info.jpg


 

PROTEÇÃO DE DADOS 

Entenda o que muda com a LGPD!

 

 

Lei Federal 13.709/18


 

A Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018, estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção aos consumidores e penalidades para empresas que não estejam em compliance com a legislação.



Em 2020, a Lei Geral de Proteção de Dados entrará vigor e, até lá, sua empresa pode enfrentar muitos desafios para garantir que todos os seus processos estejam adequados às disposições da nova legislação!

 

  • squisaA LGPD – Lei de Proteção de Dados Pessoais – entra em vigor a partir de agosto de 2020 e estabelece os princípios, direitos e deveres que deverão ser observados por empresas públicas e privadas no tratamento de dados pessoais de pessoas físicas.
  •  

A LGPD ainda não detalha quais serão os controles exigidos para que a proteção e privacidade sejam alcançadas, deixando para a ANPD – Agência Nacional de Proteção de Dados – essa possibilidade.

Em seu artigo 46, a LGPD descreve o seguinte:

 

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

 

É possível que a ANPD se utilize de padrões técnicos já estabelecidos por frameworks ou certificadores de segurança mundialmente reconhecidos, tais como: ISO/IEC, SANS OU NIST.

A segurança da informação trabalha basicamente para garantir a sustentação de três pilares básicos: confidencialidade, integridade e disponibilidade. Como a LGPD versa especificamente sobre proteção e privacidade, é provável que alguns controles para manutenção da confidencialidade venham a ser exigidos pela ANPD.

Caso a ISO/IEC seja considerada como modelo pela ANPD, seria possível a utilização da família ISO 27.000, que estabelece controles e processos de segurança da informação e menciona a criptografia como uma das formas de se garantir a confidencialidade das informações.

 

Criptografia é um mecanismo de segurança e privacidade que torna determinado dado ininteligível para quem não tem acesso aos códigos (chaves criptográficas). Importante ressaltar que esse mecanismo não se confunde com Anonimização, que, nos termos da LGPD, é o mecanismo pelo qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

 

É possível, portanto, que a ANPD exija que as empresas que coletam dados pessoais apliquem controles criptográficos como forma de garantir a confidencialidade dos dados do titular.

Além de as informações tornarem-se legíveis apenas para quem possui as chaves criptográficas, ela pode ser implementada em arquivos como banco de dados, arquivos, pastas, dispositivos, etc., e em comunicações como redes, transferência de dados, voz, interconexão entre sistemas, entre empresas, etc.

Importante ressaltar, também, que durante a sua implementação alguns cuidados devem ser tomados, especialmente os relacionados a custo, performance, tempo, gestão de chaves, entre outros.

Por fim, um cuidado essencial deve ser tomado: uma vez que os gestores das chaves terão acesso aos dados em “texto claro”, ou seja, sem criptografia, é de suma importância que exista um procedimento robusto quanto à gestão das chaves criptográficas para garantir a proteção, privacidade dos dados e as obrigações e direitos previstos na LGPD.

Sua empresa já está com todos os processos de tratamento de dados resguardados pelos procedimentos de segurança e privacidade?

 

*Por Fábio Luciano | Segurança da Informação, Infohouse Processamento de Dados

 



 

Quem deve cumprir?

​​​

Todas as empresas, independentemente do porte ou segmento, precisam estar atentas sobre como estão tratando os dados dos seus clientes e se seus processos estão em conformidade com a nova lei.



 

O sua empresa deve fazer, quais os passos ? 

​​​Data_protect_icons_2_landing_page-07


Auditoria sobre o Tratamento

Aderência das 20 atividades de tratamento de dados aos princípios gerais previstos no Art. 6º da LGPD.


 Data_protect_icons_2_landing_page-04


Segurança dos Dados

Utilização das medidas de segurança da informação aptas a proteger os dados pessoais de acessos não autorizados, acidentais ou ilícitas.

Data_protect_icons_2_landing_page-02


Governança de Tratamento

Criação de normas de boas práticas e de governança, que estabeleçam segurança e ações educativas no tratamento de dados pessoais.


 

Data_protect_icons_2_landing_page-06

Plano Incidente de Segurança

Comunicação aos órgãos fiscalizatórios (ANPD, Procon, Senacon) e à imprensa sobre incidente de segurança que acarrete risco ou dano. 

 

Data_protect_icons_2_landing_page-09

Certificação

Certificação por auditoria especializada das práticas relacionadas à LGPD.


 

Data_protect_icons_2_landing_page_Certificação

Due Diligence

Identificação dos dados, departamentos, meios, operadores internos e externos para mensuração de exposição da empresa à LGPD.

 

Data_protect_icons_2_landing_page_Prancheta 1

Consentimento 

Controle do consentimento e anonimização para atender possível solicitação do titular e da futura agência.


 

Data_protect_icons_2_landing_page-03

Relatório de Impacto

Atendimento à ANPD, que poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais.


 

Data_protect_icons_2_landing_page-08

Gestão da Informação

Criação de banco de dados para os titulares tenha acesso controle das suas informações.


 

Ao não cumprir a LGPD sua empresa pode receber multas e outras sanções!

​​​

Sua empresa pode ser penalizada caso não atenda as normas da LGPD, veja de quais formas: 

 

# Multa simples, de até 2% do faturamento da empresa infratora, limitada a R$ 50.000.000,00 por infração

# Multa diária, de até de até 2% do faturamento da empresa infratora, limitada a R$ 50.000.000,00 por infração


# Advertência, com indicação de medidas corretivas

# Publicidade da infração, após esta ser devidamente apurada e confirmada

# Bloqueio dos dados afetados até a sua regularização

# Eliminação dos dados afetados