Com a impugnação da MPV 959/20, que adiaria para maio de 2021 a LGPD , a vigência da Lei de Proteção de Dados passou a acontecer a partir de agosto de 2020. Por isso, especialistas alertam sobre a urgente necessidade de adequação.
O recomendado é que as empresas já estejam adequadas. Afinal, a LGPD muda a forma como coletam, tratam, armazenam e utilizam os dados de usuários. Mas o que ainda se vê é a maioria das empresas longe de começarem suas mudanças.
De acordo com o Índice LGPD ABES, um indicador que acompanha o processo de adaptação das empresas no Brasil em relação à lei de proteção de dados, cerca de 60% das empresas ainda não atendem as exigências da nova lei.
Mesmo que o seu negócio não tenha como atividade principal o tratamento de dados pessoais, ele está sujeito às regras da LGPD. Ou seja, não está livre das sanções previstas pela lei brasileira de proteção de dados.
Dessa forma, caso a empresa não esteja em conformidade com a LGPD e cometa algum tipo de infração à lei, pode vir a sofrer:
- Advertência;
- Multa simples, de até 2% do faturamento da empresa no seu último exercício, que pode chegar a R$ 50 milhões de reais;
- Multa diária;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração.
Nesse sentido, trazemos aqui os principais pontos de atenção para estar pronto para a nova lei de proteção de dados.
Como começar a se adequar à lei de proteção de dados?
Aqui, trazemos os primeiros passos que qualquer empresa deve dar para se adequar à LGPD, especialmente as fintechs.
Conteúdos Relacionados:
- Cyber security: o que é importante e mais impacta as fintechs?
- Pagamento de fornecedores: como ter segurança em operações online
Realizar mapeamento de dados pessoais
Antes de tudo, é fundamental fazer um mapeamento dos dados pessoais que são processados na empresa. Quem tem acesso a este tipo de informação do cliente precisa garantir logs de auditoria e backup dessas informações.
Também é necessário fazer revisão dos acessos a esses dados para verificar se os usuários realmente precisam tê-los para desempenhar seu trabalho. Com o mapeamento, a empresa pode avaliar as necessidades e que tipo de ferramenta pode atender o cenário para cada gap.
Providenciar adequações técnicas
Quanto às adequações técnicas, o foco deve ser estar em compliance com padrões mundiais, como CIS (Center for Internet Security), NIST(CSF) e ISO 27001.
Ao se adequar a eles, além de estar preparada para a LGPD, a empresa eleva a cyber security, tanto a nível de hardware quanto a nível de software, e também facilita o processo de internacionalização.
Prevenir vazamento de dados
É imprescindível usar um cofre para armazenar as credenciais de acesso aos serviços externos e internos e ter logs a nível de rede e de aplicação de tudo o que está acontecendo na empresa.
É preciso ainda centralizar, analisar e organizar os logs para identificar possíveis ameaças.
Um SIEM (Software de Gerenciamento de Informações e Eventos de Segurança) pode ajudar nesse monitoramento, enquanto um DLP (Data Loss Protection) pode prevenir o vazamento de dados.
Garantir que fornecedores também estejam adequados à LGPD
As empresas que prestam serviços também devem estar de acordo com a lei de proteção de dados e garantir a confidencialidade das informações armazenadas.
Na Transfeera, por exemplo, já adequamos nossa operação, rodando 100% em cloud e com infraestrutura segura de acordo com os melhores padrões do mercado.
Também usamos um firewall de aplicação web na frente de todos os serviços expostos para a internet para monitorar e prevenir ataques que possam prejudicar nosso sistema.
Buscar consultoria jurídica
Contar com uma consultoria jurídica é essencial para estar em conformidade com a lei de proteção de dados, adequando os termos e os contratos.
Por exemplo, é necessário adaptar termos de uso, termos de privacidade, política de segurança da informação, política de segurança cibernética, política de cookies, dentre outros documentos.
O Acordo de Confidencialidade, também conhecido como Non Disclosure Agreement (NDA), é um documento que pode ajudar a empresa a proteger as suas informações e/ou dados confidenciais, que, em virtude de relação comercial, são compartilhadas com terceiros.
Para exemplificar o formato desse documento, elaboramos, em parceria com a VP Advogados Associados, um template que contém a estrutura e as cláusulas básicas para estabelecer a confidencialidade.
Vale esclarecer que a elaboração de qualquer instrumento jurídico deve ser pautada nas especificidades de cada relação e no interesse das partes.
Por isso, é sempre recomendado buscar por um especialista jurídico que pode orientar melhor as partes na elaboração deste documento.
Esperamos que essas dicas tenham te ajudado a iniciar as adequações para a lei de proteção de dados e compreender a importância de implementar melhorias constantes em cyber security.
Para ter acesso a um conteúdo completo sobre a LGPD, baixe este e-book: