A Lei Geral de Proteção dos Dados (LGPD) entrará em vigor em agosto de 2020, cobrindo qualquer organização que coleta ou processa dados pessoais de brasileiros ou de residentes brasileiros.
A LGPD foi criada para reforçar a proteção do indivíduo e de seus dados pessoais e, principalmente, a privacidade na era digital – além de reduzir os riscos de incidentes de violação de dados. Ela segue a tendência de outros países e blocos ao redor do mundo.
A legislação também é uma maneira de fomentar relações comerciais internacionais, uma vez que empresas brasileiras precisam estar em conformidade com leis internacionais. O caso mais famoso é o da GDPR, criada pela União Europeia, que reformulou o cenário sobre o tratamento de dados pessoais e foi um catalisador da LGPD no Brasil.
Faltando menos de um ano para a nossa legislação entrar em vigor, preparamos uma lista rápida das questões sobre as quais você deve refletir para verificar até que ponto seus planos estão se moldando à LGPD. Vamos lá?
1. A gerência sênior entende a importância da LGPD?
Estar em compliance com a LGPD nada mais é do que adotar processos e metodologias de governança de dados e informações. Além deste resultado, a corporação terá sua maturidade elevada e fará uso de melhores técnicas de manipulação de dados.
Você será bem visto no mercado podendo tornar-se referência no modelo adotado.
Entretanto, aqueles não adotarem tais modelos sofrerão diversos tipos de sanções, desde exposição obrigatória na mídia, suspensão ou proibição da atividade de coleta e processamento, até multas.
2. Onde estão seus dados hoje?
A LGPD cobrirá todos os dados existentes, bem como os novos dados coletados depois que a legislação entrar em vigor. Então, é melhor descobrir quais tipos de dados sua empresa está coletando e processando, entender os processos de acesso, armazenamento, backup e descarte.
3. Existe um processo para fornecer os dados que forem pedidos?
A LGPD oferece aos usuários (titulares) o direito de exigir que os controladores (as organizações que os detêm e manipulam) forneçam seus dados de volta, em formato legível por máquina. Você está pronto para responder a solicitações, coletar os dados de todas as fontes sobre os indivíduos e devolvê-los?
4. Há um processo para excluir dados se exigido?
Desde que os dados armazenados não sirvam para algum objetivo previsto na LGPD ou em legislação anterior (dados fiscais, médicos, criminais etc.), os titulares dos dados podem exigir que eles sejam excluídos do seu armazenamento. Você tem um processo para isso quando solicitado? Você conseguiria provar que os dados foram excluídos?
5. Você entende as regras de consentimento?
Há muitas áreas e processos de coleta de dados, o consentimento, o uso e o tempo que eles são mantidos. Muitas vezes, os departamentos não têm certeza das regras. Você precisa ser capaz de responder a um regulador onde e como conseguiu os dados e como o titular concordou com a coleta.
6. Quais terceirizados têm acesso aos dados?
Supondo que seja um controlador de dados, você é responsável pela segurança deles, independentemente de quem estiver lidando com eles.
Você é responsável se um processador de dados (qualquer terceiro com quem tenha compartilhado) sofrer uma violação. Você tem certeza de que suas políticas, procedimentos e tecnologias para manter essas informações seguras estão funcionando da melhor forma possível?
7. Você tem certeza de que pode detectar violações de dados?
Você não quer ser informado de um incidente de perda de dados pelos próprios usuários, pela autoridade de proteção ou pior ainda, pela imprensa. Você tem tecnologia que possa detectar violações ocorridas, perícias forenses disponíveis para investigar como os dados foram perdidos (ou alterados)? Pode voltar no tempo com logs completos de usuários e identificar o incidente para entender seu escopo e impacto?
8. Você segue a privacidade por projeto e por padrão ao projetar novos sistemas?
A privacidade não deve ser uma reflexão tardia, que aparece somente no momento de entrega de um novo sistema. Ela deve ser projetada desde o início, e o controlador de dados ser capaz de mostrar que a segurança adequada está em vigor, é monitorada e que as políticas de proteção mais rígidas serão aplicadas por padrão.
Se você cria seus próprios aplicativos personalizados, esses são os padrões para os quais você trabalha? Ao implantar sistemas comprados, a configuração de privacidade é a configuração padrão?
9. Há um plano de comunicação pronto em caso de uma violação de dados?
Um dia, é possível ser vítima de uma violação de dados e precisar atender às exigências da lei, do regulador, responder às perguntas dos clientes e da imprensa imediatamente. Você está preparado para cada cenário possível? O tempo de resposta afetará a imagem da sua empresa!
Já estabeleceu um plano de comunicação que reduza o impacto na sua equipe de apoio, fornecendo as informações mais precisas aos titulares dos dados? Quem é o porta-voz da sua empresa? Você estará pronto mesmo se a violação se tornar pública fora do horário normal de expediente?
10. Todos os processos e fluxos de dados foram documentados?
Se ocorrer uma violação ou o regulador investigar a organização, é preciso ter documentos para explicar os fluxos de dados completos e os níveis de risco que foram assumidos. Você está pronto para responder a essas perguntas? O nível das sanções levará em consideração os processos, a tecnologia e a documentação que descrevem os sistemas e o fluxo de dados.
Essas são as principais questões para refletir até que a LGPD entre em vigor. Se elas foram fáceis de responder, ótimo! Você está no caminho certo. Se não, é hora de repensar a forma como você gerencia, audita e armazena os seus dados.
Tecnologia é a nossa especialidade! Integradora de soluções e serviços de TI desde 1995, a Service IT possui uma equipe de profissionais altamente treinados e capazes de atender as demandas de tecnologia da sua empresa. E, por isso, se responder a perguntas como a que foi feita ainda é um desafio para sua empresa, entre em contato agora mesmo!
A Service IT é especializada em outsourcing e consultoria de tecnologia. Distribuída através de escritórios em Porto Alegre, Curitiba, São Paulo, Rio de Janeiro, Buenos Aires e Santiago, a empresa possui estrutura preparada para atender toda a América Latina. Com um Centro de Operações próprio, a Service IT monitora e gerencia o ambiente de TI de seus principais clientes com foco em infraestrutura, managed services, cloud e segurança.
