CONTEXTO
O que é a LGPD e quem precisa se adequar?
A Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet. Desde então, o Brasil passou a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos.
A LGPD cria um conjunto de novos conceitos jurídicos (exemplo "dados pessoais", "dados pessoais sensíveis"), estabelece as condições nas quais os dados pessoais podem ser tratados, define um conjunto de direitos para os titulares dos dados, gera obrigações específicas para os controladores dos dados e cria uma série de procedimentos e normas para que haja maior cuidado com o tratamento de dados pessoais e compartilhamento com terceiros.
- Quem deve se adequar à LGPD?
Tanto as empresas como os profissionais autônomos que utilizam dados pessoais em seu negócio devem iniciar um projeto de adequação à LGPD.
- O que são dados pessoais?
São informações de pessoas naturais vivas que, direta ou indiretamente, identificam um indivíduo.
A informação direta é aquela que permite a imediata individualização da pessoa.
A informação indireta é a que permite por meio da reunião de informações, chegar à identificação do sujeito.
Para facilitar o entendimento vejamos os exemplos:
- identificação direta: um cliente, ao fazer uma compra online, informa seu nome completo e CPF, ou seja, a loja virtual com essas informações consegue identificar o indivíduo que realizou a compra.
- identificação indireta: uma empresa não cadastrou o nome completo ou o CPF de um cliente, a princípio, a companhia não teria como identificá-lo. Porém, utilizando outras informações que possui, é possível descobrir sua identidade. Tais como: profissão, endereço, gênero, ou qualquer outro dado que ajude a identificá-lo.
Em outras palavras, a identificação indireta ocorre quando associamos informações, que isoladamente não conseguem identificar um indivíduo, para descobrimos a identidade de uma pessoa.
Desta forma, desde que a Lei entrou em vigor em agosto de 2020, toda empresa (e até mesmo trabalhadores autônomos) que precisam lidar com dados pessoais de seus clientes para executar suas atividades, ficam obrigados a observar os termos da Lei para tratamento adequado desses dados, sob pena de advertência ou multas que podem chegar até 50 milhões de reais por infração (Art. 52 parágrafo II):
“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
II - Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;”
No entanto, a própria Lei prevê atenuadores de responsabilidade e dolo para o caso de incidentes que levem ao vazamento de dados pessoais, atrelados a adoção de medidas técnicas para adequação à LGPD, conforme descreve o Art. 50, em referência ao Art.6, parágrafos VII, VII e X:
“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
- VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;”
- X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Através do serviço de Implantação de medidas técnicas de adequação à LGPD, a YourTrust implementará os princípios acima mencionados nos termos da Lei, para a que a sua empresa esteja coberta quanto a adoção das medidas técnicas e administrativas requisitadas pela Lei.
- Ganhos Imediatos:
- Ao adotar uma postura preventiva, a empresa reduz consideravelmente o risco de incidentes e no pior dos casos atenua penalidades previstas na Lei.
- Agilidade e credibilidade na prestação de contas ao corpo diretivo, clientes, auditorias, seguradoras e ANPD (Agência Nacional de Proteção de Dados).
- Elevação do nível de maturidade em processos de cibersegurança em geral, não somente no âmbito da LGPD.
#medidas técnicas de adequação à LGPD
E-book gratuito: Medidas Técnicas de adequação à LGPD
Para apoiar gestores de TI e DPO's a adotar medidas preventivas eficazes, a YourTrust preparou este Guia Prático com 10 itens que atendem ao que exige o artigo 6º no que refere aos princípios de:
- VII -Segurança
- VIII - Prevenção
- X - Responsabilização e Prestação de Contas.
Detalhamento do serviço
Medidas Técnicas de Adequação à LGPD
Através do serviço de Trusted Advisor, a YourTrust está pronta a auxiliar seus clientes a avaliar as medidas técnicas e processuais a implementar para atender aos requisitos da Lei, no escopo dos sistemas que processam dados pessoais de seus clientes, colaboradores e parceiros.
Levantamento do inventário de ativos no escopo da LGPD
- Levantamento do inventário de sistemas, processos e ativos de TI que manipulam, processam, transmitem e armazenam dados pessoais
- Implementação de processo para atualização contínua deste inventário
Vulnerabilidades Externas
- Através da plataforma Securityscorecard, será avaliado a presença de vulnerabilidades expostas diretamente na Internet
- Adoção de um processo contínuo de gestão de vulnerabilidades externas
Política de Patches
- Criação de uma política de patch management
- Adoção de mecanismos que permitam aferir o nível de atualização dos ativos de TI do escopo da LGPD
Controle de Acesso Administrativo
- Implementação de medidas técnicas de proteção para contas de administração do ambiente
- Revisão de grupos administrativos
- Implantação de política de senhas forte para contas administrativas
Controle de Acesso Remoto
- Mapeamento de perfis que fazem uso de acesso remoto
- Revisão de acessos baseada em perfis
- Implementação de segundo fator de autenticação
Segurança de Endpoints
- Avaliação das soluções de endpoint implementadas (anti-vírus, EDR etc.)
- Revisão de rotinas de scan
- Avaliação de soluções de firewall local
Backup e Restore
- Criação de política de backup e restore caso inexistente
- Avaliação da cobertura de backup e restore para os ativos do escopo LGPD
- Avaliação de medidas técnicas de proteção do processo de backup
Criptografia de dados
- Avaliação da presença de criptografia de dados em trânsito e em repouso para os ativos do escopo LGPD
- Avaliação de parâmetros técnicos de segurança das soluções implementadas
DLP (Data Loss Prevention)
- Avaliação de solução de DLP caso disponível para o escopo de ativos da LGPD
- Criação de política de classificação da informação caso inexistente
- Avaliaç ão de parâmetros técnicos da solução
Processos básicos de resposta a incidentes
- Criação de um processo básico de resposta a incidentes caso inexistente
- Criação de matriz de comunicação para incidentes envolvendo dados pessoais