Com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD), o Brasil deu um importante passo para ampliar seus mecanismos de segurança da informação.
Empresas consolidadas no mercado já possuíam políticas de privacidade e segurança que orientavam sua conduta no assunto.
Mas isso não é algo comum a todas as empresas, pois o tema nem sempre é tratado com a relevância necessária.
No entanto, as normas da LGPD devem ser seguidas por qualquer organização que lide com dados pessoais.
Isso significa que os gestores, sejam de microempresas ou de multinacionais, devem dar especial atenção à política de proteção de dados.
Para tanto, é preciso entender vários aspectos sobre o tema. O que a Lei Geral protege? Quais as formas de proteção de dados? E as melhores práticas?
Vem com a gente que explicamos tudo neste artigo!
O que diz a Lei Geral de Proteção de Dados Pessoais?
A Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709/18) é uma lei que traz normas sobre coleta, armazenamento, tratamento e processamento de dados pessoais por parte de organizações e órgãos públicos.
Seu objetivo é assegurar o direito à proteção e à privacidade de dados dos cidadãos e aprimorar a gestão baseada em dados nas empresas.
Para tanto, estabelece uma série de práticas, como a definição de regras objetivas, rígidas e transparentes sobre o tratamento de dados pessoais por empresas.
Quer saber melhor o que diz a Lei Geral de Proteção de Dados Pessoais? Então conheça seus princípios!
Os princípios da proteção de dados
O artigo 6° da LGPD traz todos os princípios e fundamentos da proteção de dados pessoais. São eles:
- Não discriminação: os dados não podem ser tratados com fins discriminatórios ilícitos ou abusivos.
- Necessidade: o tratamento de dados deve se limitar ao mínimo necessário para realizar suas finalidades.
- Prevenção: as empresas devem adotar medidas de prevenção de danos durante o tratamento dos dados.
- Adequação: o processamento das informações pessoais deve se alinhar ao uso inicialmente informado ao titular do dado.
- Responsabilização e prestação de contas: a empresa deve demonstrar que as medidas adotadas são eficazes e cumprem as normas.
- Livre acesso: os titulares dos dados devem ter acesso livre e gratuito na consulta de de seus dados tratados pela empresa que os coletou.
- Segurança: as empresas devem adotar medidas técnicas e administrativas para proteger os dados de acessos não autorizados e de outros incidentes.
- Finalidade: o tratamento de dados só pode ser feito quando for realmente necessário para uma finalidade específica, legítima, explícita e informada ao titular.
- Qualidade dos dados: as informações pessoais dos titulares devem ser armazenadas com clareza, exatidão e serem mantidas atualizadas, sendo possível realizar a correção delas.
- Transparência: as informações dos titulares devem ser de fácil acesso, claras e precisas, e eles têm direito de saber sobre forma de processamento, período de armazenamento e compartilhamento de seus dados.
Conhecidos os fundamentos da proteção de dados pessoais previstos na LGPD, vamos traçar um panorama da realidade brasileira sobre como lidamos com informações na internet.
Um panorama sobre a proteção de dados cibernéticos no Brasil
Na primeira semana de 2023, o MIT Technology Review Insights divulgou o relatório “The Cyber Defense Index 2022/23” ou “Índice de Defesa Cibernética”.
O estudo aborda a proteção de dados na internet nas 20 maiores economias do mundo a partir de quatro critérios: Recursos de Segurança Cibernética, Infraestrutura Crítica, Comprometimento com Políticas e Capacidade Organizacional.
O Brasil está na 18ª posição no que diz respeito à criação de um ambiente de defesa cibernética. Somente Turquia e Indonésia obtiveram uma classificação inferior.
Mesmo com uma colocação ruim, podemos dizer que a proteção de dados cibernéticos no Brasil está sendo continuamente melhorada.
A seguir, fazemos uma breve retrospectiva de eventos:
- 1988: a Constituição Federal, em seu artigo 5°, coloca a intimidade como direito fundamental.
- 1990: promulgação do Código de Defesa do Consumidor.
- 2011: promulgação da Lei do Acesso à Informação, que traz a regra de transparência de informações nas transações da administração pública.
- 2014: promulgação do Marco Civil da Internet, que elevou o patamar da proteção de dados cibernéticos no Brasil
- 2018: promulgação da LGPD, que vem para lidar com as questões trazidas pela transformação digital com normas sobre a proteção de dados na internet e fora dela por parte das empresas.
