Segurança da Informação e LGPD: entenda a importância

A coleta e o tratamento de dados são procedimentos cada vez mais comuns nas empresas, pois ajudam na construção de estratégias que melhoram desde a parte operacional até o atendimento dos negócios. Para muitos, os dados são vistos como o novo petróleo. Mas, se por um lado, existe muito dinheiro envolvido, por outro há quem produz essas informações: as pessoas. Levando isso em consideração, foi criada a Lei Geral de Proteção de Dados Pessoais (LGPD), que traz normas específicas para a área de segurança da informação, a fim de preservar a privacidade de usuários e clientes.

Em vigor desde 2020, a nova lei prevê as condições ideais para o uso de dados no ambiente empresarial, exigindo maior transparência e comprometimento das organizações. Entender o que é e como se aplica a LGPD é fundamental para evitar infrações que acarretem multas e demais penalidades.

Pensando nisso, criamos este post com tudo o que você precisa saber sobre o assunto. Confira!

O que é segurança da informação?

Alguns tipos de negócios lidam com dados extremamente sigilosos — que, se caírem nas mãos erradas, causam danos irreparáveis. Nesse sentido, a segurança da informação é um conceito que promove a defesa dos dados e das práticas executadas por uma empresa, garantindo que somente pessoas autorizadas possam acessá-los.

O vazamento de dados pode acontecer a partir da invasão de hackers, o que muitas vezes ocorre devido a brechas ou mau uso das plataformas. Ao acessar um site inseguro, por exemplo, os colaboradores podem abrir espaço para a entrada de vírus e ataques cibernéticos.

Por isso, o objetivo da segurança da informação é estabelecer políticas, processos, métodos e ferramentas capazes de blindar a circulação de dados dentro da organização, tornando as atividades de coleta, análise e armazenamento de informações mais seguras e controladas.

Com a LGPD essa preocupação aumenta ainda mais. Além dos dados sigilosos da companhia, a empresa deve ter consciência de que tem em suas mãos dados pessoais de seus clientes, funcionários ou outros stakeholders, ou seja, dados que não são seus.

O que é a LGPD e qual a sua importância?

A Lei nº 13.709/2018, popularmente conhecida como LGPD, foi sancionada em 2018 pelo então presidente do Brasil, Michel Temer, e entrou em vigor em setembro de 2020. Sua finalidade é regulamentar o uso dos dados, de modo a proteger os direitos e a privacidade dos cidadãos brasileiros cujos dados são coletados pelas empresas.

Influenciada pela Regulamentação Geral de Proteção de Dados (GDPR), estabelecida na Europa, a lei brasileira apresenta diretrizes sobre o que são dados pessoais, quais são os direitos de seus portadores e deveres daqueles que os coletam, com a finalidade de proteger a privacidade.

Para tanto, a LGPD determina que haja mais transparência nos processos de tratamento das informações pessoais. Os dados são do cidadão e, quando ele disponibiliza esses dados às empresas, ele não está dando, mas sim “emprestando” suas informações, a troco de obter vantagens e serviços das empresas que os coletam. 

Sendo assim, as empresas não podem fazer o que bem entenderem com esses dados, as atividades devem ter finalidade justa e definida, os dados têm que estar bem protegidos e o cidadão tem o direito ao esquecimento (que pode ser entendido como “pegar o que foi emprestado de volta”).

Mais do que cuidar dos dados, as organizações também são responsáveis por prestar contas à comunidade, o que nada mais é do que demonstrar transparência em suas operações. Veja como funciona e a importância da LGPD para as empresas.

Determina uma regra para todo o Brasil

A prevê que todas as empresas devem seguir as mesmas regras. Isso significa que haverá uma padronização dos processos relacionados ao tratamento de dados, evitando a execução de práticas que violem a privacidade das pessoas.

Define o que são dados pessoais

Muitas empresas consideravam como dados particulares apenas os números de documentos dos seus clientes. Essa situação também mudou com a LGPD, pois as informações são classificadas em dados pessoais e dados sensíveis. Basicamente, os dados pessoais são:

• nome;
• CPF;
• RG;
• data e local de nascimento;
• gênero;
• e-mail;
• telefone;
• endereço residencial;
• cookies;
• endereço IP.

