Notícias

  1. Home
  2. Notícias
4jun
2021

Segurança da Informação e Proteção de Dados

Quais os cuidados que devemos observar

A segurança da informação vem ganhando relevância nas empresas que levam a sério a LGPD, principalmente pelo fato de não ser possível implementar a LGPD sem um mínimo de segurança da informação, e assim garantir minimamente que está de acordo com as recomendações de mercado para proteger os dados pessoais.

Todas as empresas vão ter que se adequar à LGPD, protegendo os direitos dos titulares de dados, sejam eles clientes, funcionários, contratados ou fornecedores. O mercado terá seus olhos voltados para os vazamentos e multas aplicadas nas empresas que não se adequarem e permitirem vazamentos de dados.

Investidores estão sendo cada dia mais criteriosos no que tange à segurança da informação e LGPD. Eles estão exigindo que empresas tenham boas práticas relativas à segurança da informação ISO27001, referência à Norma 27701 e recomendação para seguir na implementação da LGPD para que o investimento possa ser liberado sob um risco controlado.

Quando coletamos os dados pessoais de alguém que visita o nosso Parque de Diversões, o nosso Resort, a nossa pousada, o nosso espaço comercial, devemos nos atentar para alguns pormenores, que são requisitos da Lei Geral de Proteção de Dados.

Os riscos existentes são bastante variados e extensos. A perda de dados pode surgir de várias formas diferentes, como uma falha no sistema que exclui arquivos que não possuem uma cópia segura, o roubo de uma senha ou até o próprio computador, um acesso não autorizado até um vazamento desses dados PESSOAIS. Tudo isso pode resultar no roubo de informações confidenciais da empresa e de seus clientes ou visitantes.

E AGORA ?

Qual o tamanho desse problema?

É necessário fazer uma avaliação de impacto na privacidade de dados. No local do armazenamento onde esses dados pessoais estão armazenados, se a documentação possui dados de categorias especiais sobre indivíduos vivos, ou seja, os chamados "dados sensíveis".

É necessário avaliar também qual é o risco para a privacidade dos dados se um arquivo for compartilhado (indevidamente), perdido, extraviado ou vazado.

DEVEMOS CONSIDERAR:

- Quem tem acesso (interno) aos dados pessoais.
- Se existem outros procedimentos que reduziriam ou removeriam o risco de perda ou vazamento de dados pessoais.
- Se os funcionários são treinados adequadamente sobre como proteger e agir em conformidade com a Lei Geral de Proteção de Dados.
- Uma violação da LGPD obriga a empresa a notificar ao órgão fiscalizador o incidente e apenas dois dias.

A importância do treinamento da equipe

Os funcionários precisam ser treinados sobre a importância de cuidar ativamente das informações em seu poder. Isso incluiria documentação e procedimentos para quando surgir um problema e como minimizar o impacto. Pense em como seria fácil deixar um telefone celular em um ônibus e, em seguida, pense em todos os contatos que seriam armazenados apenas naquele dispositivo (talvez uma parte do banco de dados da empresa).

Nessas circunstâncias, a probabilidade de ocorrência de uma violação é real. A questão envolverá considerar todas as possibilidades e ter contingências para as ocorrências e tomar medidas para a prevenção, começando com o treinamento da equipe e o engajamento para evitar violações.

Políticas de Segurança necessárias para organizações

A LGPD cita segurança em vários artigos na lei, em que precisamos reforçar as melhores práticas relacionadas à segurança da informação e LGPD:

Art. 6º As atividades de tratamento de dados pessoais deverão observar boa-fé e os seguintes princípios:

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

Art. 34. O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:

IV - a adoção de medidas de segurança previstas em regulamento;

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados;

Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano;

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se à garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término;

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

DESCOMPLICANDO, para todas estas necessidades e obrigações, existe a figura do DPO ou ENCARREGADO, ele está definido no Artigo 41 da Lei 13.709/18, da Lei Geral de Proteção de Dados, e vai poder lhe ajudar. Procure uma consultoria especializada que, de forma prática e segura, lhe mostra o caminho a percorrer e os custos corretos que implica na adequação.

Lembrando que uma forma “menos correta ou desadequada” no seu trabalho de adequação à LGPD o obriga  que refaça todos os procedimentos, uma vez que irá apresentar as mesmas vulnerabilidades iniciais.

Poderá obter de forma assertiva um diagnóstico gratuito por meio do link abaixo identificado.
Link https://forms.gle/5yha2nedX1FhzKnDA

Dr. Eduardo Oliveira

Professor Universitário, DPO, Auditor e Consultor em LGPD
Contato: Eduardo.diretoria@agenciadeinteligencia.org
LinkedIn: https://www.linkedin.com/in/eduardo-oliveira-85607152