Vale destacar, ainda, que em 2022, seguindo os preceitos da LGPD, tivemos uma consulta pública realizada pela Autoridade Nacional de Proteção de Dados (ANPD).
O objetivo é criar uma agenda regulatória para concretizar, no Brasil, o chamado padrão-ouro da GDPR.
Agora você entendeu, considerando o contexto brasileiro, o que é a proteção de dados? O país está evoluindo aos poucos nas normas e medidas de cibersegurança.
As boas práticas, sobre as quais falaremos adiante, são fundamentais para evitar os impactos negativos. E quais são eles?
Os impactos de não adotar medidas de proteção de dados nas empresas
Você sabia que, de acordo com a Check Point Research, o Brasil teve aumento de 37% em ataques cibernéticos no terceiro trimestre de 2022? A CPR apontou que as empresas brasileiras foram atacadas 1.484 vezes por semana.
Diante desta realidade, é preciso estar mais atento à proteção de dados no Brasil e à compliance com a LGPD para que as empresas evitem os impactos negativos
Isso porque a lei prevê advertência, multas, bloqueio e eliminação de dados pessoais, suspensão do funcionamento do banco de dados e muitas outras sanções para as organizações.
A seguir, apontamos os três principais impactos negativos que uma empresa sofre ao não adotar uma política de proteção de dados eficiente.
Danos à reputação
Segurança, transparência e responsabilização são alguns princípios da proteção de dados no Brasil.
Sem as medidas protetivas, as empresas estão vulneráveis a ataques que vão no sentido contrário desses fundamentos.
Os usuários que têm os dados comprometidos, por exemplo, passam a enxergar a organização como pouco cuidadosa ou profissional.
Isso significa que as falhas de segurança da informação causam graves danos à reputação da empresa. Perda de valor de mercado e de confiança são apenas algumas consequências.
Aplicação de multas
Além dos danos à reputação, a LGPD e a GDPR estipulam multas para as empresas que não possuem uma política de proteção de dados e outras medidas de cibersegurança.
No caso da GDPR (atuação na União Europeia), a multa pode atingir até 4% da receita anual. Na LGPD, o limite é 2% do faturamento ou R$ 50 milhões por infração cometida.
Suspensão das operações da empresa
Por fim, o descumprimento das normas de proteção das informações pessoais também pode acarretar a suspensão das operações da empresa.
Isso pode ocorrer por falhas de cibersegurança, por uso indevido de dados e outras ações condenadas por lei.
E para evitar tudo isso, você já se perguntou quais as formas de proteção de dados?
Dicas de proteção de dados para aplicar em seu negócio
Já pensou ter interrupções na cadeia de suprimentos devido à suspensão das atividades decorrente de infração à LGPD?
Para evitar essas situações, as organizações devem pensar em medidas de cibersegurança para manter as informações sempre seguras.
E quais as formas de proteção de dados? A seguir, apontamos 10 dicas!
1. Nomeie um responsável pela segurança dos dados
De acordo com a LGPD, cada empresa deve ter um encarregado do tratamento de dados (Data Protection Officer ou DPO) que será responsável pela aplicação da lei.
Ele atua como canal de comunicação entre o controlador, a ANPD e os titulares dos dados.
Suas responsabilidades são inúmeras, como implementar as políticas de segurança e orientar os colaboradores sobre as práticas.
É, por isso, fundamental para o cumprimento dos princípios da proteção de dados.
2. Revise a política de segurança da organização
A LGPD entrou em vigor em setembro de 2020, mas as empresas tiveram tempo para se adequar desde sua promulgação em 2018.
Muitas delas se aproveitaram para revisar as políticas de segurança da informação para adequá-las às novas normas.
Para tanto, é preciso avaliar todas as práticas relacionadas aos dados dos stakeholders e da própria empresa.
Quais são as regras de acesso? Quais as ações que cumprem com os princípios previstos na lei?
Faça um relatório de impacto à proteção de dados e estabeleça ações, que devem incluir pessoas, processos e tecnologias.
Com essa revisão, a organização consegue implementar melhorias para assegurar a proteção das informações.
3. Avalie contratos com fornecedores
Uma das dicas de proteção de dados que muitos gestores desconsideram é a avaliação de contratos com fornecedores.
É fundamental ter em mente que eles também têm acesso a dados internos, direta ou indiretamente. Ou seja, eles também fazem o tratamento das informações.
Por isso, avalie os contratos para entender se eles estão em conformidade com as normas e evite a responsabilização solidária.
