LGPD


TUDO O QUE VOCÊ PRECISA SABER SOBRE A NOVA LEI DE PROTEÇÃO DE DADOS - LGPD

No dia 14 de Agosto de 2018 foi sancionada a nova Lei Geral de Proteção de Dados Pessoais que regulamenta o uso, a proteção e a transferência de dados pessoais,afetando diversos setores e seus processos de negócio.

Embora as obrigações legais e as penalidades passem a vigorar a partir de 2020, muitas companhias já tiveram que se adequar à GDPR (Regulação Geral de Proteção de Dados) - vigente na União Européia desde maio de 2018 e se preparam para transição à uma economia de dados regulada.

Minha empresa precisa atender a LGPD?

A LGPD se aplica às empresas que preencham ao menos um dos requisitos abaixo:

  • Têm estabelecimento no Brasil
  • Oferecem serviços ao mercado/ consumidor brasileiro
  • Coletam e tratam dados de pessoas localizadas no país

Quais áreas da minha empresa são impactadas pela LGPD?  

  • Marketing
  • Desenvolvimento de software e TI
  • Gerenciamento de Produtos
  • Jurídico
  • Compliance
  • Recursos Humanos
  • Serviços e Logística
  • Análise de Dados

Na prática, cada organização terá que estabelecer critérios para cada pedaço da informação sobre as pessoas (funcionários, clientes, prospects, etc.) e restringir a exposição e o risco ao que é necessário para a prestação do serviço.

Segundo a LGPD, dado pessoal é qualquer informação que possa levar à identificação de uma pessoa, de maneira direta ou indireta. Ex.: dados cadastrais, dados de localização, identificadores eletrônicos, hábitos de consumo, preferências, etc.

Nossas soluções podem ajudar sua empresa atender à 2 princípios do tratamento de dados:

SEGURANÇA - Medidas técnicas e administrativas aptas a proteger os dados pessoais.

PREVENÇÃO - Adoção de medidas para evitar danos aos titulares.

Os princípios comuns à Lei de Proteção de Dados, à GDPR e a outras legislações semelhantes não se devem apenas ao aproveitamento de referências jurídicas, mas a razões de negócio bem práticas.

Operações como transferência de dados, deslocamento de carga entre data centers, ou prestação de serviços globais tendem a ficar restritas a países com legislações equiparáveis. A lei brasileira tem alguns critérios ligeiramente diferentes de proteção e é mais precisa em itens como definição de “dados anônimos”. Mas os princípios de finalidade, consentimento, responsabilidades e penalidades prevalecem. Vários mecanismos da Lei de Proteção de Dados complementam ou ratificam regras já existentes, como o Marco Civil da Internet ou regulações globais como o PCI.

Em termos de tecnologia e abordagens de segurança de dados, há muito o que ser aproveitado nas empresas de setores sujeitos a alguma regulação. Mas o marco legal também reforça a atenção de parceiros, clientes e consumidores à forma com que seus dados são tratados.

A percepção e intolerância a comunicações invasivas é o efeito mais festejado, que já ocupa os gestores das áreas Comercial, Marketing e Contact Center com a revisão das políticas de trabalho sobre as bases de dados. Mas os desafios afetam a praticamente todos os segmentos.

Gerenciamento granular do dado” pode parecer uma expressão técnica, mas muito clara em determinados contextos. Em um prontuário médico, por exemplo, o sanitarista deve poder visualizar os eventos reportados, o auditor poderia ver os custos do tratamento, a indústria farmacêutica poderia ter projeções de demanda, mas a identificação pessoal do paciente - nos termos da Lei - só pode ser acessível sob autorização ou em condições muito específicas que a justifiquem.

Dados pessoais, sensíveis e anônimos - o big data ético

Conforme a lei são objeto de proteção “os dados processados ou coletados em território nacional, ou que sirvam para a oferta de bens e serviços no mercado brasileiro”.

O conceito de “dado sensível” é bem abrangente e inclui metadados como: endereço IP, localização, além de informações claramente pessoais.

