LGPD
Qual a diferença entre data mapping e data discovery?
O artigo 37 da LGPD diz: “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”.
Portanto, um dos primeiros passos que uma empresa deve fazer é realizar um mapeamento dos processos de negócios que realizam ações de tratamento de dados pessoais e, isto se chama data mapping.
O data mapping além de identificar os processos de negócios que realizam o tratamento de dados pessoais, também vai identificar quais ativos de tecnologias (sistemas de arquivos, bancos de dados, storages, serviços em nuvem, etc) estão envolvidos nos tratamentos dos dados, ou seja, onde os dados pessoais são armazenados e processados por exemplo.
O outro benefício direto do Data Mapping é identificar as ações de tratamento de compartilhamento de dados pessoais com fornecedores e terceiros.
O data mapping vai permitir que a empresa tenha uma visão clara e objetiva sobre as atividades de tratamento de dados pessoais, onde eles são processados e armazenados, e com quem a empresa os compartilha.
Essas são informações fundamentais para entender como os dados pessoais são capturados, processados, compartilhados e armazenados e como é possível prevenir e proteger estes dados de forma efetiva.
O que é o data discovery?
Em geral, o processo de mapeamento de dados (data mapping) faz o levantamento dos processos que tratam dados pessoais e com isto anota-se os atributos de dados pessoais.
Ou seja, quais dados pessoais (nome, CPF, data de nascimento etc.) e dados pessoais sensíveis (raça, opiniões políticas, opção religiosa etc.) são tratados nos processos. Porém, muitas vezes as empresas armazenam e tratam muitos outros atributos de dados pessoais e nem sabem.
O Data Discovery consiste na varredura e descoberta de dados pessoais e dados pessoais sensíveis nos repositórios de arquivos e bancos de dados das empresas. No contexto da LGPD, ele possui duas importantes funções.
A primeira é descobrir os dados pessoais e dados pessoais sensíveis, dar visibilidade de onde estão armazenados e avaliar os riscos de tratamento de dados desnecessários na empresa.
Já a segunda é automatizar as respostas dos direitos dos titulares, pois, sabendo de antemão onde os dados daquele titular estão, é possível criar uma lista de tarefas com os dados pessoais encontrados e então o Encarregado de Proteção de Dados valida estes dados e responde o titular, sem precisar efetivamente fazer solicitações internas de buscas de dados pessoais.
Quer conhecer mais informações sobre data mapping e data discovery? Conte com a Future! Entre em contato com um de nossos consultores agora mesmo e tire suas dúvidas.
Os 6 desafios do Encarregado de Proteção de Dados
Neste artigo escrito por nosso CTO Airton Coelho, fique por dentro das cláusulas mais importantes da LGPD.
A Lei Geral de Proteção de Dados (Lei Federal 13.709/2018) no Art. 5 inciso VII, define o papel do encarregado de proteção de dados para as empresas, conforme o texto abaixo:
Art. 5º Para os fins desta Lei, considera-se:
…
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)
…
Em seguida, no Art. 41., a Lei define algumas das atribuições do Encarregado de Proteção de Dados Pessoais:
…
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
- 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
- 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
- 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
…
Pensando nas atribuições destacas na Lei e, ainda, aquelas que poderão vir em normas complementares a serem editadas pela ANPD, o encarregado terá alguns grandes desafios para desempenhar este papel dentro das organizações.
Posso afirmar que será impossível o Encarregado exercer suas funções o auxílio da tecnologia, mas não estou falando das tecnologias para monitorar, proteger ou detectar possíveis incidentes de segurança, mas estou falando de ferramentas que efetivamente ajudem o dia a dia do Encarregado na gestão da privacidade e da conformidade com as Leis de Privacidade de uma forma geral.
Os Desafios desse profissional:
Para desafiar a pensar sobre o dia a dia de um Encarregado, vamos começar com algumas perguntas sobre temas que ele deverá saber responder:
-
Quantos registros de Dados Pessoais a sua organização gerencia atualmente?
-
Do total de repositórios (Bancos de Dados, Servidores de Arquivos, Sistemas, Serviços em Nuvem, entre outros) que uma organização utiliza, quantos tratam dados pessoais?
-
Uma vez conhecidos os repositórios, como encontrar os dados pessoais e, como associar estes dados a uma identidade ou um indivíduo?
-
Quando houver Dados Pessoais sob a custódia de uma base legal de consentimento, será necessário fazer a gestão desta informação adicional, quantas repositórios estão sobre esta base legal e quanto já possuem funcionalidades prontas para fazer esta gestão?
-
Qual a estrutura que as organizações irão disponibilizar ao encarregado, para que ele consiga exercer as suas atividades?
