A LGPD entra em vigor em agosto de 2020. Quais medidas você e/ou sua empresa precisam tomar desde já para estarem adequados à lei no tempo necessário? E por quê? Vamos lá.
O ponto inicial, no caso em questão, é entender quais são os dados pessoais que estão em seu poder, o que é feito deles no dia a dia e quão seguros estão. No momento em que a legislação estiver em vigência o titular do dado poderá cobrar total transparência destas questões e estará em posição de total acesso a estes dados, podendo solicitar a restrição no tratamento ou mesmo que sejam apagados.
Definir quais são estes dados é imprescindível. Muitas vezes não nos damos conta de que dados isolados podem ser, sim, dados pessoais, como o número do chassi de um carro, um endereço de e-mail ou o número de celular. Dados que podem não estar atrelados a um nome, mas identificam uma pessoa específica. Como não há um rol fechado de dados pessoais, cada empresa precisa averiguar quais possui em seu poder.
Quem possui base de dados de endereços eletrônicos armazena dados pessoais e vai ter que trata-los sob os princípios da LGPD, o que inclui basicamente não usá-los para nenhum outro fim a não ser aquele para o qual foi fornecido.
Os dados sensíveis, por outro lado, são especificados em lei e em relação a estes os cuidados contra vazamentos devem ser ainda maiores. Especificados quais são os dados pessoais e dados pessoais sensíveis, o responsável precisa manter a qualidade dos mesmos, o que seja, precisam ser fidedignos, atuais e anonimizados sempre que possível, sob risco de perda de confiança na empresa.
Neste ponto é interessante que se diga que uma das razões pelas quais espera-se que a lei seja respeitada e atendida quando de sua vigência é que as normas específicas sobre tratamento de dados foram demanda da própria sociedade. Quem não se adequar sofrerá impacto reputacional. Mais a mais, com toda a inovação da economia digital e o comércio internacional corriqueiro, as empresas brasileiras já transacionam com organizações sob a égide de um Regulamento Geral sobre a Proteção de Dados.
A LGPD, portanto, já é realidade e de imediato impacta diferentes setores da sociedade.
Medidas imediatas
Estabelecidos quais são os dados pessoais armazenados, a pessoa natural ou jurídica de direito público ou privado atingida pela LGPD precisa definir/delimitar:
para qual finalidade mantém as informações;
o tipo de dado que processa, definindo a necessidade ou não de ser anonimizado;
qual é a base legal para o processamento, verificando, por exemplo, casos em que precisa do consentimento do titular para dar continuidade ao tratamento;
quem são os terceiros destinatários dos dados e para onde vão. Circularão apenas no Brasil? A checagem dos contratos é importante.
como serão os métodos de segurança e como serão as respostas a eventuais brechas e vazamentos. É muito importante o treinamento de pessoal nesta área, entendendo que os dados são verdadeiros documentos vivos, que precisam ser atualizados quando necessário e protegidos de ataques de terceiros;
o período de retenção dos dados. Uma política de verificação para que seja definido quando o dado pode ou deve ser excluído. E também para que o titular possa solicitar a exclusão e ser atendido em prazo razoável.
Treinamento
É esperado que as empresas treinem os funcionários para que possam entender as brechas na segurança e que possam responder às solicitações dos titulares de direito. A ideia é que todos os colaboradores estejam informados de eventuais problemas ou brechas para pelo menos reconhecerem quando estiverem diante de uma solicitação neste sentido.
Sob o comando da GPDR, o titular dos dados questiona a empresa por meio de um SAR (subject access request) e deve ser atendido em prazo determinado. Mas ainda que informe a questão por outro meio, é esperado que o funcionário que se perceber diante de uma brecha de segurança a comunique o mais breve possível para que sejam tomadas as providências necessárias. Por isso a necessidade de treinamento de pessoal.
