O meio digital ocupa hoje grande parte da nossa vida, nele armazenamos inúmeras informações, incluindo dados pessoais e de comportamento. Com a intensificação desta realidade surge também uma demanda crescente por segurança às informações dos indivíduos e instituições, como a LGPD.
A Lei Geral de Proteção de dados (Lei nº 13.709/2018) nasce com o objetivo de conter riscos relacionados ao tratamento de dados.
O adiamento da vigência da lei, em função da crise do Coronavírus, aprovou no dia 03 de abril de 2020, e entrou em vigor em 1º de janeiro de 2021.
Desse modo, diversas instituições já se preparam para adequar-se aos parâmetros da lei, portanto, conquistam ainda mais a confiança de seus clientes. Pensando nisso, criamos este artigo que poderá auxiliá-lo a compreender alguns dos principais pontos deste marco na regulamentação de dados no Brasil.
Quem será impactado pela lei?
Em primeiro lugar, as pessoas físicas e jurídicas serão impactadas pela lei, nacionais ou não, que ofertam produtos e/ou serviços para o mercado brasileiro ou que monitorem o comportamento de titulares de dados localizados ou coletados no Brasil, independentemente da nacionalidade e local de residência destes titulares.
Há algumas definições e atribuições quanto aos envolvidos na coleta e tratamento de dados que levou em consideração para a compreensão da LGPD:
- Titular: pessoa natural (física) a quem se referem os dados pessoais que serão tratados.
- Controlador: pessoa natural ou jurídica, que realiza a tomada de decisão referente ao tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome do controlador, podendo responder solidariamente por eventuais danos causados ao titular.
- Data Protection Officer: as controladoras e operadores deverão definir um encarregado responsável pelo tratamento de dados pessoais que deverá ter sua identidade e dados de contato divulgados publicamente.
- Agentes de tratamento: o controlador e o operador;
- Tratamento de dados: engloba a coleta, produção, recepção, classificação, utilização, o acesso, a reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais.
Transparência e finalidade legítima
Podemos dizer que um dos pilares da LGPD é a transparência de tratamento de dados, baseado nisso os titulares dos dados têm uma série de direitos com relação ao acesso aos dados coletados e tratados. Os responsáveis pelo tratamento informarão ao titular a finalidade específica do tratamento de seus dados, com quem compartilharão e o motivo do compartilhamento.
As informações sobre o tratamento de dados devem ser claras, objetivas e de fácil acesso.
Portanto, é importante ressaltar que o titular poderá solicitar a exclusão de seus dados a qualquer momento caso tenha o entendimento de que não há a necessidade de informar seus dados. Para isso, é preciso alinhar as finalidades aos dados necessários, evitando o desgaste e possíveis penalidades previstas na lei.
Viagens Corporativas e LGPD
Em alguns setores os impactos da LGPD serão maiores, como o setor de turismo e viagens corporativas. Sendo assim, os meios de hospedagem e transporte têm um alto fluxo de informações pessoais de seus clientes devido à natureza de suas atividades. Desse modo, empresas em que os colaboradores realizam viagens corporativas irão garantir que estes não sejam afetados ao compartilhar suas informações.
Neste cenário, os dados do viajante são escalados algumas vezes e é dever de todos os envolvidos garantir a segurança destas informações.
Fluxo de dados pessoais do viajante:
Governança Corporativa
As práticas de governança corporativa em acordo com a LGPD apresentou de diversas formas.
Todas as atividades relacionadas ao tratamento de dados deverão ser documentadas e instituições, públicas ou privadas, deverão demonstrar seus esforços para adequação à LGPD.
Embora a lei não obrigue a elaboração de relatórios de impacto à proteção de dados pessoais, salvo em determinações realizadas pela autoridade nacional responsável, é uma prática saudável para que a instituição tenha visão ampla sobre seu negócio.