-
Quantos titulares deverão exercer algum dos seus direitos? Como atender esta demanda? Ou seja, identificar os Dados Pessoais de um Titular nos diversos repositórios e responder o Titular se houver centenas ou milhares de solicitações?
Refletindo sobre cada umas destas questões, o primeiro desafio para o Encarregado é efetivamente conhecer os processos de negócios que capturam e tratam dados pessoais, mas mais do que isto entender onde os Dados Pessoais são armazenados e processados, pois eles podem estar distribuídos em dados estruturados – quando os dados estão dentro de um sistema ou um banco de dados e, podem ser não-estruturados – quando os dados estão dentro de documentos ou planilhas sem uma estrutura padrão ou conhecida. Portanto, o primeiro desafio é saber onde eles estão e como encontra-los, mas mais do que isto, como manter este inventário de dados atualizado constantemente, pois os dados que as organizações processam crescem e se modificam todos os dias.
O outro desafio diante do volume de dados pessoais que podem ser encontrados nas organizações é como correlacioná-los de uma forma, que possamos conectar todos os registros de dados pessoais de um indivíduo, independente do repositório que este registro se encontra. Desta forma, será muito mais fácil de atender a demanda de um Titular, senão o desafio será encontrar os possíveis identificadores do Titular e procurar em cada repositório utilizando o identificador correspondente. Como fazer isto com centenas ou milhares de solicitações e, como consolidar as respostas? Estas demandas serão atendidas pelo Encarregado ou a área de TIC ou compliance quem ajudarão nestas atividades? Será que as organizações estão planejando estrutura ou métodos ou ferramentas para executar isto?
E mais…
São os dados pessoais que possuem como base legal o consentimento. Quando um dado pessoal é capturado e tratado com base no consentimento será necessário fazer a gestão do consentimento, pois o Titular poderá exercer o direito de revogar o consentimento, portanto aquela captura e tratamento deverá ser encontrada e revogada e, em consequência, identificar os dados capturados e, estes, deverão ser removidos.
Recentemente, visitei uma empresa que fornecia acesso à Internet para os seus visitantes e, para que eles pudessem usufruir, eles deveriam preencher um cadastro, consentir e concordar com a Politica de Privacidade, ou seja, uma captura e tratamento de dados tipicamente baseada no consentimento do Titular. Diante disto, questionei a empresa se eles tinham a lista dos visitantes que eles tinham capturado o consentimento no dia de ontem para usar o serviço de internet deles e, se algum visitante voltasse no dia seguinte e revogasse o consentimento, como eles fariam?
Enfim, descobri que na verdade a empresa que prestava o serviço havia apenas modificado o texto do captive portal de autenticação dos visitantes, adicionando as questões relacionadas com a nova Lei de Privacidade e se o usuário autorizava a captura dos seus dados, mas não havia qualquer registro efetivo do consentimento em si e que a única maneira de remover o consentimento seria apagando os dados dos visitantes, mas não teria como registrar a revogação do consentimento. Enfim, faltava ferramenta efetiva para fazer a gestão efetiva do consentimento e, é isto que observamos de uma forma geral para cookies, formulários e outros serviços que capturam dados com base no consentimento – não há gestão.
O Encarregado vai necessitar de uma ou mais ferramentas para auxiliá-lo nas suas atividades, sem nenhuma dúvida. Pois, gerenciar dados pessoais dentro das organizações de uma forma geral é uma necessidade nova e sem conhecimento profundo da quantidade e da dinâmica de como estes dados são utilizados no dia a dia de cada organização.
Revise as perguntas acima e reflita a respeito e veja se consegue responde-las no contexto da organização em que você trabalha.
Um abraço,
Airton Coelho Vieira Jr, MsC
Chief Technology Officer
Por que a LGPD deve orientar a tomada de decisão dos CIOs
Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) é mais do que uma lei de alcance federal, com escopo de aplicação ao poder público e em empresas do setor privado. Os requisitos foram criados como instrumento para fortalecer a privacidade dos consumidores e exige consentimento explícito para coleta e uso dos dados, além da apresentação de opções para o usuário visualizar, corrigir e excluir as informações coletadas.
Essa evolução dos mecanismos de controle tem como base e motivação o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), da União Europeia, os constantes e recorrentes vazamentos de dados pessoais após inúmeros ataques cibernéticos aos bancos de dados de todos os tipos de organizações, aliados ao fato de vivermos em uma economia cada vez mais baseada em dados, com o uso de Big Data, Internet das Coisas (IoT) e inteligência artificial.
