Por Abílio Branco
A Lei Geral de Proteção de Dados (LGPD) do Brasil entrou em vigor no ano passado, em 18 de setembro de 2020. A data da aplicação depende da aprovação do Congresso do Brasil, que agora está marcada para 1º de agosto deste ano. A LGPD cria um arcabouço jurídico para o uso de dados pessoais de pessoas físicas no Brasil, independentemente da localização do processador de dados e segue o modelo do Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
E, da mesma forma que a legislação europeia, a brasileira tem consequências de longo alcance para as atividades de tratamento de dados dentro e fora do país. A organização que não estiver em conformidade será multada em até dois por cento da receita do exercício fiscal anterior, com o valor máximo de R$ 50 milhões (aproximadamente US$ 9 milhões). Além disso, as instituições são obrigadas a relatar quaisquer incidentes ou violações de segurança de dados às autoridades brasileiras.
Segundo disposto em seu Artigo 1º, a LGPD “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” De acordo com o Artigo 3, qualquer organização, independentemente de onde esteja localizada, que tenha clientes no Brasil, precisa cumprir a LGPD. Isso significa que não são apenas os cidadãos brasileiros cujas informações pessoais são protegidas, mas qualquer pessoa cujos dados tenham sido coletados ou processados dentro do país.
Qual é a essência da LGPD?
A LGPD exige que os agentes de tratamento de dados adotem medidas para proteger os dados pessoais confidenciais decorrentes da perda, acesso não autorizado, destruição e exposição acidentais ou lícitas. Como ocorre com qualquer regulamentação de privacidade de informações, qualquer organização sujeita à regulamentação deve se concentrar em quatro etapas principais:
• Visibilidade: você não pode analisar o que você não pode ver. O acesso aos dados e a visibilidade em toda a organização oferecem informações sobre os locais e tipos de dados mantidos por uma organização (Artigo 50) e permitem tomar decisões precisas.
• Análise: identifica o risco de exposição para orientar uma estratégia eficaz de proteção de dados (Artigo 50).
• Proteção: estabelece e aplica políticas de segurança técnica para abordar quaisquer vulnerabilidades na forma como os dados confidenciais estão sendo gerenciados atualmente (Artigo 46). Também menciona que dados anônimos ou pseudônimos com tratamento adequado e separação de funções não são considerados dados pessoais (Artigos 12 e 13).
• Comunicação: demonstra conformidade e facilita os procedimentos administrativos exigidos pela LGPD (Artigo 50).
O gráfico a seguir destaca as principais considerações de cada etapa e inclui duas ações importantes para que as organizações estejam em conformidade:
Maior Conscientização de Dados
De acordo com o Artigo 38, toda organização precisa ter uma compreensão clara de seus dados e um processo formal deve ser definido para gerenciá-los – onde estão localizados, os tipos de dados mantidos e de proteção q aplicada. É vantajoso automatizar o processo, considerando todos os armazenamentos de informações no escopo (inclusive local, em rede, banco de dados, big data e nuvem) e cobrir as estruturados e não estruturados. O resultado final é que você sabe exatamente onde estão seus dados confidenciais e o que precisa para protegê-los e estar em conformidade com a LGDP.
Risco de exposição reduzido
De acordo com o Artigo 46, as organizações aplicarão as técnicas de segurança apropriadas (como criptografia, tokenização, controle de acesso) para proteger os dados contra o acesso não autorizado e situações ilícitas. A lei também menciona, especificamente nos Artigos 12 e 13, que dados anonimizados ou pseudonimizados não são considerados pessoais “se não puderem mais ser associados a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro” (um exemplo disso é a separação do armazenamento e gerenciamento de chaves do armazenamento e gerenciamento de dados).
De acordo com o Artigo 9, os indivíduos têm o direito fundamental, como parte do ordenamento jurídico, de saber como seus dados pessoais são processados ou compartilhados. Isso pode ser um grande desafio para as organizações devido à quantidade de informações que mantêm, bem como à identificação da melhor abordagem para protegê-los. É por isso que uma solução abrangente de segurança é essencial para ajudar a proteger aqueles que são confidenciais, onde quer que estejam, para ajudar a reduzir o risco de exposição a uma brecha de segurança.
Como acelerar a conformidade com a LGPD
A solução Thales CipherTrust Data Discovery and Classification oferece suporte às organizações ao automatizar o processo de visibilidade de dados em qualquer armazenamento (local, em rede, banco de dados, big data e nuvem) tanto para dados estruturados quanto para dados não estruturados. Ela proporciona uma lista completa de modelos integrados para LGPD e outros regulamentos de privacidade pertinentes para facilitar a conformidade com a legislação.
A solução fornece às organizações uma compreensão de seus dados confidenciais ao descobrir, classificar e ordená-los e priorizar as ações de remediação apropriadas para fechar as lacunas da conformidade e reduzir o risco de exposição.
*Abílio Branco, gerente de Vendas de Proteção de Dados da Thales