Já os dados são sensíveis são aqueles que de alguma maneira, caso caiam em mãos erradas, podem causar constrangimento ao titular. São eles:

• sexualidade;
• raça;
• cor;
• religião;
• hábitos de consumo;
• informações financeiras;
• preferências políticas;
• localização de GPS;
• prontuário médico.

Pede o consentimento do cidadão quando necessário

Um dos principais pontos da LGPD é o consentimento do usuário para a utilização dos seus dados em determinadas situações. Há que se tomar cuidado com a crença de que o consentimento é obrigatório para tudo. Apesar de ser uma ferramenta válida, não é necessariamente a melhor abordagem na maioria dos casos. 

Nem tudo se resolve com o consentimento. Quando uma pessoa é contratada por uma companhia, por exemplo, ela não precisa dar consentimento para que a organização possua seus dados, isso está implícito quando ela aparece no primeiro dia para trabalhar. Mas a empresa que fez a contratação deve ter uma série de controles para que seus dados sejam utilizados somente para os fins de sua contratação e remuneração, sem que pessoas não envolvidas no processo tenham conhecimento. 

O consentimento é necessário quando as operações da empresa vão além daquilo que é automaticamente implícito pela transação estabelecida. Quando você compra um item na internet, por exemplo, dá suas informações para que você receba o produto em casa, mas se o site pergunta “podemos compartilhar suas informações com empresas parceiras?”. Nesse caso o tratamento não é óbvio e precisa do consentimento para acontecer.

Nestas circunstâncias, é fundamental informar o cidadão sobre a finalidade e a necessidade do recolhimento dos dados. E, caso o indivíduo volte atrás depois de consentir o uso das suas informações, a empresa deve oferecer mecanismos para que a permissão seja retirada a qualquer momento.

Como funciona a responsabilização, fiscalização e infrações?

A fiscalização do cumprimento da LGPD cabe à Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Também está previsto que as companhias devem designar responsáveis com funções específicas para o tratamento de dados, como controladores, operadores e encarregados.

Os gestores de base de dados pessoais são incumbidos de administrar eventuais riscos e falhas, criar normas de governança, bem como adotar medidas preventivas de segurança da informação. Se acontecer algum vazamento de dado, é preciso avisar a ANPD o quanto antes.

O descumprimento da lei desencadeia multas de 2% em relação ao faturamento anual da organização, que pode atingir um limite de até 50 milhões de reais. Vale ressaltar que a penalidade depende da gravidade da infração, e a ANPD envia notificações e orientações antes de optar por punições mais pesadas.

Porém, o maior risco não está propriamente na multa aplicada, mas sim no risco de prejudicar a imagem da empresa. Perder a confiança do consumidor em um mundo direcionado pelos dados é algo que pode gerar perdas incalculáveis.

Como adequar sua empresa à LGPD?

É preciso deixar claro que a adequação à LGPD não é uma receita de bolo pronta, logo não caia em promessas do tipo “adequo a sua empresa em 5 dias”. Trata-se de um processo que dura para sempre, não basta adaptar suas atividades atuais à nova lei, o ideal é entender como as atividades futuras serão impactadas por ela. O mundo muda, a empresa pode criar novos produtos, usar novos sistemas, táticas de invasão de dados podem ser aprimoradas. É preciso estabelecer uma administração de vigília e melhoria constante.

Cada empresa tem suas particularidades, é preciso entender o negócio, como a lei se aplica a ele, quais dados circulam pela empresa, como circulam, a que riscos estão expostos, como mitigar esses riscos, como se comunicar com os titulares e outros stakeholders, entre outras atividades bastante complexas.

A mudança não deve ser vista como uma dor de cabeça e um gasto a mais, já que também é um incentivo para que as empresas aprimorem as suas operações e ganhem uma série de vantagens competitivas no mercado. Afinal, a implementação de práticas rigidamente pautadas pela nova lei permite que as empresas fortaleçam a área de segurança da informação, protejam a privacidade dos seus clientes e trabalhem com mais transparência. 

Para se adequar à LGPD de forma tranquila, é altamente recomendado buscar ajuda de uma consultoria especializada e que forneça os conhecimentos e os sistemas necessários para evitar erros e prejuízos morais e financeiros. Com uma parceira confiável cuidando bem de seus dados e minorando os riscos de exposição, a alta administração pode se preocupar somente com o que interessa.

Gostou deste post? Tem alguma dúvida sobre o tema? Deixe o seu comentário aqui embaixo!