Mercado fechado
  • BOVESPA

    109.068,55
    -1.120,02 (-1,02%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.725,96
    -294,69 (-0,58%)
     
  • PETROLEO CRU

    72,39
    +0,38 (+0,53%)
     
  • OURO

    1.798,70
    +0,70 (+0,04%)
     
  • BTC-USD

    16.863,86
    -169,71 (-1,00%)
     
  • CMC Crypto 200

    394,86
    -7,18 (-1,79%)
     
  • S&P500

    3.933,92
    -7,34 (-0,19%)
     
  • DOW JONES

    33.597,92
    +1,58 (+0,00%)
     
  • FTSE

    7.489,19
    -32,20 (-0,43%)
     
  • HANG SENG

    18.814,82
    -626,36 (-3,22%)
     
  • NIKKEI

    27.686,40
    -199,47 (-0,72%)
     
  • NASDAQ

    11.510,25
    +0,75 (+0,01%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,4683
    -0,0104 (-0,19%)
     

7 práticas para garantir a conformidade com a LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018, fala sobre o tratamento de dados pessoais, englobando um amplo conjunto de operações que podem ocorrer em meios manuais ou digitais. A legislação prevê que empresas adotem medidas de proteção e responsabilidade sobre o uso de informações sensíveis dos titulares de dados.

Apesar de estar em vigor há dois anos, apenas 23% das empresas possuem uma área focada em proteção de dados — conforme demonstra o levantamento “Privacidade e proteção de dados pessoais” feito pelo Comitê Gestor da Internet no Brasil (CGI.br).

Considerando que a LGPD é detalhada e exige que as empresas alterem ou adaptem seus processos de manipulação de dados, Arthur Dantas Oliveira, especialista em Direito Digital e Compliance da Apura, elencou sete práticas que auxiliarão empresas a estarem em conformidade com a legislação.

7 práticas para entrar em conformidade com a LGPD

Empresas podem pagar multas de até R$ 50 milhões caso não cumpram a LGPD (Imagem: Reprodução/Pexels)
Empresas podem pagar multas de até R$ 50 milhões caso não cumpram a LGPD (Imagem: Reprodução/Pexels)

1. Nomear um responsável pela proteção de dados

Empresas e organizações devem nomear um Encarregado dos Dados (ou Data Protection Officer, DPO) que será responsável pelo tratamento e organização dessas informações, além de reportar diretamente à direção sobre os status de segurança de seus bancos de dados.

A nova lei considera toda e qualquer operação realizada com as informações de terceiros que, mesmo parcialmente, possam identificar uma pessoa. Um dos processos é educar a organização e os funcionários sobre a conformidade, treinar a equipe responsável pelo tratamento e realizar auditorias regulares. O DPO também atua como ponte entre a empresa, os titulares dos dados e a ANPD.

2. Mapeie e classifique todos os dados

Visando garantir a confidencialidade, integridade e disponibilidade dos dados, uma organização precisa ter conhecimento das informações que possui. Para isso, é preciso conduzir um inventário em que as partes interessadas entendam a qualidade e valor dos dados pelos quais são responsáveis.

3. Preencha uma avaliação de impacto na privacidade

Segundo Dantas, antes de começar o tratamento dos dados, é preciso realizar uma avaliação de impacto de privacidade. O relatório deve identificar riscos da coleta, uso, transferência e tratamento dessas informações.

Esta medida é importante para o pressuposto legal da Privacy By Design, em que a privacidade é considerada desde o início da operação, e By Default, em que as medidas de segurança são consideradas padrão e só podem ser desativadas pelo usuário de maneira voluntária e informada.

O relatório apresenta como os dados fluem pela empresa e exige uma avaliação das atividades para determinar o nível de risco as liberdades civis e aos direitos fundamentais, além das medidas de mitigação de risco.

4. Documentar, manter e fazer cumprir as políticas, procedimentos e processos de privacidade

Os inventários e mapeamento do fluxo de dados pessoais devem ser atualizados constantemente, de maneira que o DPO tenha as informações sobre quais dados estão sendo tratados, protegidos e qual a base legal do tratamento. Além disso, as políticas devem abranger as pessoas, processos e sistemas envolvidos nas atividades — garantindo que sejam cumpridas as normas legais, mantendo os dados protegidos.

5. Treinar funcionários na LGPD

As políticas de privacidade devem prever o treinamento de funcionários sobre suas responsabilidades para proteger os dados pessoais. Qualquer pessoa que manuseie informações sensíveis deve estar ciente da importância de mantê-las seguras e conhecer os procedimentos e processos relacionados.

6. Teste os procedimentos de resposta à violação de dados pessoais

Em casos de vazamentos, é de responsabilidade da organização comunicar à autoridade nacional e aos titulares dos dados sobre os riscos ou danos do incidente de segurança. Para Dantas, até a regulamentação formal do prazo pela LGPD, a melhor prática é adotar o prazo da Lei Europeia (GDPR) de até 72 horas após o incidente.

Dessa forma, é indicado testar regularmente os procedimentos de gestão de incidentes para garantir que os funcionários cumpram esse prazo. Para isso, é preciso que eles saibam como identificar e relatar uma violação de dados internamente e os passos seguintes para comunicar os titulares e a ANPD.

7. Monitore o vazamento de dados pessoais e incidentes de segurança da informação

É fundamental que as empresas monitorem a ocorrência de incidentes ou vazamentos de dados. Segundo Dantas, o BTTng, ferramenta da Apura, realiza o monitoramento dos dados e de incidentes de segurança da informação, através de pesquisa em fontes abertas de inteligência, como a deep web, fóruns hackers, grupos de mensagens etc.

"O BTTng permite identificar vazamentos de dados pessoais ainda não divulgados e, muitas vezes, desconhecidos da organização", diz o especialista. Ele ainda ressalta que as empresas devem estar à frente dos agentes criminosos, permitindo tomar ações imediatas para proteger os ativos, corrigir riscos de segurança, proteger os direitos dos titulares e evitar penalidades.

Fonte: Canaltech

Trending no Canaltech: