LGPD para a área de TI: como a lei impacta o setor?

LGPD para TI

Ainda tem dúvidas sobre como a LGPD funciona na rotina de TI? Este conteúdo vai te ajudar! 

A Lei Geral de Proteção de Dados (Lei n. 13.709, de 14 de agosto de 2018) já está em vigor há algum tempo e com seus ciclos de fiscalização em curso. 

A adequação às demandas da norma afasta as possibilidades de sanções, inclusive financeiras, e reflete em um relacionamento mais transparente entre empresas e clientes. 

Pensar estrategicamente na LGPD é um dos desafios de qualquer profissional de marketing e da tecnologia da informação. 

Afinal, em um contexto de crescimento de cibercrimes e de um amadurecimento da mentalidade dos clientes frente à informação e ao que encontram na rede, o consentimento no uso de dados, bem como a autonomia para a revogação dessa ação por parte do usuário, ou ainda, o fortalecimento de ferramentas de segurança de rede, são ações indispensáveis para toda e qualquer organização. 

Ao longo deste artigo você irá acompanhar os principais destaques do tema LGPD para a TI. 

  • O que é LGPD 
  • Como funcionam os ciclos de fiscalização da LGPD 
  • Quais são as penalidades da não adequação à LGPD 
  • Como a área de TI pode garantir adequação à LGPD

O que é a LGPD?

Este é um assunto batido para quase todo o meio empreendedor. Não é de hoje que muito se fala na necessidade dos negócios adaptarem seus canais digitais aos dispositivos da Lei Geral de Proteção de Dados. 

A Lei 13709, como dispõe em seu Art 1º, tem o objetivo de ordenar o “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Para isso, organiza uma série de critérios que devem ser seguidos para que a nuvem seja mais segura, dê autonomia para os usuários a respeito do uso ou não de seus dados, e eduque empresas e demais sujeitos atuantes na rede a criarem conteúdo, produtos e serviços digitais com mais responsabilidade. 

Quais são os objetivos da LGPD?

Além de assegurar as relações mencionadas acima, a LGPD tem como um de seus principais propósitos contornar o panorama de crescentes crimes cibernéticos no Brasil, funcionando como um programa de conformidade. 

Desde janeiro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD), que recentemente se tornou uma autarquia especial – ganhando maior autonomia, por meio de resolução publicada no Diário da União, executa o primeiro ciclo de fiscalização da LGPD, que tem o objetivo de conferir se as empresas se adequaram aos dispositivos da lei. 

Os negócios que não cumpriram com as propostas estabelecidas estão suscetíveis a diversas penalidades. 

Tamanha a importância dessa adaptação, em um acórdão de junho de 2022 (Nº 1384/2022) o TCU (Tribunal de Contas da União) elenca uma série de recomendações para que o governo federal também esteja alinhado à LGPD e garanta a segurança de dados dos cidadãos com dados pessoais coletados e utilizados pela Administração Pública Federal.. 

A medida foi elaborada após a realização de uma auditoria da conformidade estatal neste quesito. De acordo com os indicadores do processo, relatado pelo ministro Augusto Nardes, dos 382 órgãos observados, 76,7% não estão dentro dos conformes legais. 

Outros dados apurados pelo TCU mostram que o cenário requer atenção: 

  • 17,8% dos órgãos estudados estão no nível inexpressivo quanto à adaptação à LGPD;
  • 58,9% estão no nível inicial;
  • 20,4% estão no nível intermediário e
  • 2,9% estão no nível aprimorado.

Isso significa dizer que há alto risco à privacidade dos dados. 

É necessário, portanto, um esforço tanto nas esferas públicas quanto nas privadas para uma alteração deste contexto.  

Penalidades da não adequação à LGPD

Todas as partes envolvidas na coleta, interpretação, análise e tratamento de dados precisam se adequar à LGPD, sejam elas empresas, órgãos governamentais ou plataformas.

Com isso, a norma pretende afastar os “dados” do uso ilícito e controverso.

Por meio do ciclo de fiscalização, pretende-se:

  • Observar a conformidade dos agentes;
  • Considerar o risco regulatório; 
  • Adotar ações compatíveis com o risco; 
  • Prevenir práticas irregulares e fomentar a cultura de proteção desses dados

Caso seja identificado o descumprimento do que versa a norma, as penalidades variam como indicado abaixo:

  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. 
  • Multa diária também com o limite de R$ 50.000.000,00 (cinquenta milhões de reais) por infração. 
  • Advertência sobre não conformidade e indicação de prazo para correção da infração.
  • Bloqueio dos dados pessoais relacionados ao ato de infração até a sua regulamentação.
  • Eliminação dos dados pessoais a que se refere a infração.
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Além disso, um dos maiores impactos da não adoção da LGPD está relacionado à imagem da organização. 

Um vazamento de dados pessoais, na maior parte das vezes, expõe a empresa, uma vez que ela precisa informar aos aos titulares de dados (seus clientes) sobre o ocorrido. 

O contingente financeiro necessário para um controle de danos, ou a chamada resposta ao incidente, também é maior nos casos em que não há conformidade com a LGPD.

