10 minute read
Guia definitivo da LGPD
GUIA DEFINITIVO DA LGPD
Um panorama completo do que as empresas e canais parceiros da Ingram Micro precisam saber e como devem se adequar às exigências da nova lei
Inspirada na General Data Protection Regulation (GDPR), em vigor na Europa, a Lei Geral de Proteção de Dados Pessoais (LGPD – 13.709/18) visa estabelecer para as empresas novas regras de coleta, tratamento, armazenamento e compartilhamento de dados de clientes. Sancionada em 2018, a expectativa é que ela entre em vigor em agosto de 2020.
“A legislação é bastante ampla em seu escopo, sendo aplicável a pessoas jurídicas e físicas, privadas ou públicas, uma vez que regula todo e qualquer tipo de tratamento de dados”, explica Marcos Nehme, Director and CTO Field, Latin America & Caribbean da RSA Security. Ele diz que a lei abraça desde uma simples coleta de currículos até o armazenamento de dados de prestação de serviços.
O foco da LGPD no tratamento de dados pessoais (online e offline) dos cidadãos brasileiros tem como objetivo proteger seus direitos fundamentais de liberdade e privacidade. “No Brasil, as pessoas se preocupam cada vez mais com isso. Mas agora, com a lei, esse cuidado vai passar a ser também corporativo”, explica Leonardo de Barros Barreto, CLS Country Manager Brasil da Ingram Micro.
Marcio Lebrao, Presidente da Symantec Brasil, destaca que as empresas precisarão entender o conceito de dados pessoais, identificá-los em suas bases e garantir que eles sejam preservados. De acordo com ele, as companhias poderão seguir usando as informações existentes, desde que seu uso esteja de acordo com a razão inicial pela qual elas foram coletadas.
Dentro das novas diretrizes, Lebrao explica que será imprescindível que as empresas tenham autorização formal da pessoa para utilizar os dados. Também será necessário estar pronto para deixar de usá-los para fins não relacionados aos seus legítimos interesses ou caso o cliente decida retirar sua autorização de uso.
ITAD Ingram Micro
A Ingram Micro trabalha a Lei Geral de Proteção de Dados Pessoais sob diversos pontos de vista. Um dos destaques é o suporte que ela pode oferecer à etapa de descarte seguro dos dados armazenados pelas companhias em máquinas que não serão mais usadas.
Carla Maia, Senior Business Development Manager, explica que o processo de ITAD da Ingram Micro Brasil permite que os dados das empresas sejam 100% destruídos – garantindo sua irrecuperabilidade. “A Ingram Micro usa um software globalmente homologado e um método seguro para apagar as informações armazenadas.” Para comprovar que o trabalho foi feito com excelência, é emitido ainda um certificado.
Vale destacar que o foco aqui é o hardware. Leonardo de Barros Barreto, CLS Country Manager Brasil da Ingram Micro, explica que o trabalho começa quando as empresas precisam que os dados armazenados em seus dispositivos e equipamentos de TI quebrados ou sem uso não se percam, nem sejam usados de maneira ilícita ou descartados de uma maneira inadequada do ponto de vista ambiental. Com a lei, Martin Garcia-Brosa, Diretor Executivo LATAM da Ingram Micro, espera que as empresas se preocupem cada vez mais com o descarte correto de hardware e dos dados armazenados nele. O ideal também é que as organizações passem a confiar essa ação a empresas e métodos realmente qualificados. “O processo de ITAD assegura ainda que as máquinas sejam eliminadas de forma adequada, sem prejudicar o meio ambiente.”.
Adequação à lei
Felipe Luz, Senior GRC Systems Engineer Brazil da RSA Security, destaca que não existia no Brasil alguma legislação muito clara que tratasse da privacidade de dados pessoais – e, por consequência, da governança necessária para o seu tratamento. “Com isso, as organizações tinham total liberdade para estabelecer seus próprios modelos de privacidade. Ou mesmo não adotar nenhum.”
