Brasil,

Sete práticas para garantir a conformidade com a LGPD

  • Crédito de Imagens:Divulgação - Escrito ou enviado por 
  • SEGS.com.br - Categoria: Seguros
  • Imprimir

Arthur - Divulgação Arthur - Divulgação

Por Arthur Dantas Oliveira, especialista em Direito Digital e Compliance da Apura

A Lei Geral de Proteção de Dados Pessoais (LGPD) regulamenta qualquer organização que lide com dados pessoais no Brasil, independentemente de sua localização, setor e tipo de serviço. Descumpri-la pode resultar na suspensão das atividades da organização (caso seja relacionada a dados pessoais), impossibilitando o tratamento de dados e gerando multas que podem chegar a 50 milhões de reais.

Assim, as empresas brasileiras estão moldando suas estratégias de proteção de dados e segurança da informação para se adequar à nova lei.

A abordagem preventiva das atividades de processamento de dados é uma dessas requisições, baseada na avaliação de risco e adoção das melhores práticas de segurança da informação, como o monitoramento de incidentes de segurança e de vazamento de dados pessoais.

Embora a maioria das empresas colete e utilize dados pessoais, normalmente a segurança da informação não é, necessariamente, seu principal know how, necessário para entender e implementar as exigências legais na proteção desses dados.

A LGPD é detalhada e exige que as empresas alterem ou adaptem seus processos de manipulação de dados, visando às melhores práticas de segurança da informação.

Por isso, elencamos sete práticas que facilitarão a jornada rumo à conformidade com a LGPD.

1. Nomear um responsável pela proteção de dados

As organizações que tratam dados pessoais devem nomear um encarregado independente (DPO), responsável pelo tratamento, organização e que reporte diretamente a alta direção do status de segurança dos dados pessoais presentes nos bancos de dados da empresa.

Pela nova lei, o tratamento dessas informações tem o seguinte escopo: toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Ou seja, qualquer informação, mesmo que parcialmente, que possa identificar uma pessoa.

Um dos processos é educar a organização e seus funcionários sobre conformidade, treinar a equipe envolvida no tratamento de dados para manter registros de todas as atividades de tratamento de dados, e realizar auditorias de segurança regulares.

O DPO também atua como ponto de contato entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

2. Mapeie e classifique todos os dados

Para garantir a confidencialidade, integridade e disponibilidade dos dados, uma organização precisa saber quais dados ela possui.

Conduza um inventário de dados para que as partes interessadas entendam a qualidade e o valor dos dados pelos quais são responsáveis.

É mais fácil garantir que os controles de segurança e privacidade sejam adequados e justificados quando os dados estão classificados e sinalizados como informações de identificação pessoal.

3. Preencha uma avaliação de impacto na privacidade

Antes que o tratamento de dados comece, realize uma avaliação de impacto de privacidade.

O relatório de impacto deve identificar riscos da coleta, uso, transferência e tratamento de dados pessoais. Esse é um ponto importante para o pressuposto legal de Privacy By Design e By Default.

O roadmap de como os dados fluem pela empresa é fundamental, incluindo onde e como são coletados; como e onde são usados; por quem, como, onde e por quanto tempo são armazenados; bem como se são transferidos para fora do país, via cloud (nuvem), por exemplo.

O relatório de impacto também exige uma avaliação das atividades para determinar o nível de risco a liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

4. Documentar, manter e fazer cumprir as políticas, procedimentos e processos de privacidade

Os inventários de dados pessoais e o mapeamento do fluxo de dados precisam ser constantemente atualizados para que o DPO saiba quais dados estão sendo tratados, protegidos e qual a base legal do tratamento.

As políticas para proteção de informação pessoal devem abranger as pessoas, processos e sistemas envolvidos nas atividades e onde circulam os dados pessoais, garantindo que estes sejam tratados de acordo com as bases legais e estejam sempre protegidos.

5. Treinar funcionários na LGPD

Os funcionários também devem entender quais são suas responsabilidades para proteger os dados pessoais. A integração e o treinamento da equipe devem estar contidos na política de privacidade da organização, que deve ser implementada.

Qualquer pessoa que manuseie dados pessoais precisa estar ciente da importância de manter os dados seguros e conhecer todos os procedimentos e processos relevantes.

6. Teste os procedimentos de resposta à violação de dados pessoais

A LGPD exige que a organização deverá comunicar à autoridade nacional e ao titular a ocorrência de qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Essa comunicação deve ser feita em prazo razoável, a ser definido pela autoridade nacional. Entendemos que, até a regulamentação formal, a melhor prática é adotar o prazo da Lei Europeia (GDPR): 72 horas do incidente.

Sendo assim, convém testar regularmente os procedimentos de gestão de incidentes e as respostas às solicitações do titular dos dados para garantir que os funcionários cumpram esses prazos.

Eles devem saber como identificar e relatar uma violação de dados internamente, e os passos seguintes para comunicar os titulares e a ANPD.

7. Monitore o vazamento de dados pessoais e incidentes de segurança da informação

A LGPD determina que as empresas devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Isso inclui as boas práticas de segurança da informação.

É preciso adotar procedimentos no caso de vazamento ou incidentes de dados pessoais, não estando a organização à mercê do acaso. É necessário e fundamental que monitore a ocorrência de incidentes ou de vazamento de dados pessoais.

O BTTng é uma ferramenta da Apura, que, entre suas funcionalidades, monitora a ocorrência de vazamento de dados pessoais e de incidentes de segurança da informação, através de pesquisa em fontes abertas de inteligência, como a deep web, fóruns hackers, grupos de mensagens etc.

Em se tratando de proteção de dados pessoais, as empresas precisam estar à frente dos agentes criminosos. O BTTng permite identificar vazamentos de dados pessoais ainda não divulgados e, muitas vezes, desconhecidos da organização.

Isso permite que a empresa tome ações imediatas para proteger seus ativos, corrigir os riscos de segurança da informação, proteger os direitos dos titulares de dados pessoais e, principalmente, demonstrar a conformidade com a LGPD, evitando, assim, as penalidades.

Implemente as melhores práticas da LGPD

Essas sete recomendações compõem a base de um projeto sólido com base legal para a proteção do tratamento e trânsito de dados pessoais.

No entanto, não são tarefas triviais que devem ser realizadas apenas casualmente. A implementação dos controles básicos necessários para atender aos requisitos da LGPD não resultará, necessariamente, em estratégia de manipulação de dados adequada e resiliente.

Investir na adequação à LGPD leva segurança ao negócio, aos consumidores, aos fornecedores e ao poder público, de que a empresa leva a sério sua privacidade e segurança de dados. Isso aumenta a reputação e fortalece os negócios.

A Apura é líder no mercado de inteligência em monitoramento de ameaças, incidentes de segurança e vazamento de dados pessoais, além de ter a expertise na consultoria especializada de conformidade com a LGPD.

Engenharia de Comunicação - Assessoria Apura




Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

voltar ao topo

Adicionar comentário

Aja com responsabilidade aos SEUS COMENTÁRIOS, em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!

Security code Atualizar

Enviar