A enorme quantidade de vazamento de dados tem preocupado a todos. Visando extinguir ou minimizar ao máximo a chance dessa falha acontecer, a lei aborda uma série de pontos que mudaram em definitivo (e para melhor) a forma como pessoas e empresas encaram os dados.
Quem nunca recebeu uma ligação de alguma empresa ofertando um produto e se perguntou “Como raios eles descobriram meu telefone?”. Pois é...
A Lei Geral de Proteção de Dados (LGPD) visa punir severamente quem lidar de forma inadequada com dados pessoais. Para que você possa entender melhor sobre o assunto, confira 6 aspectos sobre a nova lei.
#1 Os dados
É fundamental entender qual a interpretação correta de dados pessoais prevista na LGPD, que trata os dados pessoais de duas formas principais:
Dados pessoais: São considerados dados pessoais todos os dados que permitam identificação direta ou indireta de uma pessoa. Os mais comumente vistos são RG, CPF, passaporte, carteira de habilitação, mas será necessário se preocupar com outros tipos de dados que antes não eram considerados tão importantes, como endereço, telefone, e-mail, IP e até mesmo cookies.
Dados sensíveis: Os dados sensíveis são tratados com ainda mais cautela pois abrem margem para discriminação. O artigo quinto da LGPD prevê que sejam considerados dados pessoais sensíveis os dados que façam referência a “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
#2 Quem manipulará os dados
Agora que temos uma visão dos dados pessoais abordados é necessário entender os papeis previstos na lei para cada um dos envolvidos ao longo do processo de manipulação dos dados.
Titular – Proprietário dos dados pessoais que serão tratados ao longo de todo o processo.
Controlador – Pessoa física ou jurídica responsável por estipular como os dados pessoais serão tratados.
Operador - Pessoa física ou jurídica que realiza o tratamento dos dados pessoais em nome do controlador.
Encarregado - Pessoa indicada pelo controlador para mediar a comunicação entre controlador, titular e a Autoridade Nacional de Proteção de Dados.
“Certo, entendi as especificações de cada um deles, mas como isso fica na prática? Quem é controlador e quem é operador?”.
Me fiz essa pergunta antes de estudar os pormenores da lei, e se você, assim como eu, também se perguntou isso, aqui vão alguns exemplos que podem ajudar a esclarecer isso.
Serão considerados controladores todas as pessoas ou empresas a quem a coleta de dados será destinada, por exemplo: bancos, fabricantes de softwares, lojas de roupas, supermercados, entre outros. Todos eles manterão os dados dos titulares sob sua custódia e têm o poder de decisão sobre o que será feito com estes dados.
Os operadores são os responsáveis por receber ou coletar os dados dos titulares e direcioná-los aos operadores. As empresas de call-center ou contact-center são ótimos exemplos de operadores, pois tem a finalidade de receber os dados dos titulares e direcioná-los aos bancos, ou supermercados, por exemplo.
#3 O tratamento dos dados
O primeiro ponto a ser levado em consideração sobre a manipulação dos dados pessoais é que, para que possam ser coletados, é necessário o consentimento expresso do titular. O consentimento se aplica sempre a uma finalidade, impossibilitando o uso de uma aprovação genérica. Caso seja necessário usar os dados do titular para outros fins é necessário que haja uma nova aprovação do titular.
A grande maioria das bases já possuem dados de diversos titulares. Os dados previamente existentes também deverão receber autorização dos titulares para serem mantidos, tratados e processados.
Para assegurar que os dados sejam tratados adequadamente será necessário que cada empresa conte com o auxílio de um Data Protection Officer (da sigla em inglês DPO). Este deverá estipular quais serão as formas mais adequadas para o tratamento dos dados desde o momento em que são recebidos até seu armazenamento ou eventual descarte. Também deverá ter autonomia para exercer mudanças, caso necessárias, e intermediará o contato da autoridade responsável por fiscalizar a proteção dos dados pessoais e a empresa.
Os dados também poderão ser tratados para os seguintes fins:
- Cumprimento de obrigação legal ou regulatória do controlador.
- Execução de políticas públicas pela administração pública.
- Realização de estudos por órgãos de pesquisa.
- Quando necessário para execução de contrato ou procedimentos preliminares a um contrato do qual seja parte o titular, a pedido do titular.
- O exercício regular de direitos em processos judiciais, administrativos ou arbitrais.
- Proteção da vida ou da incolumidade física do titular ou de terceiro.
- Tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, salvo quando prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de seus dados pessoais.
- Para proteção do crédito.
#4 Direitos do titular
Uma série de direitos são previstos na LGPD, propiciando que todo o processo seja sempre o mais transparente possível e permita que o titular possa escolher caso deseje que seus dados não sejam mais possuídos por determinado controlador ou operador.
Abaixo estão listados todos os direitos do titular previstos na lei:
- Confirmação da existência de tratamento.
- Acesso aos dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador.
- Eliminação dos dados pessoais tratados com o consentimento do titular*.
