Conectado por


Tecnologia

LGPD por que me preocupar? Proteção de dados

Publicado por

em

Google

Agora é Brasil! Sim, depois de oito anos e três projetos de leis transitando pelo Congresso, corredores, armários e gavetas, foi aprovada finalmente a Lei Geral de Proteção de Dados Brasileira (lei 13.709/2018) conhecida pela sigla LGPD. E com o intuito de complementar essa lei, no dia 27 de dezembro de 2018 foi publicada a Medida Provisória 869 (MP n° 869), onde inclui a criação da Agência Nacional de Proteção de Dados a qual é chamada pela sigla ANPD e está vinculada à Presidência da República e parte do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. A criação desta agência fiscalizadora foi vetada em agosto, mais é bem-vinda, e era solicitada por diversas entidades de classes. As principais funções serão fiscalizar empresas privadas e públicas para garantir o cumprimento da lei e aplicar sanções quando necessário. Esse tipo de regulamentação não é novidade, pois vários países já têm similares. Em maio de 2018 foi iniciado a tão comentada EU GDPR que é o acrônimo de General Data Protection Regulation ou Regulamento Geral de Proteção de Dados da União Europeia em uma tradução livre.

E eu com isso? Por que devo me preocupar? Porque nossas informações podem ser usadas contra nós mesmos em fraudes, spam entre outros tipos de ameaças eletrônicas ou não. Os casos abaixo foram publicados em diversos meios jornalísticos ao longo do ano de 2018, e esses números mostram que as empresas precisam tomar mais cuidados com nossas informações, pois elas nos pertencem. Várias situações foram publicadas nos mais importantes meios de comunicação brasileiros.

  • Novo golpe do e-mail com cobrança de boleto.
  • Equifax dos EUA tem 143 milhões de dados pessoais são expostos.
  • Funcionários da C&A vendem dados bancários de clientes na web.
  • Uber admite que omitiu ataque hacker que roubou 57 milhões de dados de usuários.
  • Vazam 1,4 bilhão de senhas da Netflix, LinkedIn, Badoo e YouPorn.
  • Netshoes ligará para dois milhões de clientes afetados por divulgação de dados.
  • Difusão de dados de quase 20 mil clientes do Banco Inter
  • Divulgação de informações do Facebook.

O que são dados pessoais e sensíveis?

São informações como nome, endereço residencial, identificações (RG, CPF, biométrica, genética), e-mail, telefone, raça, religião, opções sexuais e políticas entre outras informações que possam identificar o indivíduo.

O que as empresas precisam fazer?

Devem garantir a proteção das informações pessoais dos clientes, fornecedores, funcionários de acessos não autorizados, destruição, perda ou qualquer outro ato ilícito. As empresas têm até o final de 2020 para se adequarem à esta lei, ganhando assim mais alguns meses com as alterações providas pela MP n° 869 e assim evitarem as sanções previstas que vão de advertências até multas de 2% do faturamento da empresa limitados a R$ 50 milhões por infração.

As informações coletadas, guardadas e utilizadas para fins comerciais e sociais estão alocadas em centros de computação dispersados e espelhados em diversos lugares. Esses armazenamentos podem ser tanto dentro das próprias empresas, como nas nuvens (Google Drive, OneDrive, etc.) ou ainda híbrida, contemplado as duas simultaneamente. Os dados podem estar basicamente em dois tipos de sistemas: 1) estruturados como aplicativos, ERP, CRM, RH e banco de dados; 2) não estruturados como planilhas de cálculo como o Microsoft Excel e e-mails. Com essa regulamentação uma das responsabilidades das empresas é a transparência de como as informações são utilizadas, arquivadas, e como serão eliminadas, caso o usuário desejar.

Principais pontos da lei LGPD

  • Informações de crianças devem ser tratados com o consentimento dos pais;
  • Dados pessoais para estudos e pesquisa, sempre que possível garantir o anonimato;
  • Empresas devem coletar somente os conceitos necessários para prestar os serviços;
  • Informações pessoais e sensíveis devem ser excluídas após o encerramento da relação do cliente com a empresa
  • Usuários podem ver, corrigir, e deletar as informações próprias armazenadas nas empresas;
  • Autorizações genéricas para tratamento de dados pessoais serão nulas, o consentimento será por finalidade determinada;
  • Responsável pela gestão das informações deve comunicar incidentes de segurança, que possam oferecer risco ou dano aos donos das informações;

Artigo escrito por: Marcos Gomes, executivo de TI e Segurança da Informação na innovativa Executivos Associados