“Há um legado de compra de dados para envio de spam e mala direta, no qual as companhias usam as informações de clientes sem autorização e de forma indiscriminada”, destaca João Rocha, Business Unit Executive da IBM. De acordo com ele, com a LGPD, as empresas precisam entender que esse panorama vai mudar completamente.
“Haverá ainda uma mudança do lugar onde essa preocupação deve existir. Hoje, o cuidado com os dados está muito nas mãos do TI. Com a lei, ela se expande para outros grupos”, diz Alexandre Vargas, Archer GRC Manager for Brazil & Southern Latin America da RSA Security. Ele explica que a questão deixa de ser limitada – e passa a incluir todos os setores da companhia. Inclusive, os grandes executivos.
Gustavo Leite, Country Manager da Veritas Technologies, ressalta que é imprescindível que as companhias conheçam sua base de dados. “É preciso entender quais tipos de informações você tem, onde estão armazenados, e quem tem acesso a eles. Isso permitirá tomar decisões que garantirão o cumprimento da regulamentação, além de minimizar riscos e custos operacionais.”
Por isso, o correto entendimento da lei é parte essencial da adaptação das empresas nesse sentido. Marcio destaca que é básico investir em um processo de capacitação de toda a equipe. Esse é o primeiro passo para garantir que não ocorram vazamentos por desinformação ou por conta de processos criados antes da nova norma.
A adequação deve ser encabeçada por um grupo de trabalho multidisciplinar – com pessoas de áreas como TI, finanças, jurídico, compliance, comunicação e o board da empresa. “Esse conselho vai entender quem são os atores do processo de adaptação à LGPD e definir oficialmente como a companhia deve coletar, consumir e armazenar dados de terceiros”, explica Rocha.
As organizações também precisam estar preparadas para comunicar incidentes à Autoridade Nacional de Proteção de Dados – órgão federal responsável por fiscalizar os procedimentos da lei – e apresentar um documento com as informações vazadas. A GDPR estabelece um prazo de até 72 horas para se fazer a notificação. Já a LGPD exige apenas que a comunicação seja feita dentro de um “prazo razoável”.
Pense adiante
“A explosão da informação não é novidade em um mundo digital e conectado. O volume desse ativo cresce exponencialmente e gera um cenário que impede adaptações instantâneas ou caseiras”, diz Leite. A LGPD muda totalmente a forma como as empresas gerenciam informações. “Reter dados trata-se, mais do que nunca, de um risco de negócio.”
Nesses 18 meses de prazo para a adequação à lei, não se pode esquecer que o mundo passa pela era da transformação digital. Contexto que já tende a empurrar as empresas à reinvenção e ao investimento em novos comportamentos e novas tecnologias.
Em paralelo, a inovação e o avanço da tecnologia trazem consigo uma série de novos riscos e ameaças virtuais. Rocha lembra que o ativo mais importante das empresas é a sua base de dados. E os criminosos virtuais se aproveitarão das exigências e punições da nova lei para chantagear as companhias.
Daí a importância de trabalhar o quanto antes a integração dos principais setores da empresa dentro de um mesmo propósito. Garantindo que todos estejam capacitados e tecnologicamente amparados para proteger a integridade da base de dados do negócio. “Investir em ferramentas que automatizam processos também é fundamental para suportar essa nova dinâmica”, diz Leite. O ideal é procurar por tecnologias confiáveis, de empresas que possuam uma história de proteção dados e garantia de disponibilidade. Pontos fundamentais para a adequação e sua continuidade.
De outro ângulo, Rocha destaca que é importante também ir além da tecnologia. De acordo com ele, é fundamental avaliar todas as novas possibilidades e os riscos possíveis para entender como a empresa estará pronta para reagir e se portar em cada um deles. “É preciso ter o controle de tudo com muita antecedência. Quem ainda não entrou nesse processo já está atrasado.”