Cláusulas contratuais devem ser criadas ou revistas para que enquadrem o tratamento de dados nas disposições da lei, assim como é importante que as instituições tenham definido o procedimento de notificação de incidentes à autoridade nacional fiscalizadora e ao titular das informações.
Além disso, a criação de um Programa de Compliance em Proteção de Dados Pessoais que definirá o regimento, normas de segurança, padrões técnicos, ações educativas, procedimentos, obrigações específicas dos envolvidos no tratamento assim como mecanismos internos de supervisão e contenção de riscos.
Por onde começar a se adequar à lei?
Há um ciclo que sua empresa pode seguir para implementar a LGPD:
- Entender: compreender a lei e sua finalidade assim como o papel dos envolvidos no tratamento de dados;
- Definir: a pessoa encarregada por um Projeto de Proteção de dados, juntamente à uma equipe multidisciplinar para atuar na proteção de dados, trazendo uma visão ampla e abrangente sobre o tema.
- Mapear: tipos de dados coletados; fluxo de dados – como e por quem coletou, onde irão ficar armazenados, com quem irá ser compartilhado e de que forma; leis regulatórias aplicáveis ao negócio; quem tem acesso ao servidores em que as informações ficam armazenadas (funcionários, departamentos, prestadores de serviços); Contratos vigentes; políticas internas para segurança da informação, retenção e exclusão de dados, gestão de risco e resposta à incidentes; Demais informações pertinentes ao tratamento de dados específicas do negócio.
- Criar: um Programa de Compliance em Proteção de Dados; Canais de atendimento para dar suporte aos usuários em seus direitos previstos na LGPD;
- Implementar: ao implementar um Programa de Compliance em Proteção de dados é importante atentar-se à gestão e segurança da informação, uma vez que podem haver mudanças e novas aquisições de softwares de gestão da informação; o conhecimento dos funcionários é também um ponto crucial, garanta a capacitação deles quanto às normas da empresa e da LGPD; a cultura pode ser um ponto de atrito pois, empresas que não estão habituadas à um ambiente de transparência e informação podem demorar à adaptar-se às mudanças.
- Fiscalizar: todos os estágios do processo de tratamento de dados, assim como as comissões internas responsáveis.
LGPD na Paytrack
Na Paytrack, dada a importância e complexidade da nova Lei Geral de Proteção de Dados, iniciamos a implantação de medidas de proteção.
A seguir você poderá ler na íntegra o relato do CTO Edson Gonçalves sobre as medidas que já vem sendo tomadas:
Edson, como a Paytrack está se adequando à LGPD hoje?
“Iniciamos o estudo do tema e seus reflexos em Setembro de 2019, para ter clareza dos seus impactos em nossos clientes, logo, em nosso sistema e também na operação. Sendo assim, dividimos o tema em 3 frentes:
- Segurança da Informação;
- Procedimentos e contratos;
- Features no sistema.”
Como estas frentes são tratadas?
“Iniciamos com a Segurança da informação, instalando novas aplicações de segurança no nosso ambiente AWS, como WAF (Web Application Firewall) que possibilita analisar e filtrar possíveis ataques a plataforma.
Também aplicamos testes em nossa estrutura para validar o status do nosso ambiente e licenciamos o Site Blindado para monitorar nosso ambiente. Este último aplica um teste de segurança a cada semana, nos fornecendo um selo de site seguro.
Outro ponto bem relevante em relação a segurança é a criptografia dos dados pessoais dentro do nosso banco de dados, sendo padrões reconhecidos e validados pelos nossos clientes.
Estamos na fase da Governança, definir procedimentos e controles para garantir que os dados pessoais estão resguardados.
Sobre as features elencamos 5 pontos importantes [da lei] que vamos atuar no próximo trimestre: Consentimento, Segurança, Confirmação de Existência [dos dados], Relatório de Impacto e Livre acesso.”
Caso você tenha interesse em entender melhor como o Paytrack está se tornando um ambiente cada vez mais seguro, entre em contato com um especialista pelo nosso site.