LGPD: Qual o impacto no setor de TI das empresas


No mundo digital os dados pessoais estão cada vez mais expostos, de uma forma muito mais rápida e facilitada para todos. É muito comum que a economia nesse ambiente gire em torno da captação de dados.

Sabemos que empresas do mundo todo sempre coletaram e utilizaram dados pessoais, seja para poder entender melhor seus consumidores e suas necessidades ou até mesmo para disparar inúmeros e-mails com informativos de diversos assuntos.

Porém, essa prática tão comum não está de acordo com o direito universal à privacidade, pelo fato da utilização de dados pessoais sem a permissão do proprietário.

O vazamento de conteúdos e dados pessoais de consumidores online está cada vez mais presente nas notícias ao redor do mundo.

Esse cenário fez com que legisladores e especialistas em tecnologia da informação ao redor do mundo buscassem trazer à tona discussões sobre a necessidade da criação de leis específicas de coleta e tratamento de dados, se fazendo necessária a definição do acesso e principalmente o uso das informações coletadas ou até mesmo trocadas para conservar os direitos dos usuários.

Foi a partir disso que a LGPD (Lei Geral de Proteção de Dados) foi criada.

O que é a LGPD (Lei Geral de Proteção de Dados)?

Com a assinatura do Marco Civil da Internet, em 2014, começaram os debates sobre a privacidade dos dados pessoais, que teve importante progresso para uma legislação fundamentada em transparência e privacidade.

A LGPD foi inspirada na GDPR (General Data Protection Regulation), documento europeu publicado em 2017, que também regula a proteção de dados.

Este documento tem como finalidade tratar o direito europeu sobre privacidade e proteção de dados pessoais aplicável a todos os indivíduos na União Europeia e no Espaço Econômico Europeu.

O GDPR regulamenta a exportação de dados pessoais para fora da União Europeia e tem como objetivo, dar aos cidadãos e residentes, formas de controlar os seus dados pessoais.

A Lei Geral de Proteção de Dados (LGPD) foi sancionada em 14 de agosto de 2018 e entrará em vigor em agosto de 2020, período em que as empresas precisam se adequar para cumprir com as normas.

A lei tem como objetivo trazer maior transparência sobre o que é feito com seus dados pessoais, sendo que o consentimento de uso de cada um é fundamental.

Toda coleta, armazenamento, tratamento e compartilhamento, deve ser de conhecimento do proprietário dos dados, levando em consideração que todo tratamento deve ser feito de forma transparente pela empresa que captou tais informações.

Penalizações para empresas que utilizam esses dados de forma indevida já foram criadas, por isso empresas e órgãos governamentais que coletam, tratam ou armazenam dados pessoais deverão estar de acordo com as conformidades da lei ou estarão sujeitos a multas que podem chegar à 50 milhões de reais.

O profissional responsável pela LGPD dentro das empresas

O encarregado de Proteção de Dados ou Data Protection (DPO), será o responsável por disseminar a cultura de proteção de dados dentro das empresas, além de ainda criar normas e procedimentos adequados à lei.

Ele deverá ter experiência em leis e práticas de proteção de dados e um entendimento completo de sua infraestrutura de TI, tecnologia e estrutura técnica e organizacional.

Além de ter habilidades de gerenciamento e a capacidade de interagir com toda a equipe interna e até com autoridades externas.

O DPO deverá ter capacidade de garantir a conformidade interna e alertar as autoridades sobre a possível não conformidade, mesmo entendendo que a empresa poderá estar sujeita a multas por não estar de acordo com a lei.

Como a LGPD vai influenciar no desenvolvimento do setor de TI?

Um dos assuntos mais relevantes do setor de Tecnologia da Informação e Compliance, sem dúvidas tem sido a privacidade e proteção de dados.

Com a alta base de dados e informações, cabe ao setor de TI das empresas conduzir esses dados, realizando todos os procedimentos de segurança na coleta, armazenamento e tratamento deles.

Mas agora, ao falar no desenvolvimento de sistemas e tecnologia, como colocamos isso em prática?

Através da metodologia Privacy by Design, toda a proteção de dados pessoais pode ser analisada desde o início da concepção do sistema. Vale lembrar que o Privacy by Design é apenas parte do ciclo de adequação das empresas ao LGPD.

Um resumo simplificado explica os 7 princípios básicos:

1) Pró-ativo não reativo; preventivo não corretivo: Prever e antecipar os eventos passíveis de interferência ou de comprometimento da privacidade.

2) Privacidade como configuração padrão: Por padrão, a configuração referente a privacidade deve prever a segurança e a proteção, devendo qualquer tratamento ser trabalhado como exceção e condicionado a rápida autorização do titular.

3) Privacidade incorporada ao projeto: Incorpore as ferramentas de privacidade ao projeto inicial para reduzir os esforços e o desgaste no cumprimento futuro das regras de proteção. A privacidade passa a ser parte da própria solução e não um adendo.

