O Senado Federal aprovou nesta quarta-feira (26) a vigência da LGPD, a nova Lei Geral de Proteção de Dados (Lei nº 13.709/2018), que regulamenta a forma como as organizações utilizarão os dados pessoais no Brasil, e entrará em vigor em 27 de agosto de 2020.

O que é a LGPD?
• Legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet.
• A LGPD tem como principal objetivo garantir a privacidade dos dados de pessoas físicas compartilhados com as empresas.
• A LGPD foi projetada para garantir que haja mais transparência entre as organizações que coletam e controlam os dados (os chamados “controladores”) e os indivíduos cujos dados pessoais estão sendo coletados (os “titulares”).
Qual o conceito sobre dados pessoais?
• Dado pessoal comum: Toda e qualquer informação que identifique uma pessoa mesmo com vínculo indireto (Nome, RG, CPF, Biometria, fotos, apelido, endereços de IP, etc);
• Dado pessoal sensível: Informações que podem ser usadas para fins discriminatórios (origem racial ou étnica, religião, saúde, opinião política, orientação sexual, etc);

Quais as penalizações aplicadas?
Pode ser desde uma advertência com prazos para a adoção de medidas corretivas até 2% do faturamento no ano anterior limitado a R$ 50 milhões por infração.

Qual a Aplicação da LGPD nas Empresas?
• Tratamento de dados: Coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, entre outros.

Qual o seu papel na LGPD enquanto colaborador de uma empresa?
• Os artigos 46 e 47 tratam sobre a obrigatoriedade de proteger os dados (Segurança da Informação);
• Qualquer pessoa que tenha contato com os dados pessoais deve promover a segurança, precisa, portanto, tomar os devidos cuidados;
• Atenção na divulgação das informações, seja através de e-mails, WhatsApp ou até mesmo uma conversa durante o cafezinho;
• Quais dados eu posso mencionar nesse momento?

Por que devo me preocupar?

1. A LGPD é para todas as empresas;

2. Não são apenas multas – é sobre a imagem;

3. A LGPD mudará a maneira de fazer negócios; seus processos atuais podem se tornar ilegais;

4. É provável que você precise de alterações no contrato com seus fornecedores e clientes;

5. Novos processos de auditoria e novos tipos de funcionários são necessários;

6. A informação no papel também deve ser protegida;

7. Revisão de permissões de acesso – É uma boa prática conceder os acessos visando manter os usuários com o mínimo possível para que consigam exercer suas funções cotidianas, e apesar deste ponto ser muitas vezes menosprezado pelas empresas, ele é de suma importância;

8. Segregação de redes – Como em geral as estações de trabalho são os pontos de entrada utilizados por cibercriminosos para comprometer uma rede, é importante mantê-las separadas dos servidores e demais dispositivos. Essa separação não deve ser apenas física, o ideal é que elas estejam em redes distintas, a comunicação entre elas seja protegida por firewall e com regras restritas para a comunicação;

9. Conscientização dos usuários – Manter todos os usuários da rede, sem exceção, bem instruídos sobre os riscos que eles e a empresa correm, ensiná-los o mínimo de segurança da informação para que eles possam saber o que fazer ao lidarem com e-mails, anexos ou links suspeitos;

10. Backups periódicos – Caso o ambiente tenha sido comprometido e os atacantes não tenham conseguido seu objetivo principal, por exemplo ter acesso aos dados, é possível que eles procurem causar algum dano ao ambiente, tornando certos equipamentos inacessíveis. Ter um backup recente dos dados fará com que quase não haja danos reais ao ambiente;

11. Avaliação do ambiente – Avaliar o ambiente permitirá ter o conhecimento de quais caminhos o dado fará, quem lidará com o dado e onde ele será guardado, tornando a tarefa de protegê-lo bem menos complexa;

12. Softwares atualizados – Manter softwares atualizados e com a última versão dos patches de segurança instalados é essencial, não apenas para o sistema operacional, mas também para as eventuais aplicações e serviços instalados no ambiente. Em caso de comprometimento do ambiente, ter tudo atualizado diminui muito as chances do criminoso achar alguma brecha que o permita acessar os dados;

13. Data Loss Prevention – Esta solução de segurança permite que regras sejam criadas visando impedir que dados saiam do ambiente sem o consentimento dos responsáveis. Vale lembrar que boa parte dos vazamentos de dados ocorre por funcionários insatisfeitos ou por descuidos;

14. Manter os hosts seguros – As estações de trabalho costumam ser as principais portas de entrada para malwares, sendo necessário sempre torná-las o mais seguras possível. Optar por soluções mais robustas que contenham recursos além do antivírus. Estas soluções devem estar presentes em todos os hosts da rede, estações de trabalho, servidores e dispositivos móveis.

 

A Crowe é uma das principais redes globais de auditoria, consultoria e contabilidade, com mais de 42 mil profissionais e 800 escritórios no mundo. No Brasil, está presente nas principais cidades, oferecendo serviços de Auditoria, Impostos, Riscos, Tecnologia, Finanças Corporativas e Contabilidade para importantes clientes locais e internacionais.

Conte com a experiência e excelência de nossos profissionais e entre em contato com a Crowe Macro! Teremos prazer em contribuir com você e com o seu negócio para a tomada de decisões inteligentes e com valor permanente.

Smart decisions. Lasting value.

© 2019 Crowe Macro Auditoria e Consultoria Ltda.
Crowe Macro Auditoria e Consultoria Ltda. is a member of Crowe Global, a Swiss verein. Each member firm of Crowe Global is a separate and independent legal entity. Crowe Macro Auditoria e Consultoria Ltda. and its affiliates are not responsible or liable for any acts or omissions of Crowe Global or any other member of Crowe Global.