A sua empresa está devidamente adequada à LGPD?
Após 6 (seis) anos da publicação da Lei 13.709/18, várias empresas ainda têm dúvidas de como se adequar à Lei Geral de Proteção de Dados – LGPD.
Há sempre alguns departamentos que mais recebem e tratam dados pessoais. Isto vai depender do ramo de atuação de cada empresa. A título exemplificativo, em regra os departamentos que mais tratam dos dados pessoais é o Departamento Pessoal/RH, Sesmt, Contratos, Arquivo entre outros.
Ressalta-se que o departamento de Tecnologia da Informação – TI – precisa estar inserido nas informações e diretrizes sobre o tema, tendo em vista que muitas medidas dependem da sua atuação.
Seguem orientações acerca de algumas medidas técnicas e administrativas que adequação das empresas à referida lei. Duas ações devem ser necessariamente tomadas para adequação à lei:
- Inventário de Dados Pessoais (IDP) que é um registro de operações de dados pessoais (Art. 37).
- Medidas Técnicas e Administrativas. (Recomendações da ANPD).
A LGPD introduz em seu art. 6º, VII, o Princípio da Segurança, que consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
A lei prevê, no artigo 37, que o “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”.
Outro ponto que merece destaque é a questão de segurança da informação relacionada aos dados pessoais nos artigos 46 a 49.
O que é o IDP e o registro de operações?
O IDP é feito por meio do registro interno, que deverá ser mantido pela empresa, que envolve a descrição de informações em relação ao tratamento de dados pessoais realizado. Esta descrição deve ser feita com todas as informações pessoais de terceiros que a empresa tem acesso, como por exemplo os currículos e documentos de saúde (atestados, laudos médicos etc.).
Se for o caso, o empregado deve assinar termo autorizando o uso de seus dados, informando canal de comunicação a respeito de tratamento de dados e a identidade do encarregado. Estas informações devem estar contidas na Política de Privacidade da empresa, normalmente disponibilizada no website.
Neste IDP consistente no registro das operações de tratamento de dados, deve conter as seguintes informações:
- Dados coletados;
- Atores envolvidos (agentes de tratamento e encarregado: empregados que têm acesso aos dados);
- Finalidade (o que a empresa faz com os dados pessoais;
- Hipótese legal (arts. 7º e 11º da LGPD);
- Categoria dos titulares dos dados pessoais (titulares em geral; crianças e adolescente; idosos);
- Tempo de retenção dos dados pessoais;
- Com quem os dados pessoais são compartilhados;
- Transferência internacional de dados (art. 33 da LGPD); e
- Medidas de segurança atualmente adotadas.
Cada empresa, dependendo dos seus processos internos, vai decidir em quais etapas e de que forma será realizado este registro.
Quais são as medidas técnicas e administrativas de segurança dos dados?
Recomenda-se que todas as empresas adotem as seguintes medidas:
Política de Segurança da Informação: estabeleça controles relacionados ao tratamento de dados pessoais, como cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico e uso de antivírus.
Conscientização e Treinamento: Realizar a conscientização dos funcionários, via treinamentos e campanhas sobre as suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais conforme disposto na LGPD e normas da ANPD.
Gerenciamento de Contratos: Estabelecer contratos (empresas de cartões de benefícios – SaaS) com cláusulas de segurança da informação que assegurem a proteção de dados pessoais (regras para fornecedores, parceiros e clientes; regras sobre compartilhamento; termo de confidencialidade – NDA – com empregados da empresa).
Controle de Acesso:
O controle de acesso consiste em uma medida técnica para garantir que os dados sejam acessados somente por pessoas autorizadas. Ele consiste em processos de autenticação, autorização e auditoria.
• a autenticação identifica quem acessa o sistema ou os dados;
• a autorização determina o que o usuário identificado pode fazer;
• a auditoria registra o que foi feito pelo usuário.
Serviços em Nuvem: Realizar um contrato de acordo de nível de serviço com o provedor de serviços em nuvem (SLA); analisar os requisitos para o acesso do usuário a cada serviço em nuvem utilizado; utilizar técnicas de autenticação multi-fator para acesso aos serviços em nuvem relacionados a dados pessoais.
Segurança das comunicações: Utilizar conexões cifradas (TLS/HTTPS) ou aplicativos com criptografia fim- afim para serviços de comunicação; instalar e manter um sistema de firewall e/ou utilizar um Web Application Firewall (WAF – Filtro de Aplicação); proteger e-mails via adoção de ferramentas AntiSpam, filtros de e-mail e, integrar o antivírus ao sistema de e-mail.
Gerenciamento de Vulnerabilidades: Atualizar periodicamente todos os sistemas e aplicativos utilizados, mantendo-os em sua versão atualizada (instalar patches de segurança); adotar, atualizar e realizar varreduras periodicamente em softwares antivírus e antimalwares.
Dispositivos Móveis: Utilizar técnicas de autenticação multi-fator para controle de acesso de dispositivos móveis – como smartphones e laptops; separar os dispositivos móveis de uso privado daqueles de uso institucional; implementar funcionalidades que permitam apagar remotamente os dados pessoais armazenados em dispositivos móveis.
Diante do exposto, estas são, resumidamente, algumas medidas que as empresas devem observar e aplicar na sua rotina no que tange à adequação à LGPD.
Caso necessite de orientação jurídica entre em contato conosco.
WhatsApp: 31-971453895