Falando um pouco sobre a LGPD
Precisamos falar sobre a LGPD pelo simples fato de as empresas e as organizações terem grandes responsabilidades em relação à proteção de todos os dados pessoais de seus funcionários, fornecedores e clientes.
O Brasil concentra 92% dos casos de ransomware na América Latina. Foi o quinto país mais afetado pelo Ransomware WannaCry em 2016 e também o quinto colocado na lista de dispositivos vulneráveis, de acordo com estudo da Avast (A Avast é uma das maiores empresas de segurança no mundo que usa tecnologias de próxima geração (next-gen) para lutar contra ataques cibernéticos em tempo real).
Ao longo desse tempo tivemos vários crimes cibernéticos, alguns deles ficaram bem famosos como: nRanson, Bad rabbit, ExPetr entre vários outros que derivam do ransomware. Nos últimos anos vários países colocaram em xeque como anda a segurança da informação de pessoas físicas e jurídicas, desde então muitos escândalos e vazamentos de dados de empresas que são familiares a nós, como o Facebook, por exemplo tiveram grandes proporções na mídia.
Este é um assunto tão sério que em maio de 2018 a União Europeia transformou a proteção de dados em lei – a GDPR (General Data Protection Regulation), e, três meses depois, foi a vez do Brasil, por meio da Lei nº 13.709/2018.
A nossa Lei Geral de Proteção de Dados (LGPD) regulamenta o uso e tratamento dos dados pessoais, tanto pela iniciativa privada quanto do poder público, na tentativa de protegê-los contra vazamentos e uso indevido. Nesse caso, caberá a todas as empresas e órgãos públicos que lidam com dados pessoais (estejam elas em meio digital ou não) algumas responsabilidades.
Ou seja, se a sua empresa realiza um simples cadastro de CPF, por exemplo, você precisa se ajustar à nova lei de dados. Se você tem um cadastro com os dados pessoais de seus funcionários também.
SANÇÕES
As sanções administrativas para o descumprimento da LGPD estão previstas no art. 52, que são elas:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento líquido da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração;
- Multa diária;
- Publicação da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais envolvidos na infração até a sua regularização;
- Eliminação dos dados pessoais envolvidos na infração.
BOAS PRÁTICAS
O que um projeto de adaptação à LGPD tem de diferente sob a ótica da TI é justamente a proteção de dados e não apenas a segurança da informação. Organizações em fase de implantação ou que já possuem um Sistema de Gerenciamento de Segurança da Informação implementado geralmente se baseiam em normas técnicas a exemplo da família ISO/IEC 27000 (em especial a 27001 e a 27002). Uma empresa com um SGSI bem implementado já está com boa parte do caminho percorrido para atingir a conformidade, porém normas como a ISO/IEC 27701, voltadas especificamente à Gestão da Privacidade, são uma extensão importante das anteriores tanto para a montagem de um SGPI (Sistema de Gestão da Privacidade da Informação) quanto para um programa de Governança em Privacidade e Proteção de Dados.
Com a LGPD, não basta estar em conformidade, é preciso demonstrar conformidade além de atentar-se a princípios importantes como a adequação, o livre acesso, a responsabilização e prestação de contas, a transparência, entre outros. Independentemente de a organização ter condições de adquirir produtos e implementar as ISOs, nada disso funciona se a cultura não mudar. Ao mesmo tempo que se faz projeto, o mapeamento e se a organização optar em contratar uma consultoria, é necessário começar o aculturamento dos colaboradores.
Os dados são ativos importantes, às vezes valem mais do que dinheiro. Os demais investimentos virão depois com itens e produtos recomendados dentro do processo de mapeamento. Isso depende da maturidade e dos recursos de cada empresa.