Introdução

Pontos importantes da lei

Fiscalização

Sancionada em 2018, a Lei Geral de Proteção de Dados (LGPD) aumenta a privacidade e proteção de dados pessoais e define o poder das entidades regulamentadoras para realizar a fiscalização das organizações.

Multa

Empresas que não estiverem adequadas após o prazo definido, poderão ser penalizadas com altas multas, variando de 2% do faturamento bruto até R$50 milhões por infração.

Adequação

Todas as empresas deverão adequar os mecanismos de interação com o titular dos dados e garantir segurança de tais informações de forma transparente.

Generalização

empresas de todos os portes, públicas ou privadas, que coletam dados pessoais (sejam de clientes, fornecedores ou funcionários) devem estar de acordo com a legislação e o órgão regulatório será a ANPD (Autoridade Nacional de Proteção de Dados).

Objetivo da Lei

A LGPD tem como objetivo formal “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Adequação Cultural

Trata-se não apenas de adequações de procedimentos e fluxos interno, mas de uma transformação cultural que, por meio da transparência, resultará um impacto reputacional muito relevante, principalmente no que diz respeito à confiança do titular dos dados.

A privacidade dos dados pessoais diz respeito à proteção das pessoas frente ao uso que é feito dessas informações.

Direitos do titular

Alguns dos principais direitos do titular

Clique nos menus para mais detalhes

O titular pode solicitar a confirmação da existência de tratamento, bem como solicitar o acesso aos dados pessoais coletados e obter informações claras sobre a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento.
O titular pode solicitar alterações em seus dados (correções, atualizações e exclusões).
O titular dos dados pode solicitar a exclusão de seus dados dentro de determinado sistema.
Deve ser possível que o titular consiga exportar seus dados pessoais de um sistema para outro.
O titular pode solicitar informações sobre todos os algoritmos que interagem com com seus dados para entender, por exemplo, porque um empréstimo do banco foi negado.

A adequação à LGPD será um processo que envolverá todos os departamentos e colaboradores das instituições, pois será uma transformação cultural na maneira de lidar com os dados que circulam dentro da organização.

Processos

Principais processos de adaptação da LGPD

Todo o ciclo de vida dos dados pessoais dentro da empresa deve ser levantado e analisado pela equipe que garantirá sua total adequação à LGPD, seguindo quatro passos:

1. Identificação


Será preciso identificar quais dados pessoais sua empresa possui, como eles entram nos sistemas, como são armazenados, com quem são compartilhados, além da forma como são excluídos. Nesta etapa também são revistos, por exemplo, todos os contratos que envolvam dados pessoais, pois eles devem conter cláusulas claras sobre consentimento, coleta e finalidade de uso.

2. Mapeamento


Após esse mapeamento minucioso sobre o ciclo de vida dos dados pessoais dentro da organização, são levantados todos os riscos existentes na estrutura atual que elevam a exposição da empresa às duras penalidades previstas na Lei.

3. Prioridades e Tomada de decisão

Cada empresa terá que identificar as adequações necessárias e as prioridades de ação dentro das falhas encontradas, considerando a realidade do cliente e sua capacidade de execução nas esferas tecnológicas(TI), legais(Jurídico) e de compliance(Processos).

4. Identificar riscos e desenvolver um plano de ação

Além de levantar o cenário completo, identificar os riscos e tomar ações de adequação, também estar pronta para colocar o plano em ação, cobrindo os gaps(falhas) encontrados e reduzindo drasticamente os riscos da empresa. Nesta etapa tem inicio a condução, o controle e a governança do ciclo de vida dos dados pessoais dentro da empresa de forma continuada.

É importante observar que a LGPD NÃO diz respeiro somente as DADOS DIGITAIS. Um dado físico tambem pode passar por VAZEMENTO!

Tecnologia

Segmento de Tecnologia da Informação

A Orga Tecnologia tem a estrutura e a flexibilidade necessária para atender empresas no Segmento da Técnologia para a adequação à LGPD. Por isso, as tecnologias apresentadas abaixo são apenas exemplos do que pode ser entregue para que a sua empresa fique em conformidade, de acordo com as necessidades do seu ambiente

Varredura

Varredura de servidores locais e em nuvem, além de estações de trabalho.

Ferramentas

Checagem da configuração das ferramentas atuais em sua empresa

Criptografia

Implementação de solução de criptografia em senhas, arquivos e certificação SSL

DLP

DLP (data loss prevention): Segregação de permissões de acessos

Alarmes

Implementação de alarmes para identificar invasões ou tentativas de acesso indevidas

Backup

Definição (ou revisão) da política de backup de dados pessoais em servidores

Monitoramento

Operação contínua de monitoramento e gestão do ambiente de rede

Pentest

Testes de penetração e vulnerabilidade da rede, teste de antivírus e firewall

Auditoria e controle

Comprovação da origem e do direito de uso dos dados e rastreabilidade dos dados

Firewall

Verificação de regras de Firewall e liberação de portas em servidores e estações

E-mail

Verificação de certificados usados pelo servidor do email e a integridade do servidor de emails

Treinamentos

Capacitação dos colaboradores de como utilizar os recursos internos com segurança

É importante frisar que a LGPD engloba Técnologia, Processos e Jurídico. A ORGA TECNOLOGIA atua somente na área de técnologia, ou seja, mantendo seu parque técnologico PROTEGIDO e com PRIVACIDADE. Cabe a PRÓPIA EMPRESA executar os PROCESSOS e ao seu departamento JURÍDICO, averiguar as formalizações de comunicações e concordancias.

Roadmap

Por onde começar a implementar a LGPD?

  • 1. Diagnóstico Checklist

    Comparar a Situação atual x Exigências da LGPD.

  • 2. Pilares LGPD

    Atender aos três pilares da LGPD, que são Técnologia, diz respeito a todo aparato técnologico utilizado para o tratamento e para proteger dados. Processos, diz respeito a todo processo relacionando dados, desde a coleta, tratamento e interação com o titular. Jurídico, diz respeito a contratos e formalizações.

  • 3. Matriz de riscos e proridade

    São definidos quais problemas serão RESOLVIDOS PRIMEIRO. Atravez de uma análise de PROBABILIDADE x IMPACTO

  • 4. Planos de ação

    Planejamento de quais ações serão tomadas na empresa como um todo para eliminar todos os RISCOS. É IMPORTANTE DEFINIR DATAS E PRAZOS

  • 5. Execução

    Fase de execução do planejamento no passo anterior

  • Auditoria interna para certificação de compliance

    Após a implemantação de todos os processos e tecnologias necessárias, deverá ter uma análise para verificar se a compliance está funcionando nos conformes. Caso seja detectado algum FURO, deverão voltar à PRIMEIRA ETAPA do ROADMAP até corrigir o problema.

Vale lembrar que NÃO necessariamente a LGPD obriga a presença de um DPO(Data Protection Officer), mas sim uma pessoa destinada a responder sobre a privacidade, segurança e controle dos dados. Esse responsável será um colaborador interno da sua empresa que lida diarimente com os dados junto aos colaboradores.

Quer uma consultoria completa?

Entre em contato por Whatsapp ou Ligue pra nós

Petrópolis, Rio de Janeiro

Viscode do Bom Retiro, 307

(24) 99214-0683 / 2245-5177

Seg a Sex / 08:00 ás 17:45

atendimento@orgatecnologia.com.br

Envie-nos a sua duvida a qualquer momento!