LGPD e o impacto no mercado de segurança

Por Fernanda Ferreira com colaboração de Fabio Marques*

Com um mundo cada vez mais conectado, onde as informações levam segundos para serem compartilhadas globalmente, a preocupação com a privacidade e a segurança dos dados pessoais dos cidadãos se tornou uma pauta mundial.

No Brasil não foi diferente. Buscando regulamentar o uso desses dados no país, uma proposta de lei foi debatida por vários anos no Congresso Nacional, e finalmente sancionada em 14 de agosto de 2018, durante o governo de Michel Temer.

Chamada de Lei Geral