A LGPD e os sistemas de segurança

Notícias sobre vazamento de dados está se tornando cada vez mais comum nos meios de comunicação. Empresas como: Uber, Netshoes, Equifax e, recentemente, a rede de hotéis Marriott já tiveram informações de clientes invadidas, afetando 500 milhões de consumidores no mundo a qual já está na lista dos 10 maiores vazamentos de dados da história. Inclusive em dezembro de 2018 foi noticiado uma nova violação e uso não autorizado de referências pessoais da rede social Facebook.

Com o objetivo de prover mais seguridade ao cliente, vários países têm criado leis para combater este ato. Em maio passado a similar lei Europeia GDPR entrou em vigor. O Brasil, preocupado com esta situação, aprovou (com vetos) no dia 14 de agosto de 2018 a Lei Geral de Proteção de Dados Brasileira (13.709/2018), conhecida pela sigla LGPD. Com o intuito de complementar essa lei, no dia 27 de dezembro de 2018, foi publicada a Medida Provisória 869 (MP n° 869), onde inclui a criação da Agência Nacional de Proteção de Dados (ANPD) e está vinculada à Presidência da República e parte do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. A criação desta agência fiscalizadora foi vetada em agosto, do ano passado, mas era solicitada por diversas entidades de classes. As principais funções serão fiscalizar empresas privadas e públicas para garantir o cumprimento da lei e aplicar sanções quando necessário. Este tipo de lei é conhecido globalmente pelo mercado de tecnologia e segurança. A LGPD irá regulamentar e proteger os dados dos usuários no Brasil, que tem sido usados há muito tempouitas vezes com os consentimentos de uso obsoletos ou com as finalidades diferentes das que foram propostas inicialmente. Com esse descontrole, além de possíveis fraudes financeiras, inúmeras pessoas recebem, quase que, diariamente, vários e-mails, ligações e mensagens de diversas empresas oferecendo produtos. Muitas vezes, o consumidor não sabe como elas conseguem ter acesso a estas informações.

O próximo desafio será a adequação do mercado à nova lei que entrará em vigor em dezembro de 2020. Ela será aplicada a todas as empresas, sejam elas, micro ou grandes, incluindo condomínios, clubes, escolas etc. E um detalhe extremamente importante: as multas serão pesadas chegando a 2% do faturamento da empresa limitado a R$ 50 milhões por infração. Os sistemas deverão se adequar à LGPD para garantir a proteção das informações dos clientes, fornecedores, funcionários e terceiros de acessos não autorizados, alteração, destruição ou qualquer outro ato ilícito.

Uma das diversas categorias afetadas serão as de sistemas de segurança, que em sua maioria, retém dados pessoais como nome, endereço, telefone, e-mail, CPF, RG, foto e em alguns casos biometrias como digitais, palma das mãos ou facial. Falando sobre reconhecimento facial, esse tipo de sistema é impactado, uma vez que associa a imagem captada pelas câmeras a um indivíduo, que é o dono dessa informação. Além dos pontos mencionados, as informações de horários de entrada e saída devem ser igualmente protegidas, pois podem ser facilmente associadas ao comportamento do usuário. De acordo com a futura lei, os sistemas devem coletar somente dados necessários para prestar os serviços e com o consentimento de uso. Outros pontos importantes relacionados aos sistemas são:

• os usuários podem ver, corrigir e deletar as informações armazenadas
• dados pessoais devem ser excluídos quando encerrar a relação cliente empresa
• responsável pelas informações deve comunicar qualquer incidente que possa oferecer risco ou dano aos donos

O que as empresas precisam fazer?

A empresas devem garantir a proteção das informações pessoais coletadas, armazenadas e utilizadas para fins comerciais e sociais, sejam elas alocadas dentro das empresas ou em nuvens ou ambas, independente se o sistema é estruturado como ERP, CRM ou RH ou não estruturado como planilhas de cálculos ou e-mails. Os consentimentos de uso devem ser elaborados com textos simples, claros e diretos, bem como administrar e garantir que estão atualizados de acordo com os acessos e uso em vigor.

É sempre bom lembrar que mesmo depois da extensão do prazo de início da LGPD para o final de 2020, as empresas precisam se adequar e o relógio continua girando.

Artigo escrito por: Marcos Gomes, executivo de TI e Segurança da Informação na innovativa Executivos Associados