A Lei Geral de Proteção de Dados (LGPD) foi um marco regulatório importante para proteger a privacidade de dados dos indivíduos, proporcionando mais transparência e segurança nas operações que envolvem informações de pessoas físicas e jurídicas, inclusive as fornecidas no ambiente digital.
Dentre as exigências da legislação está a obrigatoriedade de as empresas obterem consentimento dos usuários para tratar e coletar seus dados. Existem ainda outros pontos que veremos neste artigo, mas, já para começar, destacamos que estar em conformidade com a LGPD é uma obrigação.
A seguir, entenda como a Lei Geral de Proteção de Dados afeta empresas, os benefícios que ela traz e como se adequar a ela.
LGPD: o que é?
A LGPD, ou Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), foi sancionada em agosto de 2018 e entrou em vigor em setembro de 2020. Ela foi inspirada na Regulamentação Geral sobre a Proteção de Dados (GDPR) da União Europeia.
Para você entender, a GDPR disciplina a forma como se dá o tratamento de dados pessoais, por pessoas, empresas ou organizações que se encontram no território da União Europeia (UE). Ela vale também a todos aqueles que possuem relação com entes integrantes da UE.
A LGPD segue a mesma linha, pois todas as empresas que coletam, armazenam e processam dados pessoais de indivíduos/organizações no Brasil precisam estar em conformidade com a legislação.
Seu objetivo central é a proteção de dados, assegurando também garantia aos direitos fundamentais de liberdade e privacidade. Esclarecendo, a LGPD:
- Estabelece princípios e bases legais para o tratamento de dados;
- Define os direitos dos titulares dos dados;
- Determina as obrigações das empresas em relação à proteção e privacidade dos dados;
- Cria a Autoridade Nacional de Proteção de Dados (ANPD), responsável por zelar pela proteção dos dados pessoais e por regulamentar e fiscalizar o cumprimento da Lei.
Entenda ainda que a LGPD vale para qualquer operação de tratamento de dados pessoais de pessoas físicas ou jurídicas, sejam elas de direito privado ou público.
A quem ela NÃO se aplica?
Conforme a Lei nº 13.709/2018, a LGPD não se aplica a dados pessoais coletados por pessoa física para fins particulares e não econômicos, ou que tenham a finalidade vinculada a propósito jornalístico, artístico, acadêmico, de segurança pública, defesa nacional, segurança do Estado ou atividade de investigação e repressão de infrações penais.
Entenda de que forma a LGPD afeta empresas
A LGPD exige que as empresas foquem nas práticas de gestão e proteção de dados. Isso significa adotar uma abordagem proativa, o que implica em uma série de medidas e ajustes nos processos internos.
Por exemplo, as organizações devem monitorar e, sempre que necessário, reestruturar seus processos internos de coleta, armazenamento, tratamento e compartilhamento de dados. Também devem implementar políticas claras de privacidade e manter contratos com fornecedores e parceiros em dia, especialmente no que diz respeito ao uso dos dados.
Outro ponto fundamental é que a LGPD exige que as organizações sejam transparentes em relação ao tratamento de dados pessoais. Desse modo, elas devem sempre informar os titulares dos dados sobre as informações sendo coletadas, a finalidade, e com quem esses dados podem ser compartilhados.
Do mesmo modo, devem dar aos titulares o poder de exercer seus direitos de acessar, retificar e excluir os dados quando desejarem.
São diversos os benefícios trazidos por ela
Estar em conformidade com a LGPD é um dever das empresas. Apesar de ser uma obrigação, é importante reconhecer que ela traz benefícios, como:
Mais transparência
Segundo a Lei, as empresas devem ser claras e honestas sobre como coletam, utilizam e compartilham os dados pessoais. Essa transparência contribui para a criação de relações mais saudáveis e de longo prazo com os clientes, além de melhorar a imagem e a reputação da organização no mercado.
Mais segurança
Cumprir com os requisitos da Lei significa, para as empresas, implementar medidas de segurança adequadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Para isso, as organizações precisam utilizar tecnologias avançadas, como criptografia e firewalls, além de políticas rigorosas de controle de acesso e monitoramento.
Maior controle de informação aos usuários
Um dos principais objetivos da LGPD é garantir que os titulares dos dados tenham maior controle sobre suas informações pessoais. Sendo assim, eles têm o direito de:
- Acessar, corrigir e excluir seus dados; e
- Saber como e para que as informações estão sendo utilizadas.