Possivelmente devido à contribuição das associações profissionais, o texto traz forte proteção do direito individual, sem engessar a tecnologia nem os modelos de negócios baseados em ciência de dados.

Em relação a dados anonimizados, a lei impõe a garantia de que não possam ser revertidos, para identificação do dado original, com “os meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Ou seja, a personalização de serviços, as análises estatísticas e outras formas de alavancar os dados não precisam ser descartadas, desde que as informações não sejam pessoalmente identificáveis.

Novos procedimentos de coleta, transferência e governança dos dados – o dilema do mailing e dos cadastros

Os princípios de Finalidade e Consentimento norteiam tanto a GDPR quanto a lei brasileira. Em resumo, torna-se ilegal o uso ou a transferência de dados pessoais para fins que não forem expressamente autorizados pelo cidadão.

“O consentimento deverá se referir a finalidades determinadas, sendo nulas as autorizações genéricas para o tratamento de dados pessoais”, explicita o inciso 4º do artigo 8.

“O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado”, diz o inciso seguinte.

Um efeito imediato da aplicação da Lei seria premiar áreas que já se preocupam com uma relação transparente com o cliente, de forma a varrer do mercado os “data brokers” com práticas predatórias, que sorteiam torradeira para ter um mailing de vítimas de abuso informacional.

Na prática, várias empresas têm neste momento que rever as condições de captação de contatos, inclusive os procedimentos de terceiros que tenham feito a coleta.

Uma vez que o destinatário tenha manifestado com clareza sua concordância, o “me esquece” agora não se resume ao opt-out. Além da opção de não receber mais chamadas ou e-mail, deve ser possível também solicitar sua exclusão da base de dados.


Dados em nuvem e transferências internacionais

Embora tenha passado de 25 a 65 artigos, entre o projeto de 2012 e o substitutivo agora aprovado, a lei não entra em detalhes sobre localização e soberania de dados. O próprio artigo 3º, que tipifica os dados sob proteção, deixa claro que a aplicação é “independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”.

Os artigos que tratam da transferência internacional de dados são relativamente flexíveis, desde que cumpridas as regras de finalidade e consentimento, não há restrições gerais ao armazenamento ou tratamento fora do país. Entretanto, deixam a cargo do “órgão competente” ratificar legislações nacionais, códigos de conduta de corporações globais e outros critérios para regular as transferências internacionais.

Normalmente, há três critérios de definição de soberania de dados: físico (onde o dado está armazenado); por jurisdição (o poder da autoridade nacional sobre o site em que está o dado); e soberania lógica (quem encripta, acessa e gerencia).

É fato que a GDPR e leis semelhantes estimulam os provedores globais a investir em data centers locais, mas as regras baseadas em localização física tendem ao desuso, como ilustra a Resolução 4568 do Banco Central do Brasil (que regula a contratação de nuvens pelas instituições financeiras), aprovada em abril deste ano.

Em resumo, a tendência do auditor ou dos certificadores de compliance é olhar a proteção da informação em si mesma. Independentemente de estar no servidor da empresa, na nuvem ou trafegando pela rede. O que importa é assegurar que o dado só possa ser visualizado, transferido ou alterado conforme as diretrizes gerais.

Responsabilidade dos provedores, dos proprietários dos dados e os riscos desconhecidos

As leis de proteção de dados não entram em detalhes sobre infraestrutura e arquitetura tecnológica, até porque comprometeria sua longevidade. As questões de segurança e compliance, assim como a distribuição de responsabilidades, são peculiares em cada caso. Mas vale mencionar como ponto de partida um esclarecimento de um grande provedor do mercado, que diferencia “segurança da nuvem” e “segurança na nuvem”.

Hospedar os servidores que contêm os dados e as aplicações críticas na nuvem pode simplificar. As ofertas de IaaS (infraestrutura como serviço) de algumas empresas provedoras incluem opções de segmentação de servidores ou de tráfego que aceleram o compliance a várias regulações setoriais (tecnicamente mais detalhadas que a legislação). 