A partir de agosto de 2020 a lei entra em vigor e até essa data as empresas devem se adequar e repensar como os dados estão sendo tratados desde o momento da coleta das informações até a disposição final conforme definido pela lei. Trata-se de uma lei rigorosa que pode alcançar multas diárias de até R$ 50 milhões aos negócios que registram informações dos clientes sem sua autorização, ou que os repassem, armazenem sem necessidade comprovada, ou que tenham esses dados vazados de alguma forma.
O volume de dados gerados pela população mundial é de 2,5 quintilhões de bytes diariamente, de acordo com uma publicação realizada pela revista Forbes no primeiro trimestre de 2018. Diante dessa quantidade de dados e um cenário regulador cada vez mais rigoroso, as organizações devem realizar uma análise de risco contextual para identificar quais são as atividades em seus processos que requerem uma adequação e ou implementação da lei. Sendo necessário considerar os processos, sistemas e ferramentas para avaliar como os dados pessoais de seus clientes/usuários são tratados, reforçando a proteção, com responsabilidade e transparência.
Caminhando na direção da economia e na sociedade digital, atualmente 75% dos CIOs de todo mundo consideram que um dos aspectos que mais exige e ocupa suas agendas está em torno do planejamento, execução e monitoramento de mecanismos de segurança cibernética, de acordo com a pesquisa CIO Survey 2019 realizada pela Grant Thornton. Ainda neste detalhado e técnico levantamento, conclui-se que 83% dos líderes dos departamentos de tecnologia incrementaram seus investimentos e gastos em segurança digital.
Casos emblemáticos e recentes de ataques cibernéticos e sequestro de dados à grandes corporações e organizações públicas configuram claramente uma nova preocupação não somente no âmbito da privacidade do indivíduo, mas sobretudo em questões de segurança pública e internacional. Tal cenário vem influenciando não somente aos chefes de estados a se debruçarem cada vez mais sobre segurança digital, como também grandes e médias organizações vêm aumentando seus investimentos em capital humano e financeiro nas áreas de Tecnologia da Informação e compliance.
Quer adequar sua empresa a LGPD? Conte com a Future! Preencha o formulário abaixo e entre em contato conosco.
Fonte: CIO.
Cooperação é a melhor estratégia de segurança!
De acordo com o Instituto Ponemon, o custo médio de violação de dados no Brasil é de R$ 1,24 milhão por empresa. E o custo financeiro não é o único prejuízo. Hoje, qualquer empresa, de qualquer tamanho, enfrenta um desafio que cresce a cada dia: segurança.
Uma falha na segurança cibernética tem efeitos que não terminam com a divulgação e solução do problema. Essa violação causa danos, muitas vezes irreparáveis, na reputação da empresa; e com a LGPD mostrando sua cara no horizonte, as consequências financeiras podem chegar a milhões de reais.
E a verdade é uma só: não existe uma solução que impeça todas as ameaças. Existem soluções que alertam sobre possíveis brechas e ajudam as empresas a consertá-las e, dessa, forma, evitá-las.
Como controlar todos os pontos de entrada simultaneamente e saber que basta uma única brecha para todo esse trabalho ter sido jogado fora? Esse é um dos maiores desafios de qualquer equipe de segurança da informação.
Em um país como o Brasil, considerado pelo Instituto Ponemon, o que mais representa risco de violações, investir em melhores práticas de proteção de dados é o único caminho possível. Contar com uma equipe de segurança da informação e ter um plano de respostas a incidentes são medidas urgentes e prioritárias e é nesse ponto que um outro desafio aparece: a falta de talentos em segurança.
Manter um time que saiba lidar com adversidades não é uma tarefa fácil e mesmo que a empresa já conte com uma equipe bem formada, sempre haverá a necessidade de repor algum funcionário que tenha saído.
Antes de sair para o mercado atrás da peça ideal para montar uma equipe ou repor, é preciso entender quais habilidades e recursos são necessários que a equipe possa executar seu trabalho sem contratempos; se a área de TI tem a infraestrutura necessária para realizar os processos necessários para implementar e executar as medidas de segurança e até mesmo avaliar se esse trabalho pode ser feito internamente ou se não é melhor terceirizar.
Resolvido esse pequeno dilema, outro pode surgir. Muitas empresas mantêm a segurança cibernética e a TI separadas, quando deveriam andar juntas, sob o mesmo guarda-chuva, afinal, ninguém conhece melhor o ambiente de dados como a equipe que o criou e gerencia.
Equipes de segurança e TI devem trabalhar lado a lado para entender os requisitos de desempenho e para que os sistemas essenciais para os negócios se mantenham disponíveis durante todo o tempo. Uma medida de segurança não pode, em nenhuma hipótese, comprometer a disponibilidade.
Como a TI tem conhecimento prático do comportamento e interações dos sistemas de dados, seu papel, dessa forma, é vital para detectar ameaças precocemente.
Mas, para isso, é preciso que tenham as ferramentas necessárias e o entendimento do que deve ser monitorado. É nesse ponto que a cooperação entre as áreas se faz mais importante.
Lidar com falhas de conformidade também podem representar prejuízos significativos. Em um mundo cada vez mais regulamentado – LGPD, GDPR, HIPAA -, as empresas encontram-se obrigadas a atender normas cada vez rígidas de proteção de dados e privacidade, assim, o compartilhamento de informações e recursos entre as áreas de segurança e TI mostra-se uma estratégia inteligente e facilita o gerenciamento e manutenção dos processos de conformidade.
Compartilhar o conhecimento é imprescindível para a segurança da informação. Em um ambiente em que não é possível afirmar que algo seja 100% seguro, e com hackers cada vez mais motivados em encontrar novas e inovadoras formas de invasão, manter uma estratégia de segurança que priorize uma combinação de estruturas, equipes e sistemas garante uma vantagem substancial contra possíveis brechas de segurança.
Se a busca por novos talentos é complicada, promover a cooperação entre TI e segurança da informação é a melhor estratégia.
Quer melhorar a segurança na sua empresa? Conte com a Future! Clique aqui e conheça nossas soluções de segurança!
Fonte: CryptoID.
O que tem em comum GDPR e LGPD?
A similaridade das leis GDPR e LGPD ultrapassam a grafia com siglas de quatro letras. Pioneira na regulamentação e proteção de dados, a General Data Protection Regulation (GDPR) é a lei europeia que entrou em vigor em maio de 2018. Seu objetivo é proteger todos os cidadãos da UE contra a violação de privacidade e dados.
Na América Latina, o Brasil é um dos países com a regulamentação mais atrasada. A Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em dezembro de 2020, chega para fixar parâmetros do mesmo tema da lei européia. No Chile, a legislação de proteção de dados foi decretada em 1999 e, na Argentina, em 2000. Países como Colômbia e Uruguai também seguem avançados quando o assunto é a segurança da informação. Independente do local do decreto, as leis indicam que a proteção de dados é uma necessidade e tendência mundial.
Sobre ataques ou invasão de hacker nos sistemas das empresas, de acordo com a Wired, foi este ano que aconteceu a maior violação de dados da história. Apelidada de ”Coleção # 1” a invasão atingiu quase 800 milhões de emails e senhas, totalizando 2.692.818.238 linhas de milhares de fontes diferentes. A invasão, que foi relatada pelo Troy Hunt, especialista em segurança digital , apresentou mais de 12 mil arquivos, com 87 gigabytes de dados, postados em um fórum hacker. Ela envolveu 772.904.997 endereços de e-mail únicos, além de mais de 21 milhões de senhas únicas, superando os hacks dos vazamentos do Equifax e do Yahoo por uma margem extremamente significativa.
Casos como o relatado por Hunt, do Equifax e do Yahoo, de brechas de segurança, são mais frequentes do que imaginamos. Só em 2018, o site Business Insider publicou uma lista dos 21 maiores episódios de violações revelados, classificados de acordo com o número de usuários afetados.
Para as organizações brasileiras, com a LGPD, além de se adequar a uma nova realidade de segurança da informação, conhecer a legislação sobre consentimento e transparência será essencial. Por mais que pareça distante, dezembro de 2020 não é um prazo longo para que todas as obrigações e responsabilidades criadas sejam atendidas. Há bastante a ser realizado com a intenção de adequar-se às regras da nova lei brasileira.
Diferente da realidade europeia, que implantou a General Data Protection Regulation (GDPR) depois da criação de uma cultura de discussão entre organizações sobre o tema, o mercado brasileiro não terá muito tempo para se adequar ao mercado com nova regulação. Mesmo que a portas fechadas, há uma correria e uma preocupação de empresas com essa adaptação.
Se segurança da informação, brechas de segurança e LGPD ainda forem temas distantes para a sua empresa, calma. Listamos abaixo dois passos essenciais para você inserir no seu planejamento organizacional.
Primeiro passo
É preciso conhecer a legislação sobre consentimento e transparência presentes nas dinâmicas de segurança da informação. A LGPD traz algumas definições tais como:
- Dado pessoal é a informação relacionada à pessoa natural identificada ou identificável;
- Dados pessoais sensíveis são informações de origem racial/étnica, religiosa, política, filosófica, referentes à saúde, vida sexual, genética ou biométrica;
- Titular é a pessoa natural a quem se referem os dados pessoais;
- Controlador é a pessoa que toma decisões sobre o tratamento de dados pessoais;
- Operador é a pessoa que trata dados pessoais em nome do controlador;
- Tratamento é a coleta, processamento, armazenamento, eliminação, dentre tantos outros.
Segundo Passo
Para ajudar na educação digital da segurança da informação, é essencial que as empresas tenham parceiros confiáveis, com revisão de contratos, e acompanhamento diário da gestão dessas informações e adequação às novas regras.
É preciso garantir a conformidade com os regulamentos de privacidade e segurança, gerenciar e controlar ameaças cibernéticas com eficiência, assegurar a segurança e privacidade em toda a cadeia digital (serviços, aplicativos, dados, infraestruturas e terminais) e controlar os impactos de qualquer incidente de segurança ou violação de dados.
Falhas provam que até mesmo gigantes como Google, Microsoft e Facebook não estão a salvo de falta de segurança que podem expor os dados confidenciais de seus usuários.
Adeque-se às leis! Conte com a Future!!! Somos parceiros dos maiores fabricantes de soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.
Fonte: IT Forum 365.
LGPD: controlador e operador devem estar em sintonia para mitigar riscos!
Você já deve ter ouvido falar da Lei nº 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados (LGPD), certo? Desde quando foi promulgada com o objetivo de proteger os direitos fundamentais de liberdade, bem como de privacidade das pessoas a partir dos seus dados pessoais, a LGPD tem despertado diferentes reações pelas partes que compõem a dinâmica.
Por um lado, nas pessoas naturais, essa garantia despertou um sentimento de proteção, haja vista a série de incômodos que sofrem diariamente com abordagens de terceiros que tiveram acesso aos seus dados pessoais de forma não autorizada.
Por outro, nas empresas, a sensação despertada ainda é o desconforto em função da alteração cultural que ela implica, assim como um mar de incertezas (como exemplo, a demora na conversão em lei da Medida Provisória nº869/18, que prorrogou a vigência da LGPD para agosto/2020). Isso suscita perguntas como “será que a lei vai pegar?”, que se tornam mais comum a cada dia.
Mas a grande questão é que, independentemente das inseguranças, fato é que o respeito à proteção dos dados não é passageiro. É mais do que tendência. É um fenômeno global que nasceu com bastante força e que veio para ficar.
No próprio Brasil, no final de 2018, um caso emblemático chamou atenção. Um banco digital que figura dentre os líderes do País acordou o pagamento de uma multa de R$1,5 milhão ao Ministério Público do Distrito Federal em função da perda de dados de clientes em um episódio que veio à tona em maio do mesmo ano.
Ou seja, estamos diante de um prazo desafiador para se adequar à uma realidade que propõe uma mudança sensível que passa por toda a operação de qualquer empresa, desde as internas (que abrange, por exemplo, não apenas os gestores, mas sim todos os colaboradores), até as terceirizadas e realizadas em parcerias em geral.
Uma organização que falha nas medidas de segurança adequadas pode ser responsabilizada por negligência, independente da esfera e do nível em que o problema ocorrer.
Em relação aos parceiros, destaca-se a figura do operador, que pode ser pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (a quem competem as decisões referentes a tal tratamento).
Conforme disposição da LGPD, o operador responde solidariamente pelos danos causados quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador. Ou seja, o titular dos dados pode acionar judicialmente um ou outro, conjunta ou isoladamente, para buscar responsabilização e o ressarcimento do que lhe foi causado em descumprimento à LGPD.
Ainda, o controlador que estiver diretamente envolvido no tratamento do qual decorram danos ao titular dos dados também responde de forma solidária junto com o operador pelo que for causado por esse último.
Temos aí um ponto sensível: a escolha e contratação da figura do operador, sendo recomendável que o controlador exija daquele comprovações de cumprimento à LGPD. Ou seja, aqueles que mais cedo estiverem em compliance com a legislação, mais oportunidades de negócios terão, pois poderão se destacar no mercado e trazer segurança aos potenciais parceiros na possível contratação.
Importante dizer que o tratamento de dados pessoais será irregular quando não atender as disposições da legislação ou quando não fornecer a segurança que o titular de dados pode esperar do referido tratamento, considerando o modo de realização do tratamento, o resultado e os riscos razoavelmente esperados, bem como as técnicas de tratamento de dados pessoais disponíveis à época de sua realização.Daí nascem dúvidas como seria necessário comprovar culpa ou dolo do controlador ou operador (responsabilidade subjetiva), ou bastaria ao titular de dados demonstrar uma ação ou omissão pelo controlador/operador que acarretou um dano ao titular dos dados (responsabilidade objetiva)?
Conforme o texto da LGPD, o controlador ou o operador apenas não serão responsabilizados se demonstrarem que: (a) não realizaram o tratamento de dados pessoais que lhes é atribuído; (b) embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (c) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. A partir da análise das excludentes de responsabilidade do controlador e do operador, é possível concluir que essas acabariam por afastar,por completo,o nexo de causalidade entre a ação/omissão e o dano causado ao titular de dados, fato característico de quando está se tratando da responsabilidade objetiva.
Ainda assim, não há como negar que a excludente de responsabilidade de culpa exclusiva de terceiroacaba por alargar o rol de defesa do controlador e do operador em detrimento do titular de dados, ao permitir a discussão e prova quanto à configuração da culpa de terceiros estranhos à atividade.
Contudo, não parece de acordo com espírito trazido pela LGPDque a jurisprudência se incline no sentido de admitir qualquer responsabilidade de terceiro, sendo mais coerente que tal discussão apenas seja cabível em relação a riscos externos ao negócio, ou seja, quando não seria razoável esperarque o controlador ou o operador assumissem o referido risco, sendo tal ação/omissão de terceiro totalmente estranha, inevitável e imprevisível para o negócio.
A infração à LGPD pode acarretar penalidades de até R$50 milhões por infração, assim como a obrigação da empresa publicizar a ocorrência, trazendo inevitáveis problemasde reputação. Todo esse cenário ilumina então um aspecto fundamental no processo de adaptação: não basta conhecer os seus riscos, mas sim agir para mitigá-los, sendo tal mitigaçãotão importante quanto escolher o parceiro comercial que tenha em evidência a mesma preocupação e o mesmo propósito.
Quer se adequar a LGPD? Conte com a Future! Preencha o formulário abaixo e entre em contato conosco.
Fonte: Computer World.
Transição para LGPD gera a confiança necessária em segurança da informação
Com os objetivos de dar aos cidadãos e residentes europeus formas de controlar os dados pessoais e de unificar o quadro regulamentar dos membros da União Europeia e Espaço Econômico Europeu, o Regulamento Geral sobre a Proteção de Dados (GDPR) deu início à uma onda de melhores medidas para a segurança de dados em diversos países. Aprovado em 15 de abril de 2016, mas entrando em vigor apenas em 25 de maio de 2018, o conjunto de leis busca garantir a privacidade e proteção de informações pessoais e prevê multas de até 4% do faturamento total da empresa que não estiver de acordo com as novas regras.
Porém, os reflexos da GDPR começaram a serem sentidos para além da União Europeia. Isso porque, o regulamento deve ser seguido por toda e qualquer empresa que armazena dados de cidadãos europeus, independente de onde a companhia opera. Isso fez com que inúmeros países se adequassem às novas leis e, consequentemente, pensassem em como as informações pessoais eram geridas dentro de casa. Como reflexo, os anos seguintes ao anúncio do novo regulamento viram aparecer conjuntos de leis semelhantes em outras regiões.
Na América Latina, países como México, Colômbia, Argentina, Chile e Peru se juntam ao Brasil entre aqueles que aprovaram os próprios regulamentos para a gestão de dados pessoais. Por aqui foi criada a Lei Geral de Proteção de Dados Pessoais (LGPD), ratificada no dia 14 de agosto de 2018, que determina como as informações dos cidadãos podem ser coletadas e tratadas, e que prevê punições para transgressões de até 2% sobre o lucro da empresa, com teto máximo de 50 milhões de reais.
Segundo estudo da IDC Brasil, 70% das PMEs nacionais enfrentam dificuldades na jornada digital, e garantir a segurança da informação é um desses desafios. No entanto, o tempo para se adequar às novas regras já está correndo. As empresas brasileiras têm até agosto de 2020 para adequar todos os processos de armazenamento, processamento, acesso, transferência e divulgação dos dados as regras da LGPD. Para fiscalizar o mercado, o governo brasileiro criou, no final de 2018, a Agência Nacional de Proteção de Dados (ANPD), órgão que responde diretamente à Presidência da República.
Esses regulamentos representam um período de transição, do qual sairão empresas mais conscientes sobre a importância da segurança da informação. Para atravessar esse processo sem grandes contratempos, as companhias devem apostar em soluções que estejam atualizadas de acordo com os requisitos de cada lei, o que traz benefícios a curto e a longo prazo. De imediato, as ferramentas ajudam a promover uma cultura de segurança no ambiente de trabalho e, no futuro, a evitar multas por falta de compliance.
Porém, diferentes interpretações do que é ou não é informação pessoal fazem com que as leis estejam em constante debate, e passíveis de mudança. No Brasil, a LGPD não faz nenhuma menção direta às imagens coletadas por vídeos de monitoramento, o que gerou um alerta entre empresas de monitoramento de vídeo.
Com a evolução do setor e a aplicação de tecnologias como cloud computing para transmissão e armazenamento, abre-se uma brecha na interpretação da legislação. Por exemplo, empresas que possuem soluções de câmeras inteligentes, capazes de detectar movimentos e pessoas com sensores, podem ser afetadas se um vídeo que identifica um indivíduo for considerado como dado pessoal.
Para não correr riscos, é necessário ficar atento às mudanças que a LGPD pode sofrer até 2020, ano em que a lei entrará, de fato, em vigor. Dessa forma, é importante utilizar esse período de transição para construir uma relação de confiança com a solução de segurança da empresa, para que a equipe tenha a certeza que, em caso de mudanças na legislação, a ferramenta irá manter a proteção de dados dentro da lei. Encontrar o equilíbrio no investimento de tempo e recursos financeiros para Pessoas – Processos – Tecnologia pode ser o fator determinante para o sucesso na proteção de dados ou pagamento de multas.
Quer adequar sua empresa a LGPD? Conte com a Future! Preencha o formulário abaixo e entre em contato conosco.
Fonte: CIO.
A LGPD chegou. Você sabe onde estão os dados dos seus clientes?
Os consumidores hiperconectados e multicanal do Século 21 trazem para as corporações dois novos desafios: estar presentes em todos os pontos onde eles estão, e cuidar com segurança de todas as informações captadas e geradas por essas interações. Com as legislações de proteção aos dados pessoais – GDPR e LGPD – entrando em vigor no mundo todo, cumprir o segundo desafio é mandatório, porque falhar pode causar perdas financeiras consideráveis.
Para o cumprimento das novas regras de proteção de dados, os líderes corporativos devem se perguntar se estão usando os dados corretamente, diz Katia Ortiz, country manager da ServiceNow no Brasil.
“Devem avaliar se precisam criar novas políticas, se é possível implementar medidas corretivas com base em uma abordagem de risco e se os planos de treinamento com os quais conta sua equipe são suficientes. Com o uso de tecnologias de automatização e soluções baseadas em nuvem, as empresas podem identificar aplicativos que lidam com dados pessoais, fornecer meios para coletar evidências e rastrear a conformidade com todas as regulamentações de maneira simples e eficaz”, diz Ortiz.
O risco de não compliance
Imagine, por exemplo, uma empresa de varejo que, além de lojas físicas, inicia suas operações também no e-commerce. Em seguida, ela decide lançar um cartão de crédito co-branded para os clientes, fazendo para isso parceria com um banco e uma bandeira de cartão. Na continuidade da jornada do seu consumidor, a empresa cria também um programa de fidelidade com pontos e prêmios com diferentes parceiros. E lança um aplicativo móvel.
Agora, imagine um cliente dessa empresa que decide fazer uso da da Lei Geral de Proteção de Dados (LGPD) brasileira, que entra em atividade em agosto de 2020 , ou do Regulamento Geral de Proteção de Dados (GDPR), que protege cidadãos da União Europeia, e solicitar que a empresa de varejo lhe envie todos os dados, interações e informações que armazena sobre ele. Ambas as leis exigem que as organizações demonstrem possuir processos adequados para gerenciar e proteger informações pessoais e que respondam, no prazo máximo de 72 horas, ao pedido de qualquer cidadão. Sob pena de multas pesadas.
“São muitos pontos de contato corporativo e muitos canais recebendo informações de diferentes teores e pesos sobre cada cliente. Para cumprir a lei, a empresa solicitada vai precisar acionar todos os parceiros, que usam diferentes plataformas e várias tecnologias, para recuperar, de cada um, o que existe sobre o cliente, e aí consolidar o relatório”, lembra Willians Medeiros, especialista da divisão Risk e Compliance da ServiceNow.
As novas legislações sobre proteção de dados pessoais e privacidade lançam as empresas em uma jornada com múltiplas tarefas urgentes:
- Elas precisam criar processos para tratar essas solicitações, que incluem procedimentos corretos de como reportar os pedidos à entidade controladora e de como documentar que foram entregues ao solicitante no prazo;
- Elas precisam mapear seu ecossistema para saber onde estão as informações dos clientes, dentro de casa e em parceiros, identificar o que é capturado ou processado em cada ponto e classificar esses dados de acordo com as especificações das novas leis;
- E, finalmente, precisam garantir que seus sistemas, e dos parceiros, lidam com os dados da forma correta. Por exemplo, que tipo de informação precisa ficar anônima, que tipo de informação pode ser distribuída por e-mail, que tipo de informação pode ser armazenada etc.
