A Lei Geral de Proteção de Dados, conhecida como LGPD, não é necessariamente uma novidade: inspirado na versão europeia da norma, a GDPR, o projeto brasileiro tramitava nas instâncias governamentais desde 2018. O texto final, aprovado em 2020, deve continuar evoluindo — em uma espécie de versão LGPD 2022.
Nas empresas, os impactos da LGPD precisam ser acompanhados de perto. Primeiro, você deve entender quais são os principais desdobramentos da lei na sua operação. Depois, é provável que seja necessário rever as ferramentas e atualizar os processos, garantindo a lisura das rotinas internas. Os recursos em nuvem, por exemplo, também merecem atenção especial.
Parece complexo? Nada de pânico! No post, você vai encontrar boas respostas para as dúvidas mais comuns sobre LGPD e cloud computing.
Boa leitura e bons insights!
O que é LGPD, afinal?
Desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) já está valendo no Brasil. Aprovada em 2018 e alterada no ano seguinte, a legislação entrou em vigor com algumas ressalvas. As punições, por exemplo, podem ser aplicadas em agosto de 2021.
Inspirada na versão europeia do dispositivo, a LGPD tem o objetivo de assegurar a transparência no uso de dados de pessoas físicas. Por aqui, a lei substituiu o Marco Civil da Internet, aprovado em 2014 e, até então, responsável por regular as tratativas digitais.
A Lei Geral de Proteção de Dados é aplicável às organizações que, em qualquer etapa da operação, interagem (coletando, processando ou armazenando, para citar apenas algumas das possibilidades) com informações pessoais de fornecedores, clientes, colaboradores ou visitantes. Ou seja: dos cadastros comerciais aos relatórios gerenciais, é preciso estar atento às implicações da LGPD.
No contexto empresarial, a nova lei é vista como uma grande catalisadora de mudanças. A partir de agora, ferramentas e processos — do RH ao Marketing, do Compras ao Financeiro — deverão ser revisados e atualizados, garantindo a segurança para manter a conformidade.
Quais são as principais exigências da LGPD 2022?
De forma geral, o principal requisito da Lei Geral de Proteção de Dados é a transparência. É preciso, portanto, que as empresas esclareçam a finalidade do uso de dados pessoais (nome, RG, CPF, endereço e e-mail, para citar apenas alguns) e mantenham políticas adequadas de privacidade e de proteção.
Para além dos processos, porém, as medidas pragmáticas também merecem atenção. “Não adianta ter políticas documentadas e, no dia a dia, pecar na aplicação de medidas efetivas para prevenir e remediar o desvio de dados”, enfatiza Bruno Giordano, Head de Cybersecurity da Ativy Digital. Os crimes cibernéticos, por exemplo, são um risco ainda maior — e mais crítico à reputação das companhias — desde que a nova lei entrou em vigor no Brasil.
Grosso modo, as exigências da LGPD pressupõem:
- a responsabilidade direta do processador de dados, que passam a responder por eventuais violações à legislação de acordo com o tipo de contrato firmado;
- os direitos ampliados dos cidadãos, que podem acionar as organizações a fim de questionar os dados armazenados (solicitando, inclusive, alteração ou exclusão;
- a denúncia de violações, obrigando as empresas a divulgar quaisquer incidentes relacionados à quebra de sigilo dos dados que armazenam.
Na prática, a LGPD deve permear o fluxo de trabalho corporativo. Imagine, por exemplo, que você contrate uma empresa de telefonia para gerenciar as linhas da sua empresa. Com isso, uma série de informações sensíveis — como os nomes e os e-mails dos colaboradores que atendem a ramais determinados — permanecem em poder do fornecedor. A obrigação dele é garantir a integridade e a segurança das informações que envolvem o seu CNPJ.
Se, em algum momento, a companhia terceirizada sofrer um ataque hacker e, como consequência, acabar com o banco de dados roubado, será preciso lidar com as consequências: além de divulgar a ocorrência na imprensa, dilapidando a reputação da marca, multas pesadas podem ser aplicadas pelas instituições de controle.