Mas tudo isso é meio; o responsável pela segurança é quem responde pelos riscos de cada negócio. Administração de usuários, classificação de informações e a segurança dos dados críticos é um compromisso seu com seu cliente. Os contratos com provedores, ainda que tenham os data centers mais robustos do mundo, não prescindem de consultoria, integração e serviços gerenciados, para alinhar o extenso leque de serviços de TI aos objetivos de cada organização.

No caso de aplicações em SaaS (software como serviço), pode ser interessante rever os contratos e aproveitar alguns serviços opcionais, como DLP (prevenção a vazamentos de dados) e anti-malware. Contudo, essas proteções funcionam dentro do perímetro do provedor. Não há configuração de segurança que resista a um roubo de credenciais ou a um funcionário autorizado comprometido. As organizações, portanto, continuam a ter que gerenciar todo o ciclo dos dados.

Os serviços hospedados e as aplicações homologadas estão longe de ser o maior problema. A facilidade com que departamentos e usuários “implementam” aplicações por conta própria resulta em áreas de sombra (por isso a expressão shadow IT) onde dados críticos fogem do controle. Se houver a possibilidade de alguém anotar uma informação pessoal em um pedaço de papel, ou deixar o arquivo exposto na Internet, não dá para deixá-lo saber nada sobre a vida dos clientes.

Prejuízos potenciais e riscos internos – multa, reputação e adaptação do cibercrime

Além de responder pelos danos de vazamentos ou uso indevido de dados, entre as penalidades previstas da LPD, está uma multa de até 2% da receita bruta anual da organização.

É obrigatória a notificação de incidentes de vazamento ou violação ao “órgão competente”, que determinará ou não a comunicação pública aos titulares dos dados e outras partes interessadas. O artigo seguinte, contudo, admite uma atenuação de eventuais sanções, caso a organização tenha demonstrado intenção com boas práticas e planos de ação auditados, de minimizar os danos.

A experiência ensina que ao resolver os problemas com ratos é preciso não descuidar das pulgas. Ou seja, toda grande solução traz pequenos novos problemas. Foi assim no segmento de pagamentos – à medida que a rápida migração para cartões com chip comprimiu a clonagem física (o skiming ou chupa-cabra), a fraude foi para o e-commerce. De forma análoga, um movimento bem-sucedido de proteção das bases de dados será uma vitória decisiva, mas que já nos obriga a antever os flancos a serem explorados pelo cibercrime.

A abrangência da LPD ao longo das organizações vai estender a questão dos dados a diversos níveis. A clareza em relação aos riscos também não é mais restrita aos tecnólogos. Certamente, descuidos ainda hoje comuns, como exposição de dados críticos aos ataques mais primários, muito em breve vão inviabilizar os negócios.

Uma das contrapartidas previsíveis desse amadurecimento das empresas, infelizmente, deve ser a proliferação de tentativas de aliciamento de funcionários ou usuários com acessos privilegiados. É claro que a maioria de seus colaboradores e parceiros não é eticamente vulnerável, mas a possibilidade de exceções à essa regra, assim como violações involuntárias, é um dos riscos que já devem ser antecipados.

Para que tanto dado?

Apesar de o Brasil estar relativamente atrasado na definição do marco legal, as questões de ética e privacidade de dados são novas em todo o mundo. A economia dos dados deste início de século, de certa forma, lembra o que ocorreu com a indústria alimentícia na Revolução Industrial até a consolidação das leis sanitárias. Está todo mundo aprendendo.

Segundo o estudo Confiança na Segurança de Dados, feito pela Gemalto com milhares de clientes no mundo, 68% admitem algum gap com a GDPR e 46% não garantem saber onde todos seus dados sensíveis estão armazenados. Outra revelação interessante é que 65% dizem que coletam dados sem saber para que servirão.

Nesse aspecto, de definição de escopo e minimização de risco, a experiência com serviços financeiros e com a indústria de pagamentos tem muito do que se aproveitar.


Download do arquivo anexo