médio porte, com 20 a 99 empregados, 41,67% delas estão de acordo com a LGPD.

Adequação à LGPD

As empresas precisam se adequar às regras. No caso das indústrias moveleiras, todas que trabalham com dados de pessoas, sejam decorrentes de informações obtidas por conta de suas atividades (em pesquisas realizadas com seus clientes, por exemplo), oriundas das relações entre elas e seus parceiros (prestadores de serviço e fornecedores), ou mesmo de seus colaboradores, precisam realizar uma série de ajustes e adequações para integrarem-se à nova legislação.

– Impress comemora aniversário de Araucária (PR) e 22 anos na cidade

A adequação legal envolve, essencialmente, a atuação em três aspectos. George Bomfim, advogado empresarial e pós-graduado em Master of Laws em Direito Societário no Insper, explica as três mudanças que precisam ser feitas. “O primeiro deles objetivando examinar o fluxo de dados pessoais que ocorre dentro da própria organização, de forma a verificar a existência de lacunas ou problemas em sua estrutura”, diz.

“O segundo busca realizar uma adequação das regras e compliance necessários para inserir conceitos, boas práticas e processos que estejam de acordo com a nova legislação. Por fim, mas não menos importante, um trabalho de treinamento, conscientização e orientação de todos os envolvidos na organização, em toda a sua cadeia hierárquica. É essencial para que eles tenham um amplo entendimento não apenas das regras que devem ser seguida daqui para frente, mas também das razões, importância e implicações que devem ser consideradas em observarem a LGPD em todas as suas atividades”, explica Bonfim.

Dados da LGPD

Os tipos de dados que indústrias têm que proteger dentro da LGPD são todo e qualquer dado pessoal que seja reunido pela indústria ou por qualquer terceiro que trabalhe em seu nome e que faça esse serviço. É importante destacar que a referida lei se aplica unicamente a dados de pessoas físicas, de forma que dados de pessoas jurídicas não estariam sob a sua égide.

“Muitos acreditam (equivocadamente) que apenas dados de clientes estariam dentro dessa cobertura. Mas seus próprios colaboradores (empregados, prestadores de serviço, aprendizes, etc.) também são detentores de dados pessoais também abarcados pela LGPD”, conta o graduado em direito pela Universidade Presbiteriana Mackenzie.

A LGPD qualifica como dado pessoal toda e qualquer “informação relacionada à pessoa natural identificada ou identificável”. Assim, informações como nome, CPF, endereço, número de cartão, ou até mesmo dados aparentemente menos relevantes (idade, gostos pessoais, histórico de navegação) que possam ser relacionados a determinado indivíduo específico são informações que devem ser guardadas e protegidas de acordo.

LGPD

Empresas precisam ficar atentas ao impacto do LGPD nos dados que possuem de colaboradores e consumidores pessoas físicas

Segurança

Há padrões de segurança que indústrias devem implementar para proteger os dados dos colaboradores, os dados dos clientes e, claro, seus próprios dados, além da adequação legal mencionada. Um deles é a busca por soluções e sistemas de tecnologia para fornecerem as ferramentas e medidas de proteção necessárias. Isso para evitarem incidentes com os dados sob os seus cuidados ou exigindo de seus parceiros um nível de segurança compatível com o seu.

“É possível sugerir medidas como criptografia de dados, armazenamento de dados em servidores diferentes (números de cartão e códigos CVV), e outras ferramentas que evitem o acesso total e irrestrito aos dados de seus clientes e colaboradores”, conta o Bonfim.

– Exportações do setor moveleiro avançam em 2021

Para casos em que os dados possam ser roubados, é importante saber que a Autoridade Nacional de Proteção de Dados (ANPD) ainda não editou normas que abarcassem quais os procedimentos específicos devessem ser seguidos em caso de incidentes envolvendo dados pessoais. Hoje, existem algumas regras já existentes em outras leis (CDC, Marco Civil da Internet, etc.), mas o órgão que ficará responsável por determinar como proceder em casos de incidentes envolvendo dados pessoais será a própria ANPD.

Indústria 4.0

A LGPD também impacta as empresas na Indústria 4.0. A Internet das Coisas e sua interação entre sistemas industriais automatizados e os seus controladores humanos serão amplamente impactados pela nova legislação. “Os processos industriais estão passando por um amplo processo de informatização e controle automatizado, guiado por um processo talvez irreversível de interação entre o indivíduo e a máquina”, diz e acrescenta.

– Guararapes lança aplicativo de combinação de cores

“Contudo, ao considerarmos que em uma das pontas desse processo está uma pessoa, que certamente precisará de ferramentas para acessar tais processos industriais complexos (senha, biometria, etc.), lá estará a LGPD, buscando regular e proteger as informações dessa pessoa e atuar em caso de vazamento ou uso indevido das informações dessa pessoa, sobretudo se tal incidente vier a causar danos relevantes para outras pessoas e para a sociedade de forma geral”, explica George Bonfim.

Passos para LGPD

Jens Bothe, especialista em segurança do Grupo OTRS, fornecedor de soluções para gerenciamento de processos e comunicações e especialista em ambientes de segurança, apresenta cinco recomendações para ajudar as empresas a se adequar as normas: começar pequeno, consultar especialistas, definir os processos de segurança de TI, criar processos digitais centralizados e enxergar a segurança de TI como um processo contínuo.

Para começar pequeno, é importante, segundo Bothe, criar um Gabinete de Comunicação de Incidentes de Segurança, sendo fundamental dedicar uma pessoa ou equipe de contato responsável por eventos relacionados à segurança. “Isso pode criar documentação centralizada que mantém todos cientes do que está acontecendo”, diz o especialista.

É fato que as empresas nem sempre têm tempo para verificar todos os regulamentos para determinar se são relevantes para seus negócios. Portanto, é importante consultar especialistas externos experientes com perguntas sobre diretrizes e padrões aceitos.

– Berneck comemora 70 anos

Ao definir claramente os processos de segurança de tecnologia da informação (TI), as seguintes perguntas devem estar entre as consideradas: como você define um incidente de segurança? Quando exatamente um incidente precisa ser relatado? Quais dados ou processos devem ser protegidos? Qual é o impacto potencial do incidente? Quem deve ou pode ser informado de um incidente? Em que ordem e em que prazo a comunicação deve ocorrer?

No quarto passo, para documentar os eventos de segurança e as etapas correspondentes tomadas para mitigar a situação de maneira segura, há sistemas como o Storm da OTRS AG. “Eles agem como a espinha dorsal técnica dos processos de segurança de TI, suportam a comunicação relacionada a incidentes e armazenam a documentação em caso de auditorias posteriores”, resume Bothe.

Por fim, não menos importante, não adianta agir uma vez e depois fazer desaparecer essa área. Por isso, é importante enxergar a segurança de TI como um processo contínuo. “Uma vez estabelecidos, os processos de segurança de TI se tornam uma parte cotidiana de suas atividades de negócios. No entanto, deve-se considerar que os regulamentos, processos e requisitos podem mudar repetidamente. É por isso que as empresas devem se manter atualizadas”, define o especialista em segurança de dados.

Reportagem publicada originalmente na Móbile Fornecedores 304