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
*Há exceções em que os dados não serão eliminados, como por exemplo para o cumprimento de obrigações regulatórias pelo controlador.
#5 Sanções previstas
Caberá sempre ao controlador o ônus da prova de que o consentimento do titular foi coletado em conformidade com a lei, bem como o zelo adequado com os dados. Todas as medidas de proteção e tratamento deverão ser tomadas a fim de evitar que os dados pessoais sejam comprometidos, sejam elas processuais ou que envolvam ativos tecnológicos, tudo deverá ser pensado para proteger ao máximo as informações.
Em caso de comprometimento das informações, as punições irão variar de acordo com cada infração, podendo ser:
- Advertência com prazo estipulado para adoção de medidas corretivas.
- Multa de até 2% do lucro do faturamento do último exercício limitada a R$50 milhões.
- Multa diária.
- Divulgação pública da infração após a devida apuração e comprovação do incidente.
- Bloqueio dos dados pessoais referentes a infração até sua regularização.
- Eliminação dos dados pessoais referentes a infração.
#6 Como as empresas podem se preparar para atender a lei
Todas as empresas que tratam dados de titulares devem se mobilizar para que, caso ainda não tenha um ambiente em conformidade com as exigências da lei, possa adequá-lo em até 1 ano. Em fevereiro de 2020 a lei passa a vigorar.
Trazemos abaixo algumas sugestões de pontos a serem considerados para proteção do ambiente que receberá os dados dos titulares:
- Avaliação do ambiente – Este é um ótimo ponto inicial, pois avaliar o ambiente permitirá ter o conhecimento de quais caminhos o dado fará, quem lidará com o dado e onde ele permanecerá em descanso, tornando a tarefa de protegê-lo bem menos complexa.
- Softwares atualizados – Manter softwares atualizados e com a última versão dos patches de segurança instalados é essencial, não apenas para o sistema operacional mas também para as eventuais aplicações e serviços instalados no ambiente. Não é possível focar apenas nos equipamentos que irão tratar os dados, independente da forma desse tratamento. Em caso de comprometimento do ambiente, ter tudo atualizado diminui muito as chances do criminoso achar alguma brecha que o permita acessar os dados.
- Data Loss Prevention – Esta solução de segurança permite que regras sejam criadas visando impedir que dados saiam do ambiente sem o consentimento dos responsáveis. Caso não seja possível espalhar versões de DLP por estações de trabalho e servidores, a avaliação do ambiente mostrará quais os principais pontos devem ser analisados por ele. Vale lembrar que boa parte dos vazamentos de dados ocorre por funcionários insatisfeitos ou por descuidos.
- Manter os hosts seguros – As estações de trabalho costumam ser as principais portas de entrada para malwares, sendo necessário sempre torná-las o mais seguras possível. Optar por soluções mais robustas que contenham recursos além do antivírus. Estas soluções devem estar presentes em todos os hosts da rede, estações de trabalho, servidores e dispositivos móveis.
- Revisão de permissões de acesso - É uma boa prática conceder os acessos visando manter os usuários com o mínimo possível para que consigam exercer suas funções cotidianas, e apesar deste ponto ser muitas vezes menosprezado pelas empresas, ele é de suma importância. Vamos supor que o ambiente foi protegido e as regras antivazamento e proteções estão voltadas para todos os equipamentos das áreas responsáveis por manipular os dados, mas um erro de concessão de acesso foi cometido e toda a equipe de estagiários ou funcionários terceiros tem os mesmos privilégios de acesso que as equipes que tem autorização para manipular os dados. Não há cenário tecnológico em que isso não seja considerado uma catástrofe, além de aumentar drasticamente as chances de vazamento dos dados.
- Segregação de redes – Como em geral as estações de trabalho são os pontos de entrada utilizados por cibercriminosos para comprometer uma rede, é importante mantê-las separadas dos servidores e demais dispositivos. Essa separação não deve ser apenas física, o ideal é que elas estejam em redes distintas, a comunicação entre elas seja protegida por firewall e com regras restritas para a comunicação.
- Conscientização dos usuários – Manter todos os usuários da rede, sem exceção, bem instruídos sobre os riscos que eles e a empresa correm, ensiná-los o mínimo de segurança da informação para que eles possam saber o que fazer ao lidarem com e-mails, anexos ou links suspeitos. Deixando-os à vontade para reportarem qualquer acontecimento atípico no ambiente para as equipes responsáveis.
- Backups periódicos – Caso o ambiente tenha sido comprometido e os atacantes não tenham conseguido seu objetivo principal, por exemplo ter acesso aos dados, é possível que eles procurem causar algum dano ao ambiente, tornando certos equipamentos inacessíveis. Ter um backup recente dos dados fará com que quase não haja danos reais ao ambiente. A execução do backup em uma periodicidade aceitável para o negócio é tão importante quanto a validação do arquivo após a execução do processo. Afinal o backup só e útil se ele estiver disponível e íntegro.