Conteúdo relevante e atual para MSP’s

Logo Datasafer

| Blog

Se adequar a LGPD: 7 passos para MSPs e empresas de TI

São vários os desafios enfrentados durante a adequação à Lei Geral de Proteção de Dados, e a área de TI exerce papel fundamental nesse processo. Continue no texto e entenda o que é a LGPD, quais são os princípios da legislação, assim como as adversidades da área de TI, além de 7 passos para efetivá-la.

O que é LGPD?

Em vigor desde 2020, a LGPD — Lei Geral de Proteção de Dados (13.709/2018) — determina os parâmetros para o tratamento de dados pessoais no país, baseando-se na defesa dos direitos fundamentais de liberdade e privacidade.

Ela tem como foco criar um ambiente de segurança, através da padronização de regulamentos, de acordo com os parâmetros internacionais existentes, baseados na lei europeia GDPR.

O regimento possui códigos de conduta perante a coleta, o armazenamento e também o tratamento dos dados. Em caso de descumprimento, ainda prevê sanções e multas. Portanto, qualquer empresa que trabalhe com coleta de dados deve se adequar a LGPD, pois todos estão sujeitos a sua aplicabilidade.

O órgão responsável pela fiscalização e regulação da lei é a Autoridade Nacional de Proteção de Dados (ANPD), encarregado de lidar com situações de vazamento de informações pessoais, sejam elas físicas ou jurídicas, e precisa ser acionado em caso de incidentes de segurança.

LGPD foi sancionada em 2018
A Lei Geral de Proteção de Dados foi sancionada em 2018, mas só em setembro de 2020 entrou em vigor.

Além disso, o regimento ainda define o que deve ser feito em casos de violação de dados e como devem ser estruturados todos os processos, incluindo o papel desempenhado por cada parte.

10 princípios da LGPD

Listamos abaixo os 10 princípios que orientam a forma como os dados precisam ser tratados, de acordo com a legislação, e que precisam ser respeitados pelas empresas. Continue a leitura e entenda cada um deles.

1. Finalidade

A LGPD estipula que as empresas não podem mais tratar dados pessoais de forma genérica. Toda e qualquer intenção de uso deve possuir um fim específico, legitimado, explícito e que deve ser informado. 

Em resumo, as empresas devem detalhar qual a finalidade de uso de todos os dados coletados, comunicando previamente ao titular. Outro ponto importante é que, uma vez que os dados sejam coletados, os empreendimentos não podem alterar a finalidade estabelecida previamente, sendo necessário então, uma nova coleta de informações, desde que informadas com antecedência.

2. Adequação

Este princípio se refere à justificativa perante a coleta de dados, ou seja, as informações coletadas precisam fazer sentido para a justificativa apresentada pela empresa.

Para ficar fácil entender, uma empresa não pode pedir as informações do seu cartão de crédito e justificar que esses dados são para o uso de publicidade, por exemplo. Afinal, essa é uma justificativa infundada, já que para essa finalidade o e-mail ou então o número de telefone fazem mais sentido à proposta.

Homem recebendo email de propaganda sem autorização.
As corporações não podem enviar e-mail contendo propaganda sem sua autorização, mesmo em posse do seu endereço eletrônico.

3. Necessidade

Quanto à necessidade, defende-se que os negócios precisam avaliar a sua estratégia de coleta de dados e mantê-la para aqueles que sejam estritamente necessários. Já que quanto mais dados uma empresa coleta, maior a responsabilidade dela sobre a segurança da informação.

Evitando assim, o recolhimento desnecessário que pode prejudicar a própria empresa em caso de vazamento das informações ou incidentes de segurança.

4. Livre acesso

O livre acesso defende o direito irrevogável do titular sobre os dados coletados. A pessoa física proprietária  das informações coletadas tem o direito de consultar seus dados  armazenados pelas empresas.

Além do mais, quando solicitado, as corporações precisam apresentar detalhadamente o que é feito com essas informações, como o tratamento é efetuado e por quanto tempo a base é retida.

5. Qualidade dos dados

A qualidade dos dados diz respeito à “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”.

Ou seja, não basta que a coleta seja feita, a empresa precisa se certificar de manter atualizada suas bases e também ter certeza de que os dados estão sendo utilizados para os fins justificados.

Processo de qualidade dos dados
O processo de qualidade dos dados é indispensável para garantir a confiabilidade e precisão dos mesmos.

6. Transparência

É necessário informar ao titular tudo o que é feito no processo de tratamento de dados. Se são repassados para agentes de tratamento para execução de alguma tarefa, por exemplo. É o princípio que norteia a honestidade.

Da mesma forma, as empresas estão proibidas de repassar os dados coletados para outras empresas ou pessoas que não fazem parte do processo estipulado e informado ao titular.

7. Segurança

É de responsabilidade das empresas a garantia de segurança por meio de procedimentos, políticas e tecnologias que garantam a proteção das informações, mesmo em casos de invasão, como ataques cibernéticos ou ransomware.

Esse também é o princípio que estabelece medidas para a solução de quaisquer problemas relacionados à segurança, como a “destruição, perda, alteração, comunicação ou difusão” dos dados pessoais de suas bases.

8. Prevenção

O princípio de prevenção objetiva que as empresas adotem medidas que sejam capazes de prevenir situações problemáticas durante o tratamento dos dados.

De maneira geral, as empresas devem agir antes que algo aconteça, de forma preventiva e não apenas responsiva, ou seja, depois que um incidente tenha ocorrido.

Manutenção para adequar a LGPD
Quando a manutenção é preventiva, evita-se brechas de segurança.

9. Não discriminação

Alguns dados permitem a identificação do titular, são os chamados “dados sensíveis”, de acordo com a LGPD, eles seriam “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Assim sendo, esses dados mais específicos podem ser utilizados para discriminar ou hostilizar o titular. A lei condena esse tipo de conduta e determina que eles sejam coletados com ressalva, tendo criado regras específicas para dados sensíveis. 

10. Responsabilização e prestação de contas

Este princípio é fundamentado na orientação de que além das empresas terem que se adequar à LGPD e a todos os seus outros princípios, elas também necessitam de comprovação de cada etapa de adoção aos critérios da coleta de dados. 

Logo, as corporações precisam apresentar provas que dão respaldo às atividades em conformidade com a Lei, seja por meio da atribuição dos papéis responsáveis pelos processos, ou então pela apresentação de políticas internas que comprovem a eficácia das ações.

Profissional Controlador dos Dados
Segundo o regimento, quem fica responsável pela prestação de contas é o controlador de dados.

Os desafios de MSPs e empresas de TI

Uma vez entendido os 10 princípios que norteiam os procedimentos de adequação à LGPD, chegou a hora de entender como as empresas de TI ou managed service providers (MSPs) entram nessa história.

Lembra que comentamos sobre a Lei apresentar papéis específicos para os processos de tratamento dos dados? Vamos começar por aí.

Uma dessas funções fundamentais é a do Encarregado dos Dados, ou então, Data Protection Officer (DPO). Essa figura, que pode ser um profissional da organização ou terceirizado, é responsável pelo gerenciamento da privacidade e segurança dos dados. Ele também é encarregado pela criação de normas e procedimentos que auxiliem as empresas a se adequar a LGPD.

O DPO é quem estabelece contato com a Agência Nacional de Proteção de Dados, além dos próprios titulares em qualquer caso. Sendo assim, o DPO vai além do operacional e tem grande importância na tomada de decisões e no gerenciamento dos processos.

Data Protection Officer é importante para adequar a LGPD
O Data Protection Officer é intitulado como o encarregado e pode ser uma pessoa ou empresa terceirizada.

Outro ponto de atenção para os responsáveis pela área de tecnologia da informação diz respeito aos fluxos de informações, assim como os locais de armazenamento. Cabe ao profissional efetivar uma análise de gaps e estruturar as medidas necessárias para mitigar as brechas.

A respeito do vazamento de dados, a empresa de TI precisa adotar políticas de prevenção, começando pela análise da segurança dos softwares utilizados pela empresa, mas que também abarca o treinamento de funcionários e o auxílio na adoção de políticas internas de segurança.

De modo geral, fica claro que o setor de TI é afetado diretamente pelo tratamento dos dados, sendo responsável por identificar e executar as medidas necessárias de adequação. Sem esquecer, fica sob a responsabilidade desses profissionais o acompanhamento contínuo!

Como se adequar à LGPD em 7 passos

Ainda que existam desafios que precisam ser transpostos, tudo pode ser superado na adequação a LGPD desde que você conte com um plano bem estruturado. Separamos os sete passos que vão te ajudar nessa jornada, confira abaixo.

Compliance a LGPD
Estar em compliance com a LGPD é manter as rotinas e processos alinhados na Lei.

Antes de embarcar em um projeto para atingir a conformidade com a LGDP, é muito importante garantir o compromisso da alta administração. Esse é, provavelmente, o fator mais significativo que poderá conduzir as entidades a um projeto de operação e a uma posterior implementação bem-sucedida.

1. Defina a equipe responsável

Caso a sua situação seja a de uma empresa de serviços gerenciados de TI ou MSP, é necessário informar a empresa à qual você se alia que há a necessidade da formação de uma espécie de comitê. Será necessário reunir os responsáveis por cada setor envolvido no projeto, como o RH, o Marketing, e o Jurídico, além do representante responsável pela área de Tecnologia da Informação.

2. Esquematize o fluxo de dados

O mapeamento dos fluxos de dados deve ser constante, ou seja, a cada novo ciclo de coleta, ele precisa ser feito. Esse procedimento visa definir quais são as áreas que se beneficiam dos processos de recolhimento e tratamento dos dados, seja dos próprios colaboradores ou de consumidores e quaisquer parceiros comerciais.

3. Analise os riscos no tratamento de dados

É muito provável que durante o mapeamento do fluxo de dados, os riscos já comecem a se manifestar, muitas vezes pela falta de maturidade de segurança dada nos setores envolvidos.

Identificação de brechas de segurança para se adequar a LGPD
Para seguir com o plano de ação, é indispensável conseguir alinhar todas as brechas e como elas podem ser solucionadas.

4. Defina o projeto de acordo com as necessidades

Após a análise concluída, é hora da definição do escopo do projeto. As etapas anteriores são feitas para a identificação desses fatores, mas a resolução deles só é apontada de acordo com a necessidade de cada projeto específico.

5. Seja transparente

Um dos princípios básicos da LGPD é o da transparência. Para um plano de adequação, portanto, esse passo requer atenção especial. Estruture a comunicação de forma que ela não deixe passar nenhum detalhe.

Lembre-se que é importante comunicar ao titular exatamente o que será feito a partir da coleta e conseguir o consentimento antes que ela seja executada. Caso seja necessário, estude atualizar os termos e defina os responsáveis pela tarefa.

6. Fortifique as políticas de segurança

Já adiantamos um pouco sobre a importância da política de privacidade no passo anterior, mas ele é apenas um dos componentes de uma política de segurança bem fundamentada.

Cloud computing
Geralmente, os pontos que precisam ser reforçados já aparecem na análise de gaps durante a primeira fase do projeto.

Outro documento importante é a política de proteção de dados. Ele define as normas e procedimentos ao longo do tratamento dos dados. O regramento precisa incluir todas as expectativas em relação aos envolvidos no processo de tratamento.

Ainda há outros pontos que podem ser implementados, como a adoção de criptografia, logging de atividades dos operadores, backups específicos para a base de dados e por aí vai.

7. Realize o monitoramento

Assim como vimos anteriormente, o DPO é a figura que exerce a função de monitoramento da base de dados. Porém, ele não trabalha sozinho. Aquela mesma equipe que foi formada durante as fases iniciais do projeto é o Comitê Interno de Proteção de Dados e deve ser acionado sempre que necessário.

A fase de monitoramento é uma espécie de ciclo, afinal, se alguma falha em determinado ponto da cadeia de tratamento de dados for identificada, precisa ser solucionada, tendo que se estruturar novos estudos, planos de ação e implementação das soluções.

Data Protection Officer e a tomada de decisões
O DPO também é responsável pelo aconselhamento na tomada de decisões de qualquer iniciativa envolvendo os dados.

Na etapa de monitoramento, também é de responsabilidade do DPO organizar uma política de tratamento dos incidentes para garantir o cumprimento de requisitos de comunicação às autoridades, isso em caso de vazamentos ou uso indevido de dados pessoais.

Fica evidente os desafios enfrentados na tarefa de se adequar à LGPD, desde MSPs que trabalham sozinhos, até empresas maiores de serviços gerenciados de TI. Contudo, como vimos, com planejamento e as ferramentas certas, essa tarefa pode ser realizada da melhor forma possível.

Esperamos que o conteúdo tenha ajudado a sanar suas dúvidas. Para mais dicas sobre o universo da Tecnologia da Informação, continue acompanhando a Datasafer pelo blog e redes sociais.