17 minute read
LGPD
Lei Geral de Proteção de Dados Pessoais – LGPD
Como a aprovação da LGPD impacta os sistemas de segurança física?
Advertisement
Lei afeta a forma com que as empresas públicas e privadas captam, armazenam e utilizam os dados das pessoas
Por Fernanda Ferreira com colaboração de Fabio Marques*
Com um mundo cada vez mais conectado, onde as informações levam segundos para serem compartilhadas globalmente, a preocupação com a privacidade e a segurança dos dados pessoais dos cidadãos se tornou uma pauta mundial.
No Brasil não foi diferente. Buscando regulamentar o uso desses dados no país, uma proposta de lei foi debatida por vários anos no Congresso Nacional, e finalmente sancionada em 14 de agosto de 2018, durante o governo de Michel Temer.
Chamada de Lei Geral de Proteção de Dados do Brasil, a LGPD entrou em vigor em setembro de 2020 e regulamenta o uso, a proteção e a transferência de dados pessoais no país.
A lei se aplica para o setor público e para o setor privado, tanto para o meio cibernético como o físico, e tornam essas organizações responsáveis por todo o processo de um dado pessoal dentro da empresa, desde a coleta, tratamento, armazenamento até a sua exclusão.
Com a LGPD o cidadão passa a ser titular dos seus dados, dessa forma uma companhia precisa ter o consentimento explícito para coleta e uso de dados de uma pessoa, além de ser obrigada a ofertar opções para o usuário visualizar, corrigir e excluir essas informações.
As organizações que desrespeitarem a LGPD serão advertidas e multadas. As punições podem chegar até 2% do faturamento da empresas, sob o limite de até 50 milhões de reais, além de poderem ser proibidas parcial ou totalmente de exercerem atividades relacionadas ao tratamento de dados.
Como a LGPD afeta todos os elementos de uma empresa que tratam ou processam dados pessoais, os sistemas de segurança também são impactados pela lei. Todas as empresas que usam CFTV, sistemas de controle de acesso e outras medidas de segurança, devem avaliar como estão atualmente coletando, armazenando e processando dados e se atendem ou não aos novos padrões LGPD.
Como a LGPD se relaciona com os sistemas de segurança?
A LGPD refere-se a qualquer tipo de dado que pode ser usado para identificar um indivíduo. Isso inclui detalhes como nomes, endereço de e-mail e outras informações pessoais que as empresas geralmente armazenam, como CFTV e dados de controle de acesso.
Se um crachá pode identificar um indivíduo, as empresas precisam entender que a maneira como tratam e gerenciam esses dados é importante e não pode ser ignorada.
Não importa se é uma pequena empresa familiar ou uma grande
empresa multinacional, todos os sistemas de segurança usados precisam atender a esses novos padrões.
As companhias com sistemas de controle de segurança precisam avaliar as ferramentas e verificar se elas possuem as funcionalidades para atender às novas regulamentações. É por isso que é importante avaliar e entender como cada parte da empresa está lidando com os dados e se precisam ser alterados.
Como garantir que o sistema de segurança é compatível com LGPD?
Existem algumas etapas iniciais que as empresas podem seguir para começar, como:
Avaliação de Impacto de Privacidade
Fazer uma avaliação de impacto de privacidade. Isso ajuda a garantir que todos os dados pessoais que estão sendo coletados sejam, em primeiro lugar, adequados a sua finalidade e, em segundo lugar, sejam armazenados e processados com segurança.
Processamento e Armazenamento de Dados
Recomenda-se que os dados sejam removidos após um período apropriado e não fiquem armazenados, a menos que seja necessário. Isso evita que as empresas colham dados pessoais desnecessários e os armazenem por muito tempo. Ao fazer isso, as organizações evitam manter grandes volumes de dados pessoais quando não precisam. Pense cuidadosamente sobre quanto tempo você realmente precisa para manter as informações dos seus clientes.
Criptografia
A criptografia e os dados anônimos são muito mais seguros de armazenar. Particularmente com filmagens de CFTV, pensar em como isso é armazenado deve se tornar uma prioridade para as empresas.
Transparência
Um elemento-chave do LGPD que afetará a vigilância e a segurança é a transparência e a intenção legal. Você não pode simplesmente invadir a privacidade das pessoas e dizer que é feito por motivos de segurança. Em vez disso, deve ficar muito claro como e por que você está processando dados. Como uma empresa, você pode monitorar e rastrear funcionários por meio de CFTV e outros sistemas de segurança, mas deve haver uma base legal para fazer isso e deve ser comunicado claramente a todos os funcionários com antecedência.
Rastreabilidade e Responsabilidade
Compreender quem tem acesso e ter o registro de quem acessou é uma parte importante do LGPD. Se pessoas não autorizadas puderem acessar imagens de CFTV, isso poderá se tornar uma enorme violação de dados.