Na LGPD os direitos do titular estão previstos no capítulo III e são assegurados da mesma maneira que no modelo europeu, sempre mediante requisição do titular. No caso de o titular requerer a confirmação de existência ou o acesso a dados pessoais devem ser providenciados em formato simplificado imediatamente ou, por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, em ate 15 dias, a contar da data do requerimento do titular. Estes prazos podem ser dispostos de maneira diferenciada pela ANPD.
Segurança
Grande problema em relação à segurança de dados é que em muitos casos os vazamentos apenas são percebidos depois de ocorridos os acessos ilegais. Acessos que proporcionam invasão de privacidade, espionagem privada, industrial, governamental ou interceptação de chats. São basicamente roubos de dados que podem proporcionar toda sorte de fraudes. E muita desta movimentação fraudulenta ocorre via Dark Web, motivo pelo qual já se recomenda fortemente às equipes de segurança que implementem uma solução contínua de monitoramento para superar os invasores e reduzir os riscos de terceiros.
A Dark Web é definida como uma parte da Internet que pode ser acessada com um software específico, como o navegador Tor, por exemplo. Seus usuários agem em alto nível de anonimato, já que a localização física de seus servidores e dispositivos não pode ser rastreada pelo design do protocolo de rede subjacente. Por razões óbvias, portanto, a Dark Web e seus mercados atraem cibercriminosos e vigaristas. Eles compram e vendem um amplo espectro de dados roubados, bens ilegais ou contrabandeados, desfrutando de falta de nome e impunidade.
Para melhor compreensão, vamos salientar que a Surface Web é toda a parte da internet indexada, possibilitando que os canais de busca encontrem o domínio e todo o público tenha acesso livre às informações postadas.
Diferentemente da Surface Web, a Deep Web é composta por sites não indexados, não sendo possível encontrá-los nos canais de busca, como o Google. As informações constantes da Deep Web só podem ser acessadas se o usuário obtiver o endereço correto. A maioria das pessoas que acessam a Deep Web não estão envolvidas em situações ilegais, apenas não desejam ser encontradas. A maioria dos dados residentes no Deep Web é de natureza legítima e legal.
Na Dark Web a criptografia é bem mais complexa, permitindo que apenas usuários avançados consigam chegar até ela. Não por outro motivo costuma ser utilizada para ofertas ilegais de dados corporativos extraídos ilicitamente. Monitorar a Dark Web e verificar dados valiosos sendo negociados é um indicador sustentável de violação de dados ou vazamento acidental.
Vale dizer que muitas empresas hoje afirmam possuir petabytes de dados relativos a ameaças vindas da Dark Web e oferecem detecção e correção de falhas de segurança, podendo ser aliadas neste momento.
Enfim, dados pessoais valem dinheiro: o Relatório da Anistia Internacional revelou em 2017 a venda de informações de 1,8 milhões de pessoas por mais de 138 milhões de dólares. E mesmo com a normatização europeia mais rigorosa desde 2018, estima-se que o comércio de dados privados é um negócio crescente, de forma que os indivíduos e empresas sujeitos às LGPD precisam se programar e investir em segurança de maneira satisfatória.
Medidas paralelas
A capacitação de pessoal e a análise de dados estão intimamente ligadas à nomeação do responsável por verificar se a empresa está de acordo com a LGPD, o encarregado de proteção de dados. Ele deverá trabalhar em conjunto com uma equipe multidisciplinar que contemple as áreas de TI, administrativo, jurídico, gestão e tratamento de dados. Este aparato é importante para que se crie um programa de conformidade com a nova lei e seja feita a classificação, catalogação e processamento dos dados, identificando se são dados físicos ou online, sensíveis e também quem terá acesso à essas informações.
Ou seja, para que crie uma estrutura de governança de dados, sempre cumprindo um cronograma interno de treinamento e comunicação com os funcionários, gerenciando riscos relacionados à segurança da informação, administrando riscos de terceiros e respondendo a tempo às solicitações e reclamações dos usuários.
Tudo isto sempre atento às novas práticas organizacionais e acompanhando a edição de novas regulamentações e as boas práticas do mercado.
Esperamos por você.
