Como adequar o seu ambiente de TI à LGPD

LGPD tem ganhado prioridade nas listas de tarefas das empresas desde a sua aprovação  em Agosto de 2020. Estamos  passando agora por uma fase de implementação na maioria das empresas.  No entanto, mesmo com a vigência da LGPD, as penalidades pelo descumprimento só passarão a ser aplicadas em Agosto de 2021, período que as autoridades consideraram razoável para que as organizações se adaptem às novas normas. E é nesse contexto que a Storback Tecnologia têm oferecido serviços para ajudar nessa providencial tarefa de adequação.

Em linhas gerais, dada a complexidade do ecossistema de dados modernos, a conformidade não será uma tarefa simples para muitas empresas. As necessidades vão envolver várias áreas  como a jurídica, a de processos, administração, diretoria e enfim atingirá a área de tecnologia.

Fizemos um trabalho juntamente com nossos parceiros e detectamos que somente 5 dos artigos da Lei Geral de Proteção de Dados afetam a área de tecnologia. São eles:

Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo  reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Mas como resolver cada uma destas questões? Qual será o papel da tecnologia neste caminho? Para responder a estas perguntas preparamos uma tabela indicando os softwares que ajudarão neste processo, informando a sua função, a prioridade de implementação e os recursos atendidos.

Para ter acesso à Tabela de Soluções LGPD para o TI, clique aqui.

Em suma, explicamos de forma simples qual será o papel da tecnologia neste caminho e como ela poderá ajudar as organizações.

 

Usando a tecnologia para auditar dados pessoais

Uma preocupação premente para muitas organizações é que elas simplesmente não sabem quais dados possuem dos indivíduos ou onde eles estão armazenados.

As Informações Pessoais Identificáveis, das quais a LGPD trata, normalmente são dados como data de nascimento ou número de CPF; no entanto, a LGPD também abrange os dados comportamentais capturados por cookies de terceiros, como os sites que uma pessoa visita.

Isso inclui todos os dados que uma empresa tem armazenados nos seus sistemas de ERP, CRM, contabilidade, e por aí vai…

Não importa quantas tecnologias diferentes com dados de terceiros a empresa tenha, ela terá que reunir tudo isso em um inventário perfeito para auditar os dados pelos quais é responsável, e entender se possui o consentimento dos titulares de cada um deles.

Usando a tecnologia para coletar dados pessoais

A LGPD  obriga as empresas a obterem o consentimento explícito dos visitantes do site ou clientes para capturar seus dados.

A solicitação deve ser feita de forma inteligível e de fácil acesso, com o propósito de processamento de dados anexado a esse consentimento. Em outras palavras, o usuário precisa saber quais informações você coleta e o que fará com elas.

É essencial que você saiba exatamente onde os dados estão em todos os momentos. Isso não só é importante para avaliar e gerenciar o risco de segurança dos dados pessoais que você processa, mas também para cumprir com os requisitos de acessibilidade da LGPD: a lei diz que o usuário tem direito de acessar ou apagar seus dados quando quiser, e você precisa estar preparado para atender a essas solicitações de imediato.

Usando a tecnologia para proteger dados pessoais

A LGPD deixa claro que as empresas devem garantir que, no caso de uma violação de dados, nenhuma informação do consumidor seja corrompida. Isso significa que a organização deve ter uma visão única dos dados de todos os consumidores e deve protegê-los completamente para que não possam ser roubados e usados em outro lugar.

Claro, isso pode parecer um conjunto de tarefas difíceis, especialmente para empresas maiores. Por isso, é preciso adotar a tecnologia para criptografar os dados do cliente e monitorar seu progresso em relação à LGPD.

À medida que a nossa dependência dos dados aumenta, as empresas terão que trabalhar duro para cumprir a LGPD. Embora os comportamentos profissionais tenham que se adaptar, uma verdadeira mudança cultural só será possível se as tecnologias estiverem em ordem.