Consentimento
É importante obter o consentimento explícito de um indivíduo antes de coletar e processar seus dados. Isso se aplica a funcionários, clientes e ao público em geral. Deve ficar claro desde o início quais dados estão sendo coletados e se eles fornecem consentimento para isso.
Avaliação Frequente
A LGPD não é passageira, as empresas devem dedicar tempo ao longo do ano para reavaliar sua conformidade com a LGPD e garantir que quaisquer novas operações ou processos de negócios não criem vulnerabilidades na forma como lidam com os dados.
Sistema de Acesso ao Dado
Ter um sistema/aplicação para que o indivíduo tenha a opção do tratamento, para visualizar, ratificar e pedir o cancelamento dos dados.
As penalidades da lei entrarão em vigor em agosto de 2021, o que dá as empresas de segurança alguns meses para estarem totalmente adequadas com a lei e dessa forma não sofrerem graves consequências pelo descumprimento. SE
*Fabio Marques conta com mais de 20 anos de experiência em Segurança da Informação, liderando Centros de Operações de Segurança, Serviços de Inteligência e Contra Inteligência. Atualmente é Chief Product Officer LGPD da Domonet, empresa do grupo Techboard.
Techboard
A LGPD e o mercado de segurança eletrônica
Especialista explica como o mercado de segurança deve se ajustar as novas regras
Por Fernanda Ferreira
ALei Geral de Proteção de Dados (LGPD) foi sancionada e entrou em vigor. Com a LGPD valendo a forma como as empresas e órgãos públicos lidam com as informações pessoais dos usuários precisam ficar muito claras e transparentes, além é claro, de ter o consentimento do dono da informação. A lei vale também para as empresas de segurança que lidam com os dados das pessoas a todo tempo, seja biometria, reconhecimento facial ou monitoramento via imagem. Para falar com mais detalhes sobre a LGPD e cibersegurança, batemos um papo com Fabio Marques, Chief Product Officer LGPD da Domonet, empresa do grupo Techboard.
Revista Segurança Eletrônica: Como a LGPD afeta o mercado de segurança?
Fabio Marques: A LGPD é uma lei brasileira baseada no Regulamento Geral sobre a Proteção de Dados (GDPR), que é uma lei europeia. O princípio dessas leis é proteger a privacidade das pessoas. Por exemplo, quando você vai visitar alguém que mora em um condomínio, você precisa dar os seus dados na portaria para poderem lhe registrar como um visitante. Esses dados que foram pegos, agora com a LGPD em vigor, só podem ser usados para garantir o seu acesso naquele condomínio. Todo o dado que é captado depois da LGPD só pode ser usado para o objetivo que foi captado. Se você faz uma compra online, é a mesma coisa, aquele dado que foi solicitado só pode ser usado por aquela empresa naquele momento da compra online. Antes da lei, a empresa captava o dado e vendia as informações para quem ela quisesse. Então os dados que você forneceu na visita do prédio, foi vendido para uma empresa de marketing para fazer outra atividade. Com a lei isso não pode mais acontecer.
Revista Segurança Eletrônica: E como as empresas e profissionais do mercado de segurança devem se portar agora? Fabio Marques: A primeira mudança impactante para o setor é que o dado coletado só deve ser usado para aquele fim. Se uma empresa está gravando um determinado local,
precisa tomar cuidado, porque agora existe o princípio do consentimento. Todo dado que uma empresa vai captar de alguém, precisa receber o consentimento daquela pessoa. Isso significa que se a empresa vai registrar a biometria, os dados, a imagem do rosto, será necessário obter uma autorização para isso. Isso impacta toda a cadeia da segurança física, porque as empresas vão precisar avisar que estão captando os dados e o que eles vão fazer com eles. O segundo ponto importante é que a pessoa pode pedir o esquecimento do dado. Então, se você fez uma compra online, por exemplo, você pode pedir para eles apagarem todos os seus dados. Isso é uma coisa nova que a lei traz e que impacta todo o universo de segurança.
Revista Segurança Eletrônica: Acredita que essa lei irá ajudar ou prejudicar o mercado?
Fabio Marques: A lei é muito benéfica. Os nossos dados estavam sendo vendidos de uma forma totalmente sem controle na internet. Você consegue perceber isso pelo volume de propagandas que recebe todos os dias, e-mails de diversos tipos de produtos, não havia um controle efetivo sobre os dados. Eles podiam fazer todo tipo de campanha e isso fere a individualidade, tira a privacidade, por isso a lei precisava ser feita. A forma como a LGPD está hoje não é precisa ainda de definições e adequações que serão esclarecidas pela ANPD, mas é um primeiro passo importante para a privacidade no Brasil. A lei europeia começou em 2018 e já está sofrendo ajustes porque precisa ir se adaptando as mudanças do mundo. Haverá vários problemas que vão ser gerados que vão ter que ser melhorados na lei, mas eu acho que no aspecto geral foi muito positivo.