A solução ServiceNow Governance, Risk and Compliance combina recursos de segurança, TI e risco em um programa de risco unificado criado na Now Platform®. A solução é reconhecida como Líder no Quadrante Mágico Gartner 2018 para Gerenciamento Integrado de Riscos. Ela permite que os clientes possam responder aos riscos do negócio em tempo real por meio de monitoramento contínuo, priorização e automação. A plataforma pode identificar os aplicativos que acessam dados pessoais e fornecem meios para coletar evidências, avaliando a conformidade desses aplicativos em grupos funcionais.
Entre as principais possibilidades da solução, estão:
- Importar requisitos, descrição e gerenciamento de políticas de GDPR e LGPD
- Gerenciar conformidade com o GDPR e LGPD de terceiros
- Avaliações de impacto de proteção de dados (DPIAs)
- Avaliação de riscos e requisitos de gestão
- Requisitos de auditoria e de tópicos de dados
- Mapeamento de Informações Pessoais Identificáveis (PII)
- Notificação de violação de 72 horas
- Painel de controle de proteção de dados (DPO)
Os primeiros passos para as empresas se adaptarem a leis como a GDPR e a Lei de Proteção de Dados, segundo Willians, é entender como elas usam os dados para definir se precisam fortalecer e projetar novas políticas e sistemas para conformidade com a regulamentação.
“Ela consegue priorizar e implementar as principais medidas corretivas usando uma abordagem baseada no risco sozinha? Seus planos de treinamento da equipe sobre proteção de dados são suficientes? Sem a resposta para essas dúvidas, não é possível prosseguir para o plano tático e se adaptar à nova realidade”, lembra Willians.
Quer adequar sua empresa a LGPD? Conte com a Future! Nossos especialistas são certificados junto aos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Preencha o formulário abaixo e entre em contato conosco.
Fonte: CIO.
E-commerce precisa se preparar já para LGPD, alerta ABComm
A Lei Geral de Proteção de Dados (LGDP), que deverá ser implementada a partir de agosto de 2020 no Brasil, vai resultar em mudanças para os mais diferentes setores de mercado, incluindo o e-commerce.
Para a ABComm (Associação Brasileira de Comércio Eletrônico), a nova legislação é positiva, uma vez que traz mais poder aos usuários e penaliza as empresas que descumprirem as regras.
Segundo o diretor jurídico da associação, Márcio Cots, que participou como consultor técnico de discussões sobre o assunto no Senado Federal, as companhias de comércio eletrônico precisam adaptar o mais rápido possível as suas práticas de segurança, compliance e TI.
Além disso, Márcio chama a atenção para a necessidade dessas organizações promoverem treinamentos, modificarem processos e adaptarem documentos para se adequar à LGPD.
Confira abaixo três impactos que a nova legislação terá sobre as empresas de e-commerce e que merecem atenção especial, de acordo com a ABComm:
Coleta e uso só de dados com autorização
A nova legislação impede que dados pessoais sejam coletados ou utilizados sem consentimento do usuário. Para recolher informações usando cookies e outras ferramentas, os serviços de e-commerce precisarão de uma autorização específica por parte dos consumidores. Isso atinge não apenas as empresas que dialogam diretamente com os clientes, mas todas as que, por algum motivo, tiverem acesso aos seus dados pessoais, o que inclui serviços de logística, atendimento eletrônico e muitos outros. “E essa autorização não funciona como um ‘cheque em branco’. As informações poderão ser usadas apenas para a finalidade com que foram coletadas, nada além”, pontua o advogado. “Hoje, as empresas utilizam dados de navegação para sugerir produtos conforme o perfil de cada usuário, compartilhando inclusive suas bases de dados com outros parceiros sem informar ao consumidor. Com a LGDP, este tipo de prática será vetado”.
Mais poder ao usuário
Outra novidade introduzida pela LGDP é que o titular do dado tem o direito de questionar qualquer serviço de e-commerce sobre quais informações pessoais ele armazena e exigir que as mesmas sejam editadas ou excluídas. Pode exigir ainda a portabilidade dos dados. “Isso também difere do cenário que temos hoje. Políticas de privacidade e sistemas de busca terão de ser remodelados”, afirma o advogado.
Penalidades financeiras
A LGDP pressupõe um incremento considerável na fiscalização das empresas por parte da Autoridade Nacional de Proteção de Dados (ANPD), autarquia ligada ao Ministério da Justiça, a fim de evitar o mau uso ou o vazamento de informações pessoais. As penalidades incluem multas que oscilam de 2% do faturamento da empresa até R$ 50 milhões por infração cometida. E não é tudo. “A companhia que insistir em práticas inadequadas pode ter sérios problemas com o ministério público”, informa Cots.
Quer adequar sua empresa a LGPD? Conte com a Future! Somos parceiros dos maiores fabricantes de soluções de segurança, disponibilidade e performance do mundo! Preencha o formulário abaixo e entre em contato conosco.
Fonte: CIO.