Kleber Melo
CEO
LGPD 360°
Uma visão de conformidade no Setor Público
As empresas e órgãos públicos estão se adequando corretamente à LGPD?
Todos os aspectos estão sendo atendidos?
Saiba como a Mindsec pode te ajudar a evitar multas!
As organizações têm uma grande responsabilidade na proteção de dados.
Conheça como a Mindsec pode garantir a conformidade da sua gestão com a LGPD, prevenindo processos de improbidade administrativa, multas e protegendo as informações de sua instituição.
A Lei Geral de Proteção de Dados pessoais – LGPD – nº 13.709, de 14 de agosto de 2018, concentrou mais de 60 outras citações de leis com a finalidade de normatizar a propriedade e a responsabilidade sobre os dados pessoais, e estabelece multa de 2% do faturamento anual, limitada a R$50 Milhões, por evento de infração.
Em 14 de agosto deste ano, a LGPD completou 6 anos que o então presidente Temer, sancionou a LGPD e desde 1º de agosto de 2021 já é possível a aplicação de multas e sansões. Mas, o que mudou até o momento? O que as empresas e os órgãos do governo estão fazendo para atenderem os requerimentos da Lei?
A LGPD nasceu de uma necessidade global de regulamentar a proteção e o uso de dados pessoais. Embora houvesse outras dezenas de leis relativas à Privacidade de Dados, o Brasil foi pressionado a ter uma lei específica devido ao requisito de bilateralidade exigida por leis com a General Data Protection Regulation – GDPR – na Europa, e pela necessidade de regulamentar o direito e interação do Controlador com o Titular de Dados.
A Lei define a pessoal natural, o cidadão nacional, como sendo o Titular de Dados, o proprietário das informações e lhe dá autoridade para definir como as suas informações serão utilizadas e para qual finalidade.
Para fins de tratamento de dados, a LGPD define duas categorias de dados: “Dados Pessoais” e “Dados Pessoais Sensíveis”, onde “Dados Pessoais” são ‘informações relacionada a pessoa natural identificada ou identificável, são dados que identificam o Titular de Dados’ (Nome, CPF, endereço, RG, etc…) e “Dados Pessoais Sensíveis” são ‘dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural’, ou seja, são os dados que qualificam o Titular de Dados. Dados financeiros, são foram incluídos no escopo da Lei.
A LGPD também define como Controlador ‘a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais’, ou seja, todas as empresas, órgãos ou repartições públicas estão sujeitas à Lei e podem ser consideradas Controladoras de dados pessoais.
Diversos incidentes de privacidade em órgãos públicos e privados já foram investigados e estão em investigação pela ANPD – Agência Nacional de Proteção de Dados, com multas e sanções sendo aplicadas, no entanto, muitos ainda se limitam a acreditar que se trata apenas de problemas relacionados a processos e documentações jurídicas, como a nominação de um Encarregado de Dados, chamado popularmente pelo termo em inglês DPO – Data Protection Officer, ou relacionado ao uso indevido ou não autorizado as informações. No entanto o que vemos aqui é uma visão míope e distorcida da realidade definida pela lei, pois as maiores violações, as que irão ter o seu impacto elevado e consequentemente multas maiores são relativos aos vazamentos massivos de dados.
Principais motivos para aplicação de multas
Sanções pelo uso ilegal dos dados pessoais estão diretamente relacionado ao processo de coleta, autorização e quebra dos princípios básicos definidos pela lei, violando os direitos dos titulares de dados.
No entanto o comprometimento da integridade e do sigilo dos dados está diretamente relacionada às ações de hackers, que invadem e comprometem os sistemas, vazando as informações de forma massiva e descontrolada, sendo a amplitude e o impacto muitas vezes incalculáveis.
Em 24 de fevereiro de 2023, a ANPD publicou a Resolução CD/ANPD Nº4 , que estabelece os parâmetros e os critérios para aplicação de sanções administrativas, bem como as formas e a dosimetrias para o cálculo do valor-base das sanções de multa. Segundo os critérios da Dosimetria, a categoria dos dados afetados (‘pessoal’ ou ‘pessoal sensível’), a quantidade de dados e titulares afetados, e a existência de medidas de prevenção que comprovem a “boa fé” da organização em tomar medidas adequadas de proteção da informação, são fatores determinantes no agravo ou não das penalidades.
Quando olhamos pelo aspecto processual e documental, os eventos possuem uma amplitude controlada, até mesmo quando são relativos ao uso ilegal de forma massiva. Portanto, questões relativas ao atendimento do Titular de Dados, nomeação do Encarregado de Dados, publicação de políticas, aditivos contratuais e documentos de mapeamento de processos, são fatos que em sua ausência geram eventos de baixa amplitude e impacto social, reduzindo o potencial valor da multa e sanções a serem aplicadas.
Visão 360° da Mindsec
Para se ter uma correta abordagem no processo de adequação devemos considerar uma visão ampla que inclua de forma detalhada a proteção do ambiente tecnológico e o treinamento de colaboradores e servidores públicos, sem deixar de lado as questões de ajustes processuais e legais. Desta forma a organização endereçará o combate ao principal agente de ameaças ao mesmo tempo que demonstra “boa fé” e demonstrará o correto entendimento da Lei.
Não por acaso, a LGPD cita diversas vezes, sobre a necessidade de garantir a segurança:
• Agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. - Capítulo VII – Da Segurança e Boas Práticas, Artigo 46
• No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.” . – Artigo 48, inciso 3º
• Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares. Artigo 49
Quando falamos de melhores práticas de Segurança da Informação e de Privacidade devemos nos remeter à ISO27001 , ISO27002 e ISO27701 , que estabelecem diretrizes e controles a serem implementados para a correta proteção do ambiente e das informações.
No mercado, a Mindsec, empresa com 12 anos de experiência em segurança e risco da informação, criadora da metodologia 360°, é a pioneira nesse tipo de abordagem e tem feito diversas palestras para setores governo e privado, auxiliando as empresas e as repartições públicas no processo de adequação.
A metodologia LGPD 360º trata 6 (seis) pilares de implementação que incluem:
• Tecnologia da Informação;
• Processos e Documentos;
• Segurança da Informação;
• Tecnologia da Informação;
• Gerenciamento de Incidentes;
• Gerenciamento de Riscos e;
• Treinamento e Comunicação.
Abordando todos estes pontos, a organização estará 100% em conformidade com a LPGD e melhor que isso, estará segura, investirá em segurança baseado em um visão ampla e nos aspectos de maior risco.
A parceria com a Mindsec, traz um incremento contínuo e consistente da segurança, preparando a organização para diminuir incidentes e reduzir seu impacto e probabilidade, conforme as tecnologias e ameaças avançam.
Para saber mais sobre o Plano de Adequação 360º da Mindsec deixe seu recado abaixo ou envie e-mail para contato@mindsec.com.br.