As discussões sobre proteção de dados não são novidade. A popularização da internet e a proliferação de seus serviços, aplicativos e redes sociais fez com que a web permeasse as mais variadas áreas de nossas vidas. Escândalos de vazemnto de dados por empresas como Facebook também contribuíram, e muito, para colocar o assunto em voga. Com isso, a preocupação em relação como os dados pessoais são coletados, armazenados e utilizados foi ganhando relevância sob o olhar da sociedade civil e das autoridades.
A Lei Geral de Proteção de Dados Pessoais (LGPDP), sancionada em agosto do último ano, vem sendo debatida desde 2010 e contou, inclusive, com uma consulta pública sobre o assunto. A sua versão final teve grande inspiração no General Data Protection Resolution (GDPR), a regulação contida na legislação da União Europeia sobre proteção de dados e privacidade dos indivíduos, em vigor desde maio de 2018.
No Brasil, a lei passa a ter eficácia plena a partir de fevereiro de 2020 e todas as empresas que trabalham com dados pessoais, mesmo que sejam apenas informações sobre clientes, devem se adequar. Aquelas que ainda não possuem políticas e práticas em acordo com a legislação precisam se apressar. Independente da empresa utilizar os dados dentro do Brasil ou fora, se a coleta foi feita em território brasileiro ela terá que cumprir a lei nacional.
Mas o que é a Lei Geral de Proteção de Dados Pessoais?
Trata-se de uma legislação que determina como os dados dos cidadãos podem ser coletados e tratados, e que prevê punições para transgressões e abusos em relação a isso. As determinações dizem respeito, sobretudo aos meios digitais, mas não exclusivamente.
E o que podem ser chamados de Dados Pessoais? A lei configura como dados pessoais qualquer informação relacionada a uma pessoa que, direta ou indiretamente, permite identificar o indivíduo. Alguns exemplos são: nome, apelido, endereço residencial e eletrônico, telefone, número de documentos, IP, fotos, dentre tantos outros.
Até a aprovação da LGPDP, a legislação brasileira era muito vaga em relação ao tratamento de dados pessoais e privacidade. Existem leis que garantem o direito à intimidade e ao sigilo de comunicações, mas elas foram pensadas em outro contexto e não contemplam, por exemplo, o cenário tecnológico atual.
O que determina a legislação?
Uma das primeiras determinações da nova legislação é sobre a coleta de dados pessoais. Tanto organizações públicas quanto privadas só poderão realizar a coleta mediante consentimento do titular. Essa solicitação deve ser feita da maneira mais clara possível, para que não reste dúvidas sobre quais informações serão coletadas, para que fins e se serão compartilhadas e com quem. No caso de menores de idade, o consentimento deverá ser dado pelos pais ou responsáveis legais.
A qualquer mudança de finalidade ou repasse a terceiros, uma nova autorização deve ser solicitada. E sempre que desejar, o usuário pode revogar seu consentimento, e também pedir acesso, exclusão, portabilidade ou atualização dos dados que julgar necessário.
Caso o uso das informações leve a alguma decisão automatizada indesejada (como a recusa de um financiamento por sistema bancário), o indivíduo que se sentir prejudicado pode pedir uma revisão humano do procedimento.
A punição pelo descumprimeiro da lei geral de proteção de dados vai depender da gravidade da situação. Pode ir de advertências à multa equivalente a 2% do faturamento da empresa (limitada ao valor de cinquenta milhões de reais), chegando até à proibição de funcionamento.
Como se adequar?
Serviços e ferramentas de governança da informação são as soluções ideias para sintetizar e gerenciar dados de várias fontes, de forma segura e eficiente.
A maioria das organizações não sabem exatamente quais informações possuem, o que valem ou porque as mantêm. Estima-se que quase 70% de todos os dados armazenados não possuem valor legal, regulamentar ou comercial. Mesmo a localização de informações confidenciais, regulamentadas ou mais valiosas não é precisa. Muitas vezes, as organizações não sabem nem como acessá-las, de forma prática e segura. Sobre a segurança desses dados, em grande parte das vezes, utiliza-se mecanismos e políticas de proteção que não têm conhecimento intrínseco do tipo de dados que estão sendo protegidos.
Diante desses desafios, a Veritas Technologies, parceira da Harbor IT, apresenta algumas possibilidades que podem ajudar na adequação da sua empresa à nova regulamentação e na melhoria do gerenciamento e da proteção de dados.
Soluções como o Information Map oferecem uma visão geral dos repositórios de armazenamento e sua distribuição de dados armazenados, permitindo localizar facilmente onde os dados estão retidos, pré-classificar blocos de dados, e localizar e remover material pessoal, por exemplo. Já o Information Classifier pode ajudar na classificação da informação, facilitando a localização de Dados Pessoais de maneira uniforme e automatizada, em diversos repositórios.
E sabe porque isso pode ser tão importante? Porque, na maioria dos casos, as organizações terão apenas 30 dias para responder a uma solicitação de acesso a um dado. Os clientes precisam conseguir documentar seu processamento e armazenamento de dados pessoais. Tê-los armazenados e processados de forma organizada é essencial.
Outra solução interessante nesse contexto é o Data Insight, que padroniza processos para tratar Dados Pessoais e gerenciar o acesso a eles. Deixando tudo documentado,ele ainda permite a comprovação do uso de técnicas adequadas de tratamento de dados pessoais. O Enterprise Vault é outra ferramenta disponível capaz de comprovar que são utilizados mecanismos e procedimentos internos aptos a controlar como, por quanto tempo e com qual nível de segurança os dados pessoais são armazenados.
Quer saber o que mais podemos te oferecer para que a Lei Geral de Proteção de dados Pessoais não se torne um problema? Entre em contato com a gente!