Uma simples compra na farmácia e já dá para notar que tem algo novo. Mesmo para o cliente já cadastrado, o funcionário pede novamente os seus dados e explica que, pela nova Lei Geral de Proteção de Dados Pessoais (LGPD), é necessário fazer novo cadastro e obter novo consentimento de uso das informações.
Trata-se da Lei nº 13.709/2018 destinada a regulamentar o uso que as empresas fazem de dados pessoais, inclusive nos meios digitais, por pessoa física ou jurídica de direito público ou privado. Ao fornecer números do CPF ou RG, por exemplo, a pessoa tem o direito de saber como essas informações estão sendo utilizadas. Se esses dados não forem obtidos diretamente com o titular, ainda assim o cidadão tem o direito de saber como eles foram coletados e como são armazenados. A segurança da informação é um dos pilares da LGPD e segue a ISO 7001.
De acordo com Paulo de Tarso Lamigueiro Toimil, gestor de projetos e DPO (Data Protection Officer) da empresa Online Clinic, a LGPD visa proteger os dados pessoais, dando mais transparência aos seus titulares e detalhando obrigações para as empresas que os tratam. Isso inclui nome, RG, CPF, dados financeiros e endereços eletrônicos. “Para isso, a lei traz princípios importantes, entre eles transparência, segurança, necessidade e adequação no uso de dados pessoais”, comenta.
A proteção não se limita a números de documentos. Segundo Toimil, também são considerados dados sensíveis pela lei e têm mais restrições no tratamento, os dados que se referem à origem étnica ou racial da pessoa, convicções políticas e religiosas, opinião política, filiação a sindicatos ou organizações políticas, filosóficas ou religiosas. Completam essa relação dados genéticos, ligados à saúde e vida sexual e os dados biométricos da pessoa.
A Online Clinic está em processo constante de adequação às novas legislações e sua plataforma está adequada à LGPD. “Desde fase de prospecção, informamos nossa visão da LGPD, temos treinamento formatado para atender às exigências da Lei”, afirma Tarso.
Em agosto de 2021 entram em vigor as sanções
A lei entrou em vigor em 2020 e a partir de agosto de 2021 começarão a vigorar as sanções às empresas que descumprirem suas determinações. Se a empresa não se adequar, dentre as penalidades está multa de até 2% do faturamento da empresa e o valor máximo da sanção é de R$ 50 milhões.
A empresa deve ter um gerente responsável pela proteção de dados?
É altamente recomendável, e em vários casos obrigatório, nomear um encarregado de dados pessoais. Este profissional será o representante da empresa nas questões relativas à LPGD junto aos titulares de dados e junto à Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar e regulamentar o cumprimento da lei. A ANPD tem legitimidade para agir em qualquer periodicidade.
Quais são as principais regras da nova LGPD para as empresas?
Todas as empresas possuem dados pessoais. Portanto, todas devem estar de acordo com a Lei nº 13.709.
As principais regras são:
- Ter total controle sobre os dados pessoais existentes e seu propósito de uso.
- Mapear o ciclo de vida desses dados.
- Fazer um inventário de aplicações que utilizem informações sobre pessoas.
- Definir práticas de atendimento ao titular das informações, isto é, o cliente.
- Definir práticas de atendimento ao regulador.
- Criar políticas, processos e procedimentos para uso dessas informações.
- Promover ações educativas regulares e garantir a conformidade com a Lei.
- Capacitar os colaboradores da empresa para a compreensão da importância da segurança dos dados e a execução dos procedimentos necessários para garanti-la.
- Conhecer as vulnerabilidades do sistema de armazenamento.
- Adotar mecanismos de segurança garantidores da privacidade.
Como agir para a LGPD ser incorporada à cultura da empresa?
A empresa deve promover o comprometimento executivo e o preparo do quadro gerencial. A formação deve ser garantida aos profissionais diretamente envolvidos com dados pessoas. Os processos e procedimentos devem ser compartilhados na comunicação. O encaminhamento da cultura de proteção deve ser mensurável na organização.
O que a empresa deve conhecer sobre dados pessoais para estar de acordo com a Lei
- Quais dados pessoais já existem
- Qual a origem
- Onde e como são tratados
- Finalidade e necessidade
- Classificação/ sensibilidade
- Condições de exceção
- Compartilhamento de dados
- Ciclo de vida
- Análise Gaps
- Implementação
- Nível maturidade
- Continuidade
Quais devem ser os processos adotados para cumprir a LGPD
- Processos de atendimento e relacionamento com o titular de dados
- Tratamento e controle de instruções normativas
- Relacionamento com fornecedores
- Processos de produtos
- Tratamento de Incidentes
- Desenvolvimento
Atenção às vulnerabilidades dos sistemas
- Assessment ou gestão profissional de vulnerabilidades
- Mapeamento de riscos cibernéticos
- Práticas e políticas de segurança
- Prevenção de ataques
- Controle efetivo de identidades e acesso
- Fraudes e vazamentos