Saber que possuem esse controle dá um certo poder aos usuários, pois eles passam a ter mais confiança de que suas informações pessoais estão sendo tratadas com respeito e responsabilidade.
Saiba quais são as consequências do não cumprimento da LGPD
Mesmo que o seu negócio não tenha como atividade principal o tratamento de dados pessoais, ele está sujeito às regras da LGPD. Ou seja, não está livre das sanções previstas pela lei brasileira de proteção de dados.
Dessa forma, caso a empresa não esteja em conformidade com a LGPD e cometa algum tipo de infração à lei, pode vir a sofrer:
- Advertência;
- Multa simples, de até 2% do faturamento da empresa no seu último exercício, que pode chegar a R$ 50 milhões de reais;
- Multa diária;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração.
Segurança e proteção de dados são fatores fundamentais
Dois pilares da LGPD são a segurança e a proteção de dados. A tokenização e a autenticação multifator ajudam nesses esforços. Entenda:
Tokenização
A tokenização é o processo de substituir dados sensíveis (que são os dados pessoais reais) por um código alfanumérico único. Assim, no lugar de usar os dados originais em sistemas e processos, os tokens são utilizados. Com isso, as informações reais dos usuários são protegidas contra acessos não autorizados.
Transações financeiras costumam adotar a tokenização para proporcionar uma camada adicional de segurança ao processo. Se interessar, temos um artigo sobre o tema:
Autenticação Multifator
A autenticação multifator é um método de autenticação que requer que o usuário forneça duas ou mais provas de identidade para ter acesso a um aplicativo, site ou qualquer outro sistema, ou a alguma informação. Pode ser, por exemplo, a senha e o reconhecimento facial.
Conhecida também pela sigla MFA, ela dificulta o acesso não autorizado, pois mesmo que hackers tenham conhecimento de uma das formas de autenticação, não conseguirão acessar o sistema.
Leia também:
Como se adequar à LGPD?
Já que adequar-se à LGPD é uma obrigação das empresas (além de trazer benefícios e segurança para organizações e seus clientes), veja como estar dentro da Lei:
Realizar mapeamento de dados pessoais
Mapeie todos os dados pessoais coletados e processados pelo seu negócio. Nesse sentido, busque saber:
- Quais são os dados coletados: por exemplo: e-mail, nome, telefone, histórico de navegação, dados de pagamentos etc.);
- Onde eles são armazenados: servidores locais, serviços de armazenamento em nuvem, bancos de dados internos, arquivos físicos ou qualquer outro meio de armazenamento;
- Para quais finalidades os dados são usados: marketing, vendas, atendimento ao cliente, análise de comportamento, entre outros;
- Quem tem acesso aos dados e em quais circunstâncias: mapeie quem na organização acessa os dados em questão. A definição de níveis de acesso e a implementação de controles de acesso são essenciais para proteger os dados contra acessos não autorizados.
- Por quanto tempo os dados são mantidos: de acordo com a LGPD, os dados pessoais são mantidos apenas pelo tempo necessário para cumprimento da finalidade pela qual eles foram coletados.
- Quais são as medidas de segurança implementadas: por exemplo, criptografia, controle de acesso, políticas de senha, treinamento de funcionários, MFA, entre outras.
- Quais são os processos de resposta a incidentes: estabeleça procedimentos claros para responder a incidentes de segurança e vazamentos de dados.
Providenciar adequações técnicas
Quanto às adequações técnicas, o foco deve ser em estar em compliance com padrões mundiais, como CIS (Center for Internet Security), NIST(CSF) e ISO 27001.
Ao se adequar a eles, além de estar preparada para a LGPD, a empresa eleva a cyber security, tanto a nível de hardware quanto a nível de software, e também facilita o processo de internacionalização.
Prevenir vazamento no tratamento de dados
É imprescindível usar um cofre para armazenar as credenciais de acesso aos serviços externos e internos e ter logs a nível de rede e de aplicação de tudo o que está acontecendo na empresa.
É preciso ainda centralizar, analisar e organizar os logs para identificar possíveis ameaças.
Um SIEM (Software de Gerenciamento de Informações e Eventos de Segurança) pode ajudar nesse monitoramento, enquanto um DLP (Data Loss Protection) pode prevenir o vazamento de dados.
Leia também:
- Segurança cibernética: por que ela é tão importante para os negócios
- Phishing: descubra o que é e como proteger seu negócio dessa ameaça virtual
Garantir que fornecedores também estejam adequados à LGPD
As empresas que prestam serviços também devem estar de acordo com a Lei de Proteção de Dados e garantir a confidencialidade das informações armazenadas.