4. Controle o acesso aos dados internos e sigilosos
O controle de acesso aos dados internos e sigilosos é uma medida importante para evitar que eles caiam nas mãos de pessoas mal intencionadas ou não autorizadas.
Por mais que sua empresa conte com colaboradores honestos, sabemos que os ataques cibernéticos exploram as vulnerabilidades. E a principal é o fator humano.
Portanto, inspecione as autorizações dadas aos profissionais para evitar as falhas de segurança, de modo que somente pessoas autorizadas possam acessar tais arquivos.
5. Controle os dispositivos usados pelos colaboradores
No mesmo sentido do controle de acesso está o controle de dispositivos. Estamos em uma era de crescimento do trabalho remoto, e muitos profissionais utilizam seus próprios equipamentos para o trabalho.
Para garantir a segurança, os responsáveis pela segurança devem homologar tais dispositivos conforme a política de proteção de dados da empresa.
Isso significa informar os colaboradores sobre as diretrizes de privacidade de dados, reforçar a segurança dos softwares e atualizá-los constantemente, limitar o uso de dispositivos móveis de armazenamento, dentre outras ações.
6. Capacite os funcionários
Uma das dicas de proteção de dados aplicável a qualquer empresa é a capacitação dos funcionários.
Eles devem conhecer os princípios básicos da LGPD e a política de segurança interna a partir de palestras e debates promovidos pelos gestores.
A conscientização sobre as exigências diminui as chances de incidentes de segurança e engaja todos os colaboradores no tratamento correto de dados.
7. Crie uma rotina de backup
A rotina de backup é uma prática fundamental na segurança da informação, pois garante maior proteção contra violações ou perdas.
A cópia de segurança dos arquivos pode ser configurada para que seja feita automaticamente, seja em servidores da própria empresa ou em nuvem.
Com ela, o gestor cumpre uma das medidas previstas na LGPD: adotar medidas técnicas para proteger os dados de incidentes de segurança.
8. Atente-se à infraestrutura de TI
Monitorar a infraestrutura de TI é um dos pilares de gestão proativa de cibersegurança, pois o foco é prevenir a ocorrência de problemas.
No mesmo sentido da nossa dica anterior, esse monitoramento envolve práticas que tentam evitar o sequestros, o vazamento, os roubos ou os extravios de dados.
Seja remotamente ou com equipe terceirizada, as empresas devem ter atenção com a segurança de sua infraestrutura para que as informações não sejam afetadas.
9. Faça a atualização de sistemas
A atualização de sistemas é oferecida pelos fornecedores dos softwares por diversos motivos.
Além da realização de melhorias e da inclusão de novas funcionalidades, há correção de vulnerabilidades e riscos mapeados.
Ou seja, ao atualizar os sistemas da sua empresa, você impede que haja invasões por essas brechas.
10. Invista em ferramentas e tecnologias
Fechando nossas dicas de proteção de dados, não poderia faltar o investimento em ferramentas e tecnologias que trabalham em prol da cibersegurança.
Cloud computing, gateways de acesso, antivírus, firewalls, monitoramento remoto de TI, encriptação de dados e outras tecnologias são fundamentais para proteger os dados empresariais.
Além delas, é importante optar por outras ferramentas que auxiliam nos processos internos, mas que coloquem a segurança de dados no centro.
Esse é o caso da TOTVS Assinatura Eletrônica!
TOTVS Assinatura Eletrônica
O sistema de assinatura eletrônica da TOTVS é uma plataforma centralizada de gestão de assinaturas que oferece segurança de ponta a ponta neste processo.
Com padrão de criptografia SHA 256 e armazenamento de documentos no ambiente TOTVS Cloud, você garante total segurança nas assinaturas eletrônicas ou digitais.
Tudo isso prezando pela agilidade e produtividade dos profissionais e pela segurança e validade jurídica aos documentos.
Conheça e experimente grátis por 30 dias o TOTVS Assinatura Eletrônica!
Conclusão
Adotar boas práticas de proteção de dados faz com que a empresa se mantenha em conformidade com as normas brasileiras, em especial a LGPD.
Além disso, contribui para que ela mitigue os riscos de ataques cibernéticos, algo muito comum no Brasil.
Dentre as medidas indicadas, temos o controle de acesso, a revisão da política de segurança, a capacitação dos profissionais e a adoção de tecnologias que garantem a segurança das informações.
Mas ainda há muito mais a se fazer! Garantir a segurança documental, por exemplo, é um desafio para muitas empresas. Aproveite para aprender 10 boas práticas de segurança de documentos!
Deixe aqui seu comentário