Em 14 de agosto de 2018 foi sancionada a Lei 13.790/2018, conhecida como LGPD – Lei Geral de Proteção de Dados. Este Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da pessoa natural.
Todas as organizações ou pessoas que tratam com dados pessoais de pessoa natural, precisam proteger estes dados as empresas têm prazo até agosto de 2020 (informação até a presente data) para se adequar à Lei.
Ressalte-se que a Lei se aplica a todos que exerçam a coleta de dados pessoais (coleta, armazenamento, compartilhamento, etc), inclusive nos meios digitais. Faço um destaque especial que não é apenas para dados pessoais em meios digitais, mas “inclusive” em meios digitais. Um relatório impresso em cima da mesa pode conter dados pessoais.
Isso leva à necessidade abordar alguns conceitos de Segurança da Informação.
O grande avanço da tecnologia da informação e das comunicações nas últimas décadas permitiu que milhares de organizações em todo o mundo progredissem e progredissem em seus sistemas de produção e nos serviços que oferecem. As informações são um ativo vital para a continuidade e o desenvolvimento de qualquer organização. Sua proteção adequada se tornou essencial para manter a confiança dos clientes, proteger a reputação de uma organização e proteger contra a responsabilidade legal.
Segurança não deve ser apenas uma iniciativa temporária. Deve ser uma atividade contínua e o conjunto das iniciativas de proteção requer o apoio da organização para ter sucesso. Assim, a segurança deve ser inerente aos processos de informações e de negócio.
A segurança da informação não é apenas uma questão de organizações de Tecnologia da Informação e Comunicação, mas também de ambientes industriais e de serviços cada vez mais interconectados, eles não são mais sistemas corporativos isolados, e deve ser protegido. Sistemas de empresas de serviços estão sendo especialmente vulneráveis a ataques e ameaças como:
- Erros das pessoas
- Incidentes nos dispositivos dos funcionários
- Cyberataques
- Trabalhadores descontentes
- Acessos externos
- Cloud computing
- Vazamentos de dados
Como a LGPD versa apenas sobre dados pessoais, nota-se (pela figura abaixo) que os dados pessoais e dados sensíveis são uma parte de um conjunto bem maior de elementos.
É importante lembrar os principais conceitos do Artigo 5º .
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Destaque especial para os conceitos de:
- Controlador (pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais)
- Operador (pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador).
No caso de uma infração (incidente, vazamento, compartilhamento indevido, etc) durante a transação, ambos (controlador e operador) serão responsáveis de forma solidária. Todos aqueles que manusearam esses dados serão responsabilizados. Lembre-se que será obrigação da organização detentora destes dados informar qualquer incidente às autoridades. É a autodenúncia.
Não existe um produto ou uma ação única que garanta a adequação de uma empresa à LGPD. Entende-se que deve haver uma estratégia clara, que compreenda aspectos legais, tecnológicos e de processos de gestão, como:
- Políticas e Normas;
- Acesso à Informação;
- Classificação da Informação;
- Cópias de Segurança;
- Gestão de Incidentes;
- Revisão de Contratos;
- Atualização de Equipamentos; dentre outros.
A norma ISO 27001:2013 vem sendo utilizada e preferida pelas empresas como uma das componentes da estratégia na mitigação de riscos da LGPD, pois esta norma entrega um Sistema de Gestão de Segurança de Informação. Outras medidas podem ser usadas, em forma de consultoria e revisão de processos de: Estrutura de Governança, Monitoramento de Perda de Dados, Política Interna da Privacidade de Dados, Inclusão da Privacidade de Dados nas Operações, Conscientização e Treinamento, Riscos da Segurança de Informações, Riscos de Terceiros, Resposta a Solicitações e Reclamações de Terceiros, Monitoramento de Novas Práticas Operacionais, Inventário de Dados Pessoais e Mecanismos de Transferência de Dados, Boas Práticas de Manuseio de Dados, dentre outras.
A norma ISO 27001:2013, além de proporcionar um framework (um guia) para o início das ações, a implantação desta norma trará o impacto positivo dos processos de gestão, onde as atividades são coordenadas para dirigir e controlar uma organização em relação à Segurança da Informação. Em outras palavras, um sistema de gestão é a forma na qual as ATIVIDADES são ORGANIZADAS, REALIZADAS e SUPERVISIONADAS para atingir um determinado OBJETIVO – neste caso, minimizar os riscos no contexto da Lei Geral de Proteção de Dados.
A norma prevê que os processos sejam definidos, implantados e auditados periodicamente para garantir sua execução. Isso vem de encontro ao artigo 52 da LGPD, que trata das sanções:
- II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
No mesmo artigo 52, § 1º, encontram-se alguns itens que podem atenuar as sanções:
- VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei
- IX - a adoção de política de boas práticas e governança;
Este artigo foi escrito em novembro de 2019. Ainda há tempo de realizar as ações até agosto de 2020 para adequar-se ao novo contexto da LGPD. O principal objetivo destas ações de compliance é tangibilizar evidências de adequação/aderência dos processos de gestão da segurança da informação da empresa em relação ao que é prescrito na Lei.
Gianfranco Muncinelli – Diretor do Escritório Brasil da Intedya
Augusto Carlos Dalla Vecchia – Diretor do Escritório Brasil da Intedya
Solicite um contato para maiores esclarecimentos sobre o assunto:
Whats: (41) 98816-9319
E-mail: icnex@icnex.com.br
Ou pelo chat em http://www.contadores.cnt.br/sites