Parece uma realidade distante? Não se engano: o mesmo acontece no caso da sua empresa, que provavelmente também armazena informações sensíveis de clientes e funcionários. Por isso, é imprescindível que você estabeleça bases legais e mecanismos de controle, evitando punições tangíveis, no caso de multas financeiras, e intangíveis, no caso do valor de marca.
Qual é a relação entre LGPD e cloud computing?
Não é difícil explicar o paralelo entre a Lei Geral de Proteção de Dados e a computação em nuvem. Pense, por exemplo, na função primordial dos recursos de cloud computing: hospedar as aplicações corporativas e armazenar os dados do negócio, conferindo agilidade e performance às rotinas operacionais. Bingo: onde há dados, há LGPD.
“Com a nova lei, é comum que os gestores questionem o nível de controle que têm sobre os sistemas internos e sobre os dados que transitam dentro da empresa. Neste caso, o primeiro passo para blindar a companhia é recorrer a um diagnóstico profundo de riscos, a fim de validar as camadas de segurança”, enfatiza o executivo da Ativy Digital.
A preocupação com a integridade das informações não é apenas válida, mas urgente. No caso da computação em nuvem, em especial, é importante que você possa contar com um fornecedor idôneo, alinhado às exigências da LGPD e capaz de fornecer serviços robustos. Agora e mais do que nunca, vale ficar atento a dois aspectos primordiais…
1. Localização de data centers
A LGPD é uma normativa brasileira, assim como a GDPR na Europa. Logo, tanto as exigências quanto as punições dizem respeito a dados coletados em todo o território nacional, por empresas que operam no Brasil. Quando os dados estão no exterior, não há garantias de cumprimento das diretrizes legais por parte do fornecedor.
“A localização dos data centers pode, de fato, ser um problema. Recentemente, um de nossos clientes acionou a Ativy Digital para viabilizar a migração de dados que, até então, eram mantidos em nuvem pública nos Estados Unidos. Como a legislação americana não é tão rígida quanto a nossa, o risco de infringir a lei sempre existe e não pode ser ignorado”, comenta Bruno Giordano.
2. Soluções de Cybersecurity
Não é difícil perceber que a preocupação com a segurança digital tem tudo a ver com o cumprimento da LGPD. Agora, os esforços para preservar a integridade e a privacidade dos dados devem ser redobrados, evitando prejuízos financeiros e de reputação.
É natural, portanto, que o aparato de cibersegurança ganhe força entre empresas de todos os portes e segmentos. Afinal, por mais que a infraestrutura já conte com recursos específicos de proteção, as aplicações ainda podem apresentar vulnerabilidades graves.
O Brasil é, inclusive, um dos países mais visados para grandes ataques hackers. “Entre os gestores, a questão não é mais ‘se eu for atacado’, mas ‘quando serei atacado’. Buscar parceiros para endossar o combate ao cibercrime é fundamental para se adequar à LGPD, mas é ainda mais indispensável na missão de assegurar a continuidade dos negócios”, finaliza Bruno Giordano.
LGPD 2022: o que esperar?
No que diz respeito à regulamentação, alguns aspectos da Lei ainda não estão consolidados e, por isso, devem passar por um processo de discussão e detalhamento ainda neste ano. Os pontos em aberto versam sobre:
- os direitos dos titulares;
- o encarregado de proteção de dados pessoais (DPO);
- a transferência de dados pessoais;
- as hipóteses legais de tratamentos de dados pessoais.
Outra possível definição esperada refere-se à LGPD Penal. Criado por juristas que defendem a importância da regulação do tratamento de dados na esfera criminal, o anteprojeto — que não consta, até o momento, nas pautas do Congresso e da ANPD (Autoridade Nacional de Proteção de Dados) — já nasceu com um caráter bastante polêmico.
Independentemente dos avanços regulatórios, uma coisa é nítida: a LGPD 2022 é uma realidade e, de certa forma, também uma escolha. A iniciativa de estabelecer processos transparentes, atualizando bases e ferramentas e fim de blindar a operação e, assim, minimizar os riscos de descumprimento da Lei, está nas mãos dos gestores. É hora de agir.