4) Funcionalidade total – soma positiva, não soma zero: A utilização dos dados pessoais deve se dar em consonância com os objetivos do tratador sem a necessidade de se fazer trocas desnecessárias como, por exemplo, abrir mão da segurança para conseguir mais dados.

5) Segurança de ponta a ponta, proteção completa do ciclo de vida: Ao tratar um dado você precisa garantir a segurança de todas as informações desde a sua captura, que é a primeira forma de tratamento, até a sua eliminação ou compartilhamento, que também são formas de tratamento.

6) Visibilidade e transparência: A visibilidade e transparência precisam ser aplicadas desde o início da relação. Os termos e condições de uso e de privacidade devem ser expostos de forma clara pelo agente de tratamento, dando destaque para todas as informações relevantes que envolvam a mitigação ou flexibilização de algum direito.

7) Respeito pela privacidade do usuário: O desenvolvimento do sistema deverá ser baseado nos interesses e garantias do usuário, com medidas capazes de prevenir, garantir e comunicar claramente ao titular todas as possibilidades e riscos no tratamento previsto. A privacidade precisará ser sempre a base do sistema e as exceções devidamente negociadas e informadas.

Os sete princípios garantem uma abordagem positiva, cobrindo todas as pontas necessárias que estabelecem a proteção dos dados pessoais, com a grande maioria das normas de privacidade.

O método do Privacy by Design deve, aos poucos, ser inserido aos processos de desenvolvimento de aplicações e gerenciamento de dados de todas as empresas, não apenas às empresas do setor de tecnologia.

A maior mudança dada nessa ocasião é a inserção de tarefas relacionadas ao tratamento, exposição e uso de dados pelos sistemas.

O termo DevSecOps (Development, Security & Operation), que insere o item “segurança” no desenvolvimento de software, sem dúvidas terá ainda mais importância ao cobrir os itens funcionais da LGPD.

O método Privacy by Design é totalmente adaptável às práticas de cada empresa, porém exige que o profissional de TI e compliance entenda cada princípio específico para entender como eles deverão ser refletidos nas políticas e processos internos de cada empresa ou órgão governamental.

Qual a importância da visibilidade e gerenciamento dos dados?

Sem dúvidas, a lei afetará a maneira como os profissionais de TI lidam, coletam e processam os dados.

Nesse caso, os princípios a serem considerados na hora de visualizar e gerenciar esses dados são:

- Armazenamento de dados: o profissional deverá ter certeza de que os dados criptografados são autorizados e processados com a autorização correta de uso;

- O tipo de dado armazenado ou coletado: será preciso justificar que os dados pessoais coletados são necessários para utilização específica e utilizados apenas para essa finalidade;

- Processamento de dados: o processamento de dados deve ser conduzido para que os dados não possam mais ser atribuídos a um ou outro assunto sem informações adicionais;

- Transferência de dados: dados que exigirem transferência, deverão ser criptografados e sua criptografia deverá ser irreversível;

- Acesso aos dados: será necessário decidir quem terá ou não o acesso aos dados pessoais coletados.

Após ajustar os dados de acordo com esses princípios, só será permitido a utilização ou processamento dessas informações documentando e evidenciando os motivos específicos da utilização deles.

Ciclo de vida dos dados na LGPD:

Soluções existentes que ajudarão na proteção de dados pessoais

Diversas são as soluções já existentes que tornarão a proteção de dados pessoais ainda mais rápida e eficiente.

Dentre elas, temos ferramentas de avaliação que detêm ou transmitem dados pessoais ou também fornecem visibilidade sobre dispositivos, usuários e aplicativos, seja na instalação, na nuvem ou no smartphone.

Ferramentas de implementação automatizadas que gerenciam o consentimento para tornar os sites compatíveis com os requisitos da lei, para obter o consentimento informado dos usuários para coleta e uso de dados, ou até a exclusão total dessas informações se necessário.

Ferramentas de manutenção que monitoram e integram-se com estruturas de automação, para monitorar as mudanças dos dados ao longo do ciclo de vida de desenvolvimento, ajudando a garantir que permaneça em conformidade com os requisitos da lei.

Plataforma de software de gerenciamento de privacidade que realizam varreduras contínuas das páginas web para identificar e categorizar cookies, fornecendo um mecanismo transparente que obtêm os consentimentos necessários para o acesso específico de dados.

Conclusão

Em resumo, atualmente a LGPD é uma das legislações mais importantes no Brasil sobre proteção de dados.

Seu impacto se dá a qualquer organização presente em território nacional que lide com os dados pessoais e corporativos dos brasileiros, mas também vai de encontro com a GDPR quando empresas multinacionais estão presentes e tratando dados.

Fazer o mapeamento da origem dos dados, classificá-los e utilizar de tecnologia para poder adequar-se à LGPD, é de suma importância para os profissionais de TI, uma vez que a segurança dos dados e o tratamento de forma mais segura são garantia de maior credibilidade perante o mercado.

Com as suas informações, a MPE poderá pensar em soluções
perfeitas para sua empresa.

Alguns de nossos clientes