Na Transfeera, por exemplo, já adequamos nossa operação, rodando 100% em cloud e com infraestrutura segura de acordo com os melhores padrões do mercado. Também usamos um firewall de aplicação web na frente de todos os serviços expostos para a internet para monitorar e prevenir ataques que possam prejudicar nosso sistema.
Buscar consultoria jurídica
Contar com uma consultoria jurídica é essencial para estar em conformidade com a LGPD, adequando os termos e os contratos.
Por exemplo, é necessário adaptar termos de uso, termos de privacidade, política de segurança da informação, política de segurança cibernética, política de cookies, dentre outros documentos.
O Acordo de Confidencialidade, também conhecido como Non Disclosure Agreement (NDA), é um documento que pode ajudar a empresa a proteger as suas informações e/ou dados confidenciais, que, em virtude de relação comercial, são compartilhadas com terceiros.
Para exemplificar o formato desse documento, elaboramos, em parceria com a VP Advogados Associados, um template que contém a estrutura e as cláusulas básicas para estabelecer a confidencialidade.
Vale esclarecer que a elaboração de qualquer instrumento jurídico deve ser pautada nas especificidades de cada relação e no interesse das partes.
Por isso, é sempre recomendado buscar por um especialista jurídico que possa orientar melhor as partes na elaboração deste documento.
Solicitar o consentimento do cliente
Outra exigência da LGPD é a solicitação do consentimento dos clientes para o tratamento de seus dados pessoais. Na prática, quer dizer que as empresas devem fornecer informações claras sobre como os dados serão usados e garantir que os clientes possam revogar seu consentimento a qualquer momento.
Explicar cookies, lista de desejos e mais
As empresas devem informar aos usuários quanto ao uso de cookies e outros mecanismos que coletam dados dos usuários, como fingerprints. Além disso, devem deixar claro aos visitantes dos sites os tipos de cookies usados (essenciais, de desempenho, de funcionalidade e de publicidade), para que finalidades e como eles podem controlar sua utilização através das configurações do navegador ou de ferramentas específicas fornecidas pelo site.
Definir como o cliente pode retirar a autorização de uso de dados sensíveis
Conforme comentado, os usuários devem ter o direito de retirar, quando desejarem, seu consentimento para o uso de seus dados pessoais. Dessa maneira, é imprescindível que as organizações definam processos claros de como isso ocorrerá (por exemplo, clicando em algum link, acessando as configurações de privacidade no perfil etc.).
Algo importante é que, uma vez que o titular dos dados tenha feito a solicitação, a mesma deve ser tratada com seriedade.
Determine responsáveis para casos de crise e vazamentos de dados
Infelizmente, mesmo tomando todos os cuidados e medidas, um vazamento de dados pode ocorrer. Nesse caso, a prontidão e a eficiência na resposta a incidentes são cruciais para minimizar os danos e manter a confiança dos clientes.
Por conta disso, as empresas devem ter um plano de resposta a incidentes para que consigam lidar rapidamente com crises e vazamentos de dados. Para tanto, uma equipe deve ser designada como responsável por gerenciar esses incidentes, incluindo a identificação e contenção do vazamento, a avaliação dos riscos e impactos e a comunicação com os titulares dos dados afetados e com a ANPD (Autoridade Nacional de Proteção de Dados).
Conclusão
A LGPD é uma legislação importante e que exige um compromisso sério das empresas para garantir a proteção dos dados pessoais. Cumprir com suas exigências é uma questão de obrigação, não só para evitar penalidades e prejuízos reputacionais, mas também para contribuir para um ambiente digital mais seguro e confiável para todos.
Então, agora que você já sabe como se adequar à LGPD, lembre-se que é preciso contar com fornecedores que também levem à proteção de dados a sério. A solução de pagamentos da Transfeera está em conformidade com a Lei Geral de Proteção de Dados. Adicionalmente, toda a nossa operação está sujeita à política de privacidade e todos os protocolos de Cyber Security.
Para completar, possuímos SIEM centralizador de todos os eventos de segurança, realizamos testes de recuperação de desastre, pentest e testes de segurança automatizados, e temos firewall de aplicação na frente de todos endpoints públicos.
Automatize pagamentos e recebimentos com a Transfeera! Clique aqui, conheça nossa plataforma e solicite uma demonstração.
