LGPD ( Lei Geral de Proteção de Dados)

A Lei Geral de Proteção de Dados (LGPD) foi constituída pela Lei nº 13.709/2018. A LGPD visa a proteção dos dados das pessoa natural, seja ela identificada ou  identificável e define regras de como as empresas devem coletar, armazenar, usar dados dos consumidores e usuários de sistemas e serviços, além da transparência ao detentor efetivo dos dados, o indivíduo e garante o sigilo dessas informações. Os dados pessoais é uma fonte extremamente relevante para se medir comportamentos dos indivíduos, servindo de estratégia comercial para empresas. O objetivo dessa nova lei é de proteger os direitos fundamentais de liberdade e de privacidade do indivíduo natural.

O regulamento entrou em vigor em agosto de 2020, sendo que o maior intuito é impedir que o tratamento das informações de clientes e usuários ocorram por parte de empresas públicas e privadas.

Assim, todos os procedimentos que envolvem a utilização dos dados pessoais, como coleta, classificação, processamento, armazenamento, compartilhamento, transferência, eliminação, entre outras ações, devem enquadrar-se na lei. Os usuários “clientes”, também podem exigir que as organizações informem quais são os seus dados coletados e para que fim, solicitando que a armazenagem seja eliminada. 

As empresas ou negócio que não cumprir com as exigências da LGPD estará sujeito a uma multa de até 2% de seu faturamento, podendo chegar a custar até 50 milhões de reais. O prazo foi dado para que as organizações consigam se estruturar e colocar em prática as novas exigências de proteção e transparência até a data de vigência estipulada. Para as companhias, será necessário realizar investimentos para a implementação de uma política interna que assegure a proteção efetiva dos dados pessoais de seus clientes. Assim, como primeiro passo é efetuar um levantamento da análise de risco e impacto da nova lei. Possibilitando verificar quais são os pontos mais vulneráveis de seus sistemas, constatando os maiores fatores de risco.

Áreas que devem ter a proteção de dados

A LGPD também tem impacto direto sobre o relacionamento das instituições de ensino com a comunidade escolar, como colaboradores, professores, alunos e seus responsáveis. Assim, tendo acesso a dados pessoais, é preciso investir parte do orçamento na implementação de tecnologias voltadas para a revisão dos processos de tratamento das informações. De acordo com a lei, as instituições devem ter o consentimento expresso de ao menos um dos pais ou do responsável legal para tratar os dados dos estudantes. As informações pessoais devem continuar sendo armazenadas por obrigação legal — porém, tendo bem claros quais serão os fins de utilização.

A depender da área de atuação, a empresa precisa demonstrar conhecimento sobre os principais padrões de segurança, colaborando diretamente com a diminuição de danos e sofisticação das estratégias. O ideal é que o profissional seja um DPO — Data Protection Officer, tornando-se um especialista nas práticas e métodos de proteção dos dados.

A importância proteção de dados

Garantir a segurança dos dados pessoais processados ou armazenados pela empresa deve ser um assunto tratado com seriedade. Por esse motivo, seguir as determinações da LGPD é o primeiro passo para assegurar essa ação, além de certificar para os seus parceiros, fornecedores e consumidores que está comprometido com a segurança dessas informações. O armazenamento de dados pessoais é um tema delicado, pois muitos usuários confiaram na organização no momento de disponibilizar essas informações — e existem muitas pessoas mal-intencionadas em busca desse acesso para utilizá-las de maneira errada. Além disso, a LGPD prevê o pagamento de multas em caso de descumprimento do regulamento. Embora esse cenário ainda seja mais provável na Europa, com a vigência do seu Regulamento Geral sobre a Proteção de Dados (GDPR), a tendência é que as regras se tornem cada vez mais importantes no Brasil. Por isso, o quanto antes a empresa se adaptar a essas condições e normas, melhor para o negócio.

Nesse cenário, o profissional responsável pela segurança dos dados tem muitas obrigações em seu escopo de trabalho e todas elas são de grande importância para manter a segurança dos dados e informações pessoais processadas ou armazenadas pelas empresas. É por isso que é fundamental contar com um profissional capacitado e de confiança, que possa garantir a eficiência de todos os processos internos e trazer a certeza de que as regulamentações serão seguidas à risca.

Por se tratar de uma nova profissão, ainda não existem formações específicas para se tornar um Data Protection Officer (DPO) e muitos profissionais não estão aptos a assumir tal cargo. É importante que o DPO seja um profissional interdisciplinar. Além de um vasto conhecimento das legislações, ele deve ter domínio de conceitos elementares de segurança da informação, competências relacionadas à governança de dados e uma boa capacidade de comunicação interpessoal — inclusive para se comunicar-se com a alta gerência, as entidades reguladoras  ANPD e os consumidores da empresa. O perfil mais procurado para assumir essa função é o de alguém que tenha experiência em compliance e segurança da informação, que também seja comunicativo com conhecimentos básicos da área jurídica. Afinal, o DPO deve saber se expressar, com clareza e autoridade, os comunicados que forem necessários tanto internamente quanto externamente.

DPO é descrito como o profissional que responde diretamente à alta diretoria da empresa e também interage com os órgãos locais de proteção de dados, atuando como uma ponte para assegurar que tudo está de acordo com a lei. Ele deve ser eleito com base em suas competências profissionais e, em particular, em seu conhecimento em leis de proteção da informação.

O DPO tem como tarefa:

  • supervisionar a infraestrutura de defesa de dados da empresa, podendo aconselhar a alta gerência;
  • aplicar auditorias;
  • corrigir eventuais falhas à legislação vigente;
  • garantir que a equipe técnica esteja adequadamente preparada para proteger as informações;
  • servir como base de contato com as autoridades locais, apresentando respostas aos inquéritos que podem ser direcionados à organização; entre outras.

Criada no fim de 2018, a autoridade local que fiscaliza as ações das empresas no Brasil é a Agência Nacional de Proteção de Dados (ANPD). A LGPD não obriga que as organizações tenham um encarregado de dados designado, ao contrário da lei europeia que aplica essa exigência em casos específicos, como bancos e órgãos públicos. Apesar disso, contar com o apoio de tal profissional é um importante diferencial competitivo que, além de passar mais confiança ao mercado, evita diversos problemas judiciais e garante que o negócio trabalhará sempre com uma mentalidade de privacidade em primeiro lugar. Ou seja, não obriga mas se faz necessário.

Como a ITSAFE poderá apoia-lo na regularização ?

Para atender a grande demanda de profissionais por parte das empresas tanto do Brasil como de outras partes do mundo, vários institutos de certificação começaram a oferecer programas de qualificação profissional orientados para essa nova função. Entre os exames que reúnem os conhecimentos básicos para os profissionais atuarem como DPOs em qualquer país, a ITSAFE possui capacitação com base nos títulos:

Information Security Foundation (ISO 27001);

Privacy & Data Protection Foundation (PDPF);

Privacy & Data Protection Practitioner (PDPP).