Ou seja, de forma geral, a iniciativa dos ciclos de fiscalização + penalidades visa instituir uma cultura orgânica de preocupação institucional com o uso de dados. 

É um estímulo à consciência de proteção de dados pessoais, formalizando a necessidade de uma atuação responsiva nesse contexto, com direcionamento de ações que sejam proporcionais ao risco identificado e à postura dos agentes regulados.

5 Vantagens de garantir a adequação à LGPD  

Como falamos anteriormente, não há mais tempo para procrastinar!

O período de adaptação da Lei Geral de Proteção de Dados foi extenso e 2022 é o ano de mostrar que houve adequação ao que foi proposto. 

Algumas vantagens de participar ativamente desse processo são: 

  • Não sofrer sanções econômicas durante a avaliação do ciclo de fiscalização;
  • Não sofrer prejuízos relacionados aos dados coletados, uma vez que a lei estabelece que a ANPD tem o poder de bloquear ou até eliminar os dados pessoais tratados por uma empresa;
  • Construir uma comunicação mais transparente com o seu cliente, que por sua vez já está mais antenado nas relações digitais e passa a ter esse valor como premissa para estabelecer fidelidade;
  • Concretizar a reputação da empresa. Ao descumprir o proposto pela fiscalização, a instituição poderá sofrer danos de imagem, uma vez que serão conhecidas por não estarem em sintonia com o que é disposto em lei. A credibilidade da organização pode ser abalada.
  • Contribuir para um ambiente digital mais seguro. A ideia é que as grandes corporações passem a exigir dos seus parceiros comerciais a adequação à LGPD e assim por diante. 

A LGPD na TI

Outro motivo pelo qual a LGPD é considerada uma estratégia para as empresas é a garantia de maior segurança digital para clientes e também para as próprias marcas, que passam a estar menos suscetíveis a ataques cibernéticos.

Isso ocorre uma vez que essa adequação, associada ao mapeamento interno das empresas, possibilita que, em caso de incidentes como esses dos crimes digitais, haja reação imediata. 

Os profissionais de TI precisam compreender os limites e possibilidades dos dados pessoais (nome e e-mail, por exemplo) e dos dados chamados de sensíveis (os que envolvem etnia, religião, dados genéticos, entre outros). 

A partir disso, elaborar estratégias, sites e dispositivos digitais pautados, principalmente, no poder de consentimento de uso desses dados.

É nesse contexto que os modelos de ações first party ganham ainda mais destaque em detrimento às articulação third party. 

Por isso, é preciso dominar como executar o desenvolvimento web tendo em vista essas especificidades. 

Outro ponto que requer bastante atenção da área de TI em relação à LGPD é no que tange o armazenamento de dados. 

Ou seja, maior cautela nessas práticas e no gerenciamento de riscos para prevenir/prever instabilidades e falhas na segurança da informação.

Dessa forma, faz parte do escopo de trabalho deste departamento o desenvolvimento de soluções que otimizem as coletas e tratamentos de dados, em conformidade com a legislação.

Há ainda a formalização da figura do Data Protection Officer (DPO), que embora não precise ser direcionada a um agente de TI, normalmente o é. Este cargo deve garantir a proteção de dados dos usuários. 

Desafios para área de TI frente à LGPD

1) Capacitação 

Por ser uma regulamentação relativamente recente, muitos profissionais de TI ainda possuem conhecimento defasado sobre os termos e dispositivos da norma. 

Investir em capacitação nesse sentido é o principal passo para alicerçar todas as demais estratégias de segurança da informação.

A ESR promove o curso “LGPD para Todos“, que incentiva o entendimento da Lei Geral da Proteção de Dados no dia a dia.

Este é o único curso do mercado que foca na metodologia brasileira de adequação à LGPD (Ministério da Economia), consolidando diversos guias acerca das temáticas.

2) Constante atualização 

Os times e gestores de TI precisam ter em mente que a adequação à LGPD é uma tarefa constante do departamento. 

Por isso, é preciso pensar no tempo, recursos (operacionais e humanos) necessários para garantir essa logística e a execução de rotinas complexas. 

3) Segurança e consulta de dados

A governança de dados passa a demandar acesso prático e rápido de dados aos seus titulares, sem deixar de lado a segurança que o ambiente digital precisa proporcionar no desenrolar dessa operação. 

Dessa forma, a governança de dados, práticas, protocolos e rotinas que atuem nessa direção constituem-se como desafios importantes da TI em relação à LGPD.

4) Cloud Computing

As tecnologias de computação em nuvem agora demandam segurança redobrada, possibilidade de visibilidade e rastreabilidade de dados. 

Fazer a verificação da nuvem deve ser um dos compromissos do time de TI. 

—————————————————

A adequação à LGPD requer o envolvimento de diversos setores das empresas, sobretudo, da área de TI. 

Com os ciclos de fiscalização ativos, essa adaptação demanda de forma urgente profissionais capacitados para a sua execução. 

Quer atuar nesta área? Confira a ementa do curso “LGPD para todos” e se torne especialista no assunto junto com a ESR. 

5 1 votar
Article Rating
Inscrever
Notificar
guest

0 Comentários
Feedbacks em linha
Ver todos os comentários