Em 2018 foi divulgado o uso indevido de dados pessoais de mais de 50 milhões de cidadãos americanos pela empresa Cambridge Analytica, obtidos através do Facebook.
Esses dados foram supostamente utilizados para definir um perfil psicológico dessas pessoas e enviar propagandas personalizadas com o intuito de influenciar o resultado das eleições americanas.
Embora o debate sobre os direitos que uma pessoa física tem sobre seus dados em ambientes digitais já estivesse em pauta há alguns anos na Europa, este incidente foi o fator decisivo para que a o Regulamento Geral Sobre a Proteção de Dados fosse publicado e, mais tarde, a Lei Geral de Proteção de Dados (LGPD) fosse criada no Brasil.
O objetivo da Lei Geral de Proteção de Dados é cuidar dos direitos fundamentais do indivíduo, principalmente, o direito à privacidade.
Ela busca dar o controle ao dono, ou titular dos dados, para que ele autorize os usos que outras pessoas ou empresas podem fazer das suas informações.
Na prática, isso significa que antes de fazer qualquer tipo de tratamento de um dado pessoal, a pessoa a que aquele dado se refere deve ter entendido e autorizado o procedimento – esta etapa é chamada de consentimento.
Ainda assim, a qualquer momento, o titular dos dados pode requerer a interrupção do processo e exclusão dos dados.
Exceto em algumas hipóteses previstas em lei, a exclusão deve ser feita imediatamente por quem está tratando os dados.
A LGPD estabelece diversas obrigações ao controlador, isto é, a pessoa física ou jurídica que define o que será feito com os dados.
Caso o controlador descumpra essas obrigações, ou, se houver um vazamento de dados e for constatado que o controlador não definiu previamente todos os controles necessários para diminuir os potenciais prejuízos em um evento desse tipo, a LGPD estabelece punições rígidas que podem alcançar milhões de reais.
Além das multas que podem ser de até 2% do valor do faturamento anual (limitadas a R$50 milhões), o controlador dos dados poderá ainda sofrer advertências e, no pior cenário, ser impedido de realizar qualquer atividade que precise do tratamento de dados.
Mas, como se proteger das multas e outras punições estabelecidas pela Lei Geral de Proteção de Dados?
- Identifique os dados pessoais sob sua responsabilidade. Como a LGPD protege os dados pessoais de pessoas físicas é muito provável que todos os processos de negócio sejam impactados em diferentes níveis.
Portanto, o primeiro passo é identificar onde estão distribuídos, armazenados e como são utilizados os dados pessoais – de clientes, fornecedores ou, até mesmo, colaboradores.
- Classifique os dados pessoais, determine a sua finalidade e comunique ao cliente. O passo seguinte requer a classificação desses dados conforme a sua importância, diferenciando, por exemplo, entre dados pessoais e dados pessoais sensíveis. Além disso, é necessário discriminar claramente para qual finalidade aqueles dados foram obtidos e são utilizados.
Por fim, o titular dos dados deve ser comunicado e seu consentimento solicitado para prosseguir ou iniciar um novo tratamento de suas informações.
- Defina um responsável pela proteção dos dados pessoais. Dependendo da sua atividade de negócio, é parte do dia a dia receber constantemente novos dados pessoais. Por isso, é essencial definir quem será o data protection officer.
Ele será responsável por revisar os processos de negócio e garantir que estão preparados para cuidar dos dados pessoais durante todo seu ciclo de vida (do consentimento a deleção).
- Ensine os colaboradores sobre o que são dados pessoais, quais cuidados devem ser tomados e quais as possíveis consequências. A preocupação com o tratamento dos dados pessoais deve fazer parte das funções de todos os colaboradores.
Em muitas empresas eles são considerados a primeira linha de defesa porque estão mais próximos das atividades operacionais e podem detectar rapidamente qualquer comportamento incomum.
- Documente todas as etapas de mapeamento, controle e tratamento dos dados pessoais. Esta documentação será essencial para demonstrar que todas as ações possíveis e adequadas foram adotadas, em caso de um incidente envolvendo o vazamento de dados.
Em alguns casos, ela pode até mesmo fazer com que uma eventual penalidade seja diminuída, causando prejuízos menores à empresa.
A Lei Geral de Proteção de Dados é apenas mais um exemplo de como a tecnologia está presente em todas as atividades modernas, para usos pessoais e comerciais.
Desde que foi divulgada, a LGPD gerou milhares de oportunidades de empregos em diversas áreas: desde advogados até profissionais de cibersegurança responsáveis por garantir a proteção dos dados.
A HackerSec é especializada em serviços de cibersegurança de alta qualidade e prepara as maiores empresas para se protegerem contra os ataques cibernéticos, para saber mais consulte um de nossos especialistas: https://hackersec.com/empresas/