Revista Segurança Eletrônica: Você, que já atua há 20 anos na área de segurança cibernética, percebeu um aumento nos últimos meses das empresas procurando por especialistas nesta área?
Fabio Marques: Sim, a demanda vem aumentando a cada dia mais. A minha empresa tem crescido bastante por causa disso. Eu presto consultoria sobre segurança da informação e também faço testes de invasão, teste de segurança, ou seja, faço toda a parte do hacker ético. As empresas nos procuram para saber se a companhia deles está segura e isso faz parte de LGPD. Antes, atendíamos somente grandes empresas. Hoje nós vendemos para empresas com 20, 30 funcionários, porque a intenção do teste é saber qual é o risco no mundo digital que a empresa está correndo, uma vez que a LGPD vai proporcionar a o correto tratamento dos dados mas com privacidade e necessitando que a empresa tenha uma base segura dos dados não quer dizer que você tem segurança. A cibersegurança vem para realmente mostrar se tem um problema e onde está essa falha, como nos sites de vendas ou no notebook dos colaboradores, ela traz uma visão técnica do problema. SE
A LGPD está em vigor. Sua empresa já está adequada?
Por Luiz Felipe Ferreira
Desde o mês passado, a Lei Geral de Proteção de Dados (LGPD) está em vigor. Trata-se de uma lei federal que regula o tratamento dos dados pessoais por empresas públicas e privadas, trazendo mudanças na coleta, no uso e no armazenamento dos dados, visando proteger a privacidade dos indivíduos.
O tema ganhou destaque nos últimos anos após diversas divulgações de vazamento de dados por empresas, onde milhares (em alguns casos milhões) de dados pessoais foram indevidamente disponibilizados na internet. Além dos casos no exterior, diversos casos também ocorreram no Brasil.
Os Dados Pessoais
A LGPD considera que um dado pessoal é qualquer informação ou conjunto de informações combinadas que permitem a identificação de uma pessoa natural. Portanto, informações como nome completo, CPF, RG, endereço e outros passam agora a estar sob o escopo da lei e precisam ser protegidas contra violações de dados, sejam elas intencionais ou não.
A lei ainda cita uma categoria especial, chamada dado pessoal sensível, referente a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Nesta categoria, além da identificação, há a possibilidade de haver discriminação do indivíduo.
Os Dados Biométricos
No mercado de segurança, o uso de dados biométricos vem aumentando a cada ano, principalmente pelas vantagens na autenticação de sistemas e também pela comodidade.
Sabemos que existem diversos tipos de biometria, sendo os mais comuns a facial, a impressão digital e a voz. E que são muito utilizados na monitoração de ambientes.
O artigo 11 da LGPD exige que o tratamento de dados pessoais sensíveis (como a biometria) somente poderá ocorrer quando houver o consentimento do titular dos dados ou o responsável legal.
Quando não houver o consentimento, poderá ocorrer em alguns casos como o cumprimento de obrigação legal ou regulatória, realização de estudos por órgão de pesquisa, proteção da vida, tutela da saúde, tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos e na garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Pode ser necessário rever os processos internos para garantir que o tratamento de dados pessoais está sendo realizado em conformidade com a lei.
Violação de Dados
A Lei Geral de Proteção de Dados visa proteger os indivíduos da exposição dos seus dados devido a uma violação dos mesmos, uma consequência de um incidente de segurança da informação, intencional ou não.
O Brasil aparece nas primeiras posições dos países que mais sofrem ataques cibernéticos. Os criminosos brasileiros são conhecidos por sua criatividade e tem a seu favor uma legislação frágil em termos de punição e muitas empresas com baixo nível de maturidade nos controles de segurança.
A lei exige a utilização de utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais, prevenir a ocorrência de danos em virtude do tratamento de dados pessoais e também a demonstração que tais medidas são eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. O descumprimento dessas medidas poderá resultar em sanções de até 50 milhões de reais, além do dano de imagem e perda da confiança dos clientes.
Como a empresa deve se adequar?
A adequação a LGPD é uma jornada com diversos passos. Dependendo do tamanho da empresa, talvez seja necessária a contratação de um profissional especializado, conhecido como Encarregado de Proteção de Dados que deve possuir conhecimentos do regulatório, tecnologia e segurança ou de uma consultoria externa para ajudar no que deve ser feito.
É fundamental identificar quais os dados pessoais que são coletados para os seus principais processos de negócio. Em seguida, mapear e classificar os dados pessoais na sua empresa, verificando a segurança aplicada especialmente no armazenamento e se há o consentimento atrelado. Em seguida, inicie uma análise de riscos de segurança e privacidade.