Punição
Vargas lembra que há um calendário para a implementação das exigências da LGPD. “Não se espera que todas as empresas do Brasil estejam de acordo com a lei no dia seguinte que ela entrar em vigor”, diz. Ele destaca que, nesse primeiro momento, a demonstração de que a companhia se dedica a proteger os dados e, em caso de vazamento, está trabalhando para resolvê-lo, já será levado em conta.
Mas se a organização se mostrar negligente, é cabível a punição com multa. De acordo com o texto da lei, essa é uma “multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado [...], excluídos os tributos, limitada, no total, a R$ 50 milhões por infração”.
Apesar do valor exorbitante, Vargas lembra que, em caso de vazamentos, o prejuízo virá de qualquer forma. Afinal, haverá um grande impacto na imagem e credibilidade da empresa no mercado. “A multa é apenas uma forma de estimular o cumprimento da lei.” O Director and CTO Field Latin America & Caribbean da RSA Security destaca que, como fiscal, a Autoridade Nacional de Proteção de Dados é livre para fazer diligências e auditorias e solicitar informações. Outros órgãos como Ministério Público e o órgão de defesa do consumidor, também poderão atuar como fiscais da lei.
Não deixe para depois
O segredo para ter uma adaptação tranquila e eficiente às novas regras é não olhar a LGPD como uma questão apenas de lei e adaptação de TI. “É preciso ir além, e não confiar na pílula mágica. A norma é muito ampla e uma empresa não vai mudar da noite para o dia, é um processo que leva tempo”, destaca Rocha.
A lei dá ao cidadão a garantia de que ele é dono de seus dados – e que as empresas precisam de consentimento para usá-los. Em longo prazo, Vargas destaca que isso vai desenvolver uma grande sensação de segurança no consumidor, que vai ceder suas informações com mais tranquilidade, dentro e fora da internet.
De início, estar adequado às leis vai se tornar um diferenciador de mercado, mas logo será o mínimo exigido por clientes e parceiros. É fundamental estar pronto para proteger os dados de empregados, fornecedores e consumidores. “A privacidade tornou a segurança cibernética uma pauta executiva. O assunto não é mais uma questão essencialmente tecnológica, mas sim uma questão de negócio”, garante o Archer GRC Manager for Brazil & Southern Latin America da RSA Security.
Parceiros
Saiba como os parceiros da Ingram Micro Brasil podem ajudar no processo de adequação e cumprimento da Lei Geral de Proteção de Dados Pessoais.
IBM
A IBM tem um portfólio completo, com soluções diversificadas para ajudar as empresas em todos os momentos da LGPD: da descoberta à implementação, da operação à administração. A companhia oferece o ferramental para não só garantir o dia a dia, mas também para comprovar que o negócio está engajado com a nova lei.
RSA
As soluções de Gerenciamento de Riscos de Segurança da RSA Security podem apoiar as empresas desde o início do processo de adequação. O RSA Archer GRC possui funcionalidades específicas para governança de dados e gestão do Programa de Privacidade, permitindo um mapeamento completo de tratamento de dados, privacidade e riscos. Já o RSA SecurID Suite permite a aplicação de camadas adicionais de proteção a sistemas e dados pessoais e sensíveis da organização. Já o RSA Netwitness Suite oferece o monitoramento constante do ambiente, detecção de impactos à privacidade e uma plataforma para investigação e tratamento de incidentes.
Symantec
A Symantec é o principal fornecedor de Data Loss Prevention (DLP) do mercado. A empresa tem diversas instâncias de proteção contra o vazamento de dados — incluindo soluções On Premises e na nuvem.
Veritas
A empresa reúne na Veritas Enterprise Data Services Platform, um portfólio de soluções para as questões de disponibilidade das aplicações, proteção e recuperação de dados. Com isso, a companhia possibilita que negócios iniciem sua jornada na LGPD de forma estruturada, sem a complexidade das infraestruturas atuais de TI, para elevar a maturidade do gerenciamento do ciclo de vida da informação.