Conheça a Lei Geral de Proteção de Dados (Lei 13.709)

A Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018) regula todas as atividades das Organizações que envolvem a segurança das informações pessoais de terceiros, incluindo coleta, transmissão e arquivamento de dados. A LGPD entra em vigor em agosto de 2020, revolucionando a forma como esses dados serão tratados em nosso país.

A LGPD estabelece que dado pessoal é toda informação relacionada com o cidadão brasileiro e determina que o tratamento desses dados deva considerar os princípios de privacidade, que se encontram descritos na lei.

As Organizações necessitarão demonstrar que os dados pessoais coletados são corretos, necessários, mínimos e de qualidade, além de atender ao objeto do seu negócio, entre outras obrigações.

A função da LGPD

A lei engloba todos os setores da economia desde que a operação de tratamento de dados tenha sido feita em território nacional e, entre as determinações legais, deverá ser definido e mantido um programa de governança e de investimentos em TI, essenciais para a gestão e controle das informações pessoais de terceiros.

As providências para otimizar a proteção de dados pessoais devem incluir tecnologias de segurança, como soluções em firewall e de detecção e resposta a incidentes, entre outras. Uma abordagem proativa da cibersegurança exige investimento em pessoal especializado, inteligência, tecnologia e analytics.

Também deverá ser estruturada uma área específica responsável pela função de gestão de políticas e de procedimentos relacionados com privacidade de dados de terceiros e pela comunicação à Autoridade Nacional de Proteção de Dados – ANPD, no caso da ocorrência de algum incidente de segurança da informação.

A adoção de política de transparência é importante, pois uma eventual demora da Organização em se posicionar sobre incidentes, poderá passar para o mercado uma impressão negativa.

Como detalhado, a adequação à LGPD exige alterações estruturais no tratamento de dados pessoais, incluindo regras internas e externas à Organização, envolvendo aspectos tecnológicos, de governança e de privacidade, entre outras determinações.

Em resumo, a LGPD exige que processos e sistemas relacionados com coleta, produção, utilização e transmissão de dados de terceiros, tenham seu fluxo validado por profissionais de segurança da informação, sejam devidamente gerenciados por um titular responsável, acessados somente por pessoal autorizado e que estes dados trafeguem somente por ambientes seguros. Além disso, as políticas e normas relacionadas com tratamento de dados de terceiros deverão ter uma justificativa legal, conforme Art. 7º da Lei.

Neste sentido, nossos profissionais estão aptos para assessorar gestores e controladores de dados pessoais na adequação das suas operações e processos, em conformidade com as novas regras da LGPD, possibilitando uma adequada proteção do negócio contra riscos de incidentes de segurança da informação, propiciando crescimento seguro e contínuo das operações.

Serviços profissionais de consultoria para adequação de Organizações à LGPD envolvem:

• Proceder ao mapeamento dos atuais processos e das políticas de segurança e de privacidade da Empresa e efetuar avaliação crítica sobre gaps existentes, que possam impactar a implantação de metodologia de governança corporativa, controles internos e de gestão de riscos, relacionados com a privacidade dos dados de terceiros.

• Apoiar a implantação de um Sistema Gestão de Segurança da Informação – SGSI, com o objetivo de incrementar a necessária segurança dos dados pessoais de terceiros, incluindo sua coleta, transmissão e arquivamento, além de assegurar que as operações estão sendo executadas, em total conformidade com as políticas, normas e procedimentos de segurança da informação, definidos pela Alta Administração, e de acordo com os princípios de privacidade, que se encontram descritos na lei.

• Apoiar o desenvolvimento de uma área de Proteção de Dados com as funções e responsabilidades de manter a privacidade das informações pessoais de terceiros e de gerar relatórios gerenciais, básicos para o processo de tomada de decisão, sobre eventual ocorrência de quebra de privacidade, possibilitando a Organização se posicionar com devida transparência, requerida pela LGPD.

• Planejar e executar treinamentos para todos os colaboradores, incluindo Presidência, Diretoria e Gerentes para atuar em conformidade com a LGPD.

• Definir e implantar Plano de Contingência para mitigar eventuais ocorrências relacionadas com acesso indevido aos dados de terceiros, mantidos pela Organização.

• Definir e implementar procedimentos de Auditoria de Sistemas da Informação com o objetivo de analisar e avaliar se as informações pessoais de terceiros estão sendo adequadamente gerenciadas e mantidas e que os riscos inerentes ao processo de coleta, transmissão e arquivamento de dados de terceiros estão sendo devidamente controlados e mitigados. Elaborar Relatórios de Auditoria e Planos de Ação, com o propósito de garantir a adoção de condutas, em conformidade com as normas e políticas internas e externas à Organização e de fomentar um ambiente ético e transparente que se coadune com as boas práticas corporativas.

É importante destacar que a LGPD é uma oportunidade para que as Organizações reavaliem suas práticas e os controles internos sobre o tratamento de dados de terceiros. Manter em arquivos dados que não estão atualizados além de ser ineficiente apresenta um alto risco de exposição e até mesmo de sanções pela ANPD.

Artigo desenvolvido por:

Carlos Magalhães sócio diretor da PGBR Rio de Janeiro.

[rock-convert-pdf id=”9225″]