Com isso, trace um plano de ação (cronograma) para realizar as alterações necessárias. Cada processo de negócio deve possuir uma base legal que permita o tratamento de dados pessoais.
E não menos importante, esteja preparado para responder a uma violação de dados.
Trata-se de um processo cíclico, de constante evolução.
Treinamento e Conscientização
A última dica é o treinamento e conscientização do tema em todos os níveis. Lembre-se que mesmo em pequenas empresas, há dados pessoais minimamente no setor de recursos humanos e em muitos casos, são os funcionários (e não sistemas) que manipulam dados pessoais, portanto eles devem conhecer a LGPD, boas práticas de segurança da informação e saber quais os riscos e impactos no caso de uma violação de dados.
Implementando uma cultura de privacidade e proteção de dados na sua empresa, os novos projetos nascerão com a preocupação de adequação com a lei, trazendo economia de tempo e dinheiro, além do aumento da confiança dos seus clientes.
Afinal, todos nós somos titulares de dados! SE
Luiz Felipe Ferreira
Data Protection Product Owner no Itaú Unibanco.
LGPD no cenário da segurança eletrônica
Por Fernando Almeida
ALei Geral de Proteção de Dados (LGPD) chegou em um momento desafiador para o país – em meio à pandemia – e será aplicada por empresas de todos os tamanhos e setores. A proteção de dados é uma prática positiva, que materializará o respeito e, principalmente, o cuidado que devemos ter com as informações dos clientes.
Em nosso cenário – o setor de segurança eletrônica - o desafio é grande, pois além dos dados, também lidamos com imagens. Desenvolvemos uma estrutura adequada à LGPD integrada às soluções de analíticos de áudio e vídeo com inteligência artificial, controle de acesso, entre outras inovações que controlam com precisão dados confidenciais de clientes e parceiros. Instaladas em locais estratégicos, câmeras são importantes aliadas aos sistemas que colocam empresas em conformidade com a Lei Geral de Proteção de Dados.
A exploração de dados motivada pelo apelo comercial fez com que companhias ultrapassassem os limites e agissem de forma desenfreada ao ceder dados de clientes para empresas terceirizadas e até internamente. Hoje, a informação é o grande ouro das companhias e não há problema em analisar dados para ser mais assertiva na oferta. No entanto, obter o consentimento do dono da informação, ter cuidado e usar esse dado com prudência é fundamental para estabelecer uma relação ética e transparente com o cliente.
Na AVANTIA, instituímos uma Política de Segurança da Informação para intensificar o cuidado com os dados, que já era em nível avançado, pela sensibilidade da área. Nessa política, os documentos classificados como restritos ou confidenciais possuem acessos controlados e auditados. Também contamos com um comitê interno para assuntos relacionados à LGPD. O comitê é responsável por mapear os processos, analisar quais dados pessoais serão armazenados, checar periodicamente eventuais pontos críticos inerentes ao tema e realizar as adequações.
Em relação aos contratos com clientes, eles não oferecem guarda, transferência ou armazenamento de dados, que são os principais pontos de atenção relacionados à LGPD. As imagens não ficam gravadas na infraestrutura da AVANTIA. Os operadores de videomonitoramento têm acesso, apenas, aos fatos que demandam intervenção, detectados pelos analíticos de vídeo, para que executem o plano de ação pertinentes a esses eventos.
No nosso ambiente, temos vários controles implantados para atuarmos em compliance com à LGPD. Entre eles, os principais são: • Restrição controlada com biometria para acesso ao ambiente de videomonitoramento; • Proibição do porte de celular ou outros dispositivos de gravação dos colaboradores que atuam nesse ambiente; • A rede do ambiente de videomonitoramento é separada da rede da AVANTIA; • Aplicação de recursos físico e lógico para acesso ao ambiente de TI; • O tráfego de informações entre clientes e a AVANTIA contam com a VPN (Rede Privada Virtual) criptografada.
Essas medidas foram pensadas para reforçar a segurança dos nossos clientes e aplicar internamente aquilo que entregamos com maestria – segurança inteligente. A nossa infraestrutura de TI é equipada com inovações que vão além da entrega convencional de segurança. Atuamos com Inteligência Artificial que nos ajuda a evoluir como empresa. E sempre seguiremos a premissa de que segurança nunca é demais, muito pelo contrário, é o recurso mais importante para comprovar a idoneidade de uma corporação. SE
Fernando Almeida
É formado em Análise de Sistemas e MBA em Gestão Empresarial. Iniciou sua carreira profissional na área de TI, com forte atuação na área de Telecom, Redes e Security. Atua como gestor de TI na Avantia Tecnologia e Segurança desde 2018, responsável pelas áreas de Security e Cloud.
