Desde 2020 um assunto recorrente vem “assombrando” os profissionais de Tecnologia da Informação. Se você é da área, com certeza já ouviu falar sobre os impactos da LGPD para TI, não é mesmo? Mas por que esse tema tem deixado tanta gente de cabelo em pé?
– É o que vamos descobrir!
O aumento dos casos de vazamento de dados e ataques cibernéticos dos últimos anos levou governo, empresas e sociedade a clamarem por mecanismos que evitem a invasão de privacidade no Brasil. Assim, foi criada a LGPD (Lei Geral de Proteção de Dados).
A expectativa é que a lei, inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR, na sigla em inglês), resolva os impasses sobre o manuseio de dados dos consumidores pelas empresas.
Numa época em que dados pessoais são requisitados em praticamente tudo que envolve a internet, a regulamentação é um passo importante para o país. Até então, não havia legislação específica sobre o assunto (o que mais se aproximava era o Marco Civil da Internet).
Neste artigo vou falar um pouco sobre o que é e qual a finalidade da nova lei. Mas o foco será nos impactos da LGPD para TI. Quais os desafios que o time de TI enfrenta para implementar as adequações necessárias? Por que é tão difícil deixar a empresa em conformidade com a lei?
O que é a LGPD?
LGPD, ou Lei Geral de Proteção de Dados, é uma norma federal que estabelece regras para coleta, armazenamento, tratamento e compartilhamento de dados pessoais em quaisquer meios. Seu principal objetivo é regulamentar o uso de dados pessoais de usuários pelas empresas. Assim, garantir aos cidadãos brasileiros mais transparência, privacidade, segurança e controle sobre suas informações. Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Lei nº 13.709, de 14 de agosto de 2018
Quando a LGPD entrou em vigor?
A LGPD ou Lei nº 13.709 foi sancionada no Brasil em 14 de agosto de 2018, pelo então presidente Michel Temer. Está oficialmente em vigor desde setembro de 2020, mas suas sanções só foram aplicadas a partir de 1º de agosto de 2021.
Dessa forma, as punições e multas para as empresas que descumprirem o decreto só foram aplicadas a partir de agosto de 2021. Ou seja, as empresas têm que se adequar à nova lei!
O que muda com a LGPD?
Hoje em dia, existe uma tendência cada vez maior de usar dados pessoais para traçar o perfil de clientes e consumidores com o intuito de abordá-los conforme seus hábitos de consumo e condições financeiras e de crédito.
Isso só demonstra o quanto dados têm se tornado o recurso mais valioso do mundo atual atual (veja nosso post gestão de dados). E, portanto, como é importante regulamentar seu uso!
Para atender às exigências da LGPD, as empresas brasileiras terão que mudar a forma de coletar, armazenar e usar os dados das pessoas. Imagina o tamanho da mudança nas relações comerciais e de consumo que demandam coleta de dados, não é mesmo?
O que são dados para a LGPD?
De forma geral, dados são informações geradas por pessoas em diversas fontes diferentes, on-line ou off-line. Incluem os rastros deixados ao visitar sites na internet ou cadastros preenchidos em qualquer lugar.
Para a LGPD dois conceitos importantes, a saber:
- Dados pessoais são informações confidenciais que podem levar à identificação de uma pessoa, como nome, número de documentos como RG e CPF, endereço, dados financeiros como salário, cartão de crédito, características pessoais e qualificação pessoal.
- Dados sensíveis são aqueles dados pessoais que podem ser utilizados de forma discriminatória, como origem racial ou étnica, convicção religiosa, opinião política ou orientação sexual, por exemplo. Precisam de uma camada a mais de proteção.
Incluem tanto documentos digitais quanto em papel, coletados de diversas formas diferentes. Seja através de um formulário preenchido num site para fazer uma compra, seja um formulário em papel preenchido para se inscrever num processo seletivo, seja o cadastro num aplicativo de celular ou rede social, ou até mesmo numa ligação de televendas.
Todos esses processos coletam dados pessoais para posterior tratamento (classificação, reprodução, distribuição, arquivamento, modificação, etc) e uso pelas empresas coletoras. Portanto, serão impactados pela LGPD.
LGPD para o usuário (titular do dado)
Pela nova legislação, o usuário terá o direito de consultar quais dos seus dados as empresas possuem, como eles são armazenados e como são usados. Terá o direito reclamar, corrigir, se opor ao uso, revogar autorização dada e até solicitar que sejam excluídos dos sistemas.
Para o usuário, a LGPD é, portanto, uma garantia do direito à privacidade e o controle mais rigoroso sobre suas informações pessoais. Por onde elas estão circulando e como elas estão sendo manuseadas? Agora, o usuário tem o direito de saber e as empresas o dever de esclarecer.
LGPD para as empresas
Para as empresas, a LGPD obriga que elas sejam mais transparentes no uso das informações e garantam a proteção do titular.
A lei prevê o consentimento expresso dos clientes para coleta, tratamento e eventual transferência de seus dados para terceiros. Portanto, na hora de solicitar dados, as empresas terão que deixar bem claro se eles serão utilizados posteriormente, de que forma e com qual finalidade.
Você já reparou na quantidade de aceite na política de cookies que dá hoje ao navegar pela internet? Já é efeito da LGPD! Mais ainda, efeito da LGPD para TI!
Pela lei, fica proibido o uso dos dados para qualquer outra finalidade que não as que foram acordadas. Também fica vetado o armazenamento de informações cuja necessidade não possa ser comprovada.
Isso significa que as empresas deverão ser mais responsáveis na hora de manipular dados coletados. A recomendação, inclusive, é minimizar a quantidade de dados solicitada e torná-los anônimos sempre que possível.
Também está prevista por lei a prestação de contas. O órgão regulador poderá solicitar, a qualquer momento, relatórios que comprovem a proteção dos dados e os riscos de violação de privacidade, para certificar-se de que as empresas estão seguindo as recomendações da lei.
Uma vez que a LGPD traz desafios de gestão e governança de privacidade de dados, a tecnologia é elemento fundamental para as organizações implementarem um plano eficaz de adequação à lei.
Agora sim, chegamos ao ponto que eu queria! Agora sim, já deu para perceber o tamanho do impacto da LGPD para TI, não é mesmo?
Qual o impacto da LGPD para TI?
Os impactos da LGPD são grandes em todas as áreas da empresa, mas na TI eles são gigantescos! Basta começar dizendo que o setor de TI é um dos maiores curadores de dados e informações de qualquer negócio!
Os bancos de dados armazenam várias dessas informações, e ainda são consumidos por diversas aplicações diariamente. A equipe de TI é responsável por todas essas aplicações e plataformas de entrada e saída de dados da organização. Tanto dados de clientes, quanto de funcionários, parceiros e fornecedores.
Além disso, é ela que monitora os riscos de ataques virtuais e garante a segurança da informação.
Como o próprio nome diz, o setor cuida de Tecnologia da Informação! Ele que tem a responsabilidade de tornar eficiente todas as operações de tecnologia. Assim, é sua responsabilidade implementar as adequações necessárias em todas os sistemas e plataformas para atendimento à lei.
Hoje, a maioria dos dados é extraído de maneira digital. Dificilmente, uma empresa que opera com dados de clientes (em qualquer volume), coleta e arquiva tudo de forma manual. Toda ela usa algum tipo de ferramenta tecnológica! Isso significa que todas enfrentam desafios na adequação da LGPD para TI.
Os desafios da TI para adequação da LGPD
Tecnologias, ferramentas, sistemas e até os processos de TI devem trabalhar em função da proteção e privacidade dos dados. Dessa forma, há que se fazer uma revisão geral em todo seu ambiente de TI.
Todas as ações devem ser tomadas para garantir que os dados estejam seguros, acessados por pessoas autorizadas, não vazem e que não sejam nem armazenados nem usados sem o consentimento dos titulares.
1. Compreensão da lei
Antes de qualquer coisa, é preciso entender a lei! Para implantar e operar qualquer adequação nos sistemas e processos de TI é preciso compreender o que diz a lei. É preciso compreender todos os princípios para o tratamento de dados pessoais de que trata a LGPD.
A dica é fazer a aproximação da TI com a área jurídica da empresa. Diante de tantas imposições legais, a equipe de TI precisa de ajuda para compreender os dispositivos normativos e requisitos obrigatórios para fazer os ajustes necessários nos sistemas de bancos de dados. Setor jurídico e TI devem trabalhar juntos para o sucesso do projeto.
2. Adequação dos “dados antigos”
A primeira dificuldade prática da TI é o que fazer com dados antigos, também chamados de “dados legados”. São informações de antigos clientes, coletadas antes das exigências da LGPD, que podem estar desatualizadas, inclusive. Descartar ou regularizar o banco de dados atual?
De imediato, você pode fazer o mapeamento e classificação dos dados que possui. Confirmar se são todos confidenciais, quais deles são dados sensíveis, se estão armazenados de maneira segura, quem tem acesso a eles, se foram coletados mediante consentimento, para qual finalidade foram coletados.
Depois de organizá-los e classificá-los (alto, médio ou baixo risco), pode decidir por uma das três estratégias:
a) Esperar para ver: deixar a base antiga em “stand by” até que a regulamentação diga o que fazer com ela. Essa estratégia está prevista na lei através de seu Art 63. A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados. Lei nº 13.709, de 14 de agosto de 2018
b) Descartar: renunciar aos dados que possui e descartá-los. Com essa estratégia o risco é mitigado, mas ela pode representar perda significativa de receita e oportunidades.
c) Regularizar: adequar a base legada. É uma estratégia mais ponderada, mas é praticamente um módulo a parte do projeto de adequação como um todo. Aqui você tem que separar o que já tem consentimento, checar a qualidade desse consentimento, avaliar reenquadramento como “execução de contrato” ou “interesse legítimo” e, por fim, renovar o consentimento ou descartar o dado.
3. Privacidade como configuração padrão para as soluções de TI
O foco das ferramentas e das soluções de TI é proteger os dados das pessoas. Sejam elas clientes, consumidores, funcionários, fornecedores ou parceiros de negócio.
Dessa forma, todos os projetos de TI devem usar, desde sua concepção, o conceito “privacy by design”. Ou seja, a privacidade faz parte da solução! Em outras palavras, as aplicações devem ser projetadas do início ao fim para garantir respeito pela privacidade do usuário e proteção dos dados em todo seu ciclo de vida.
Nesse sentido, a anonimização dos dados é uma das questões mais relevantes. E técnicas como mascaramento de dados, criptografia e tokenização são importantes.
Veja o que diz a lei sobre o assunto: Art. 5º Para os fins desta Lei, considera-se: III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.Lei nº 13.709, de 14 de agosto de 2018
4. Ferramentas para gestão de privacidade e segurança da informação
Um ponto chave para fazer as adequações à lei é a definição das ferramentas a serem utilizadas. E, em consequência, da infraestrutura necessária para suportar essas ferramentas.
A equipe de TI precisa desenvolver, implementar ou adequar soluções de TI que viabilizem o cumprimento das exigências de privacidade e segurança da lei. É preciso avaliar como a segurança está sendo aplicada para garantir a privacidade dos usuários.
Nesse ponto cabe diferenciarmos. Enquanto a gestão de privacidade atua no modo como o dado é coletado, distribuído e utilizado dentro da empresa, a segurança da informação atua para proteger o negócio contra riscos e incidentes, como vazamento de dados, ataques cibernéticos e indisponibilidade.
Percebeu a diferença?
Ferramentas para Gestão de Privacidade
O time da gestão de privacidade trabalha para que a empresa possua permissão para armazenar os dados e informações. Assim, ela precisa de ferramentas para:
- Gerenciamento dos dados (centralização, data mapping, data discovery, etc).
- Gerenciamento de consentimento de usuários e respectivas revogações.
- Gestão das reclamações dos usuários (para garantir os direitos dos titulares).
- Gestão de riscos.
- Gestão de cookies.
Ferramentas para Segurança da Informação
O time de segurança trabalha para dificultar o acesso não autorizado de informações por pessoas não autorizadas ou invasores. Assim, ele trabalha com ferramentas específicas como sistemas de permissões, classificação da informação, gerenciamento de acesso e análise de comportamento dos usuários. São ferramentas para fazer:
- Cibersegurança (criptografia, antispam, gestão de privilégios, etc).
- Gerenciamento e análise de vulnerabilidades.
- Monitoramento e auditoria de logs.
- Gerenciamento de incidentes e eventos de segurança (ferramentas SIEM).
- Automação e orquestração de segurança.
Aqui, vale uma observação importante. Antes de adquirir novas ferramentas avalie se a sua atual solução segue as boas práticas do fabricante e se está com todos os módulos e funcionalidades ativos.
5. Cibersegurança
Atualmente, um dos maiores riscos do negócio está diretamente ligado ao meio digital. – É fato! As constantes ameaças de ataques cibernéticos são muito perigosas para a saúde financeira e reputação das empresas.
Quanto mais digitais, mais suscetíveis a esse tipo de problema. Impedir a violação da privacidade, o vazamento de dados e evitar sua utilização inadequada é ponto chave para o sucesso do projeto de adequação à LGPD. Assim, segurança digital é uma das prioridades de TI.
Para você ter uma ideia da gravidade do tema, a LGPD garante ao usuário o direito de responsabilizar a empresa caso seus dados sejam roubados por terceiros. Sob pena de punições bastante severas!
Dessa forma, o setor de TI tem que implementar sistemas capazes de prevenir, detectar e remediar possíveis violações de dados pessoais.
Fique atento às melhores técnicas e ferramentas do mercado: criptografia para dados em trânsito ou uso (não somente em repouso), processos de autenticação eficientes, segurança de endpoint de última geração (EPP-Endpoint Protection Platforms), filtros de spam eficientes, automação e orquestração de segurança, e por aí vai.
Lembre-se ainda que o elo mais fraco da cadeia de segurança é sempre o ser humano. Por isso, é preciso investir pesado na proteção contra as técnicas de engenharia social. Aumente a vigilância (física e digital) da empresa e, acima de tudo, implemente uma boa política de segurança da informação para todos os funcionários!
6. Tecnologias confiáveis para armazenamento
O armazenamento seguro de dados precisa fazer parte da cultura de qualquer empresa! Não só no momento da implantação da LGPD, mas de forma contínua.
O time de TI precisa adotar uma abordagem proativa, através de soluções e rotinas preventivas para segurança e privacidade dos dados. A busca é por opções flexíveis, ágeis e confiáveis, que facilitem a centralização, o monitoramento, a integridade e a recuperação dos dados.
Soluções em nuvem são uma boa alternativa. Elas possuem fortes protocolos de autenticação e segurança que protegem as informações armazenadas. Além disso, permitem uma gestão mais eficaz dos níveis de acesso à informação.
É possível utilizar ferramentas em cloud que possibilitam a centralização de dados captados em diversas fontes. Com isso, ter um monitoramento mais preciso do seu uso, e, em consequência, menos problemas em relação à confidencialidade e perda dos dados.
O desafio do time de TI, aqui, está na escolha do provedor de serviços na nuvem. A nuvem não é garantia total de privacidade e segurança, mas a escolha cuidadosa de um bom provedor, minimiza os riscos.
7. Plano de resposta a incidentes
O plano de resposta a incidentes de TI descreve os procedimentos a serem tomados diante de um problema de segurança de TI, como um ataque cibernético ou uma violação de dados, por exemplo. É fundamental que as empresas consigam eliminar as vulnerabilidades de seus sistemas.
A LGPD deixa claro que a empresa (agente de tratamento) deve possuir ferramentas e mecanismos para identificar o incidente, remediar a situação e responder, de forma satisfatória, aos incidentes ocorridos.
Para isso, o ideal é que a TI foque na investigação de ameaças. O que não é tão simples, pois requer equipe dedicada a investigar possíveis atacantes e classificação das ameaças (intenção, capacidade e oportunidade para provocar danos).
Impactos da LGPD para TI: um desafio sem volta!
Como responsável pelas soluções que a empresa (controlador de dados) utilizará para se adequar à LGPD, a área de TI é peça essencial para garantir que ela consiga atuar dentro dos dispositivos legais.
O processo exige muita atenção e pode demorar a ser concluído. O gestor de TI precisa ser capaz de indicar as soluções corretas e a equipe precisa promover as facilidades necessárias para os usuários. Diante de tantos desafios, ter um time preparado fará diferença.
Tratar os dados com irresponsabilidade poderá acarretar penalidades rigorosas para o negócio. E descumprir a lei poderá gerar punições e multas severas para a empresa. Não dá para brincar no ponto!
A LGPD para TI já é um desafio sem volta e deve ser tratada com total prioridade. E a sua empresa? Já está em conformidade com a nova lei?
Nós da Zummit temos os melhores especialistas de TI para te ajudar nas adequações necessárias. Clique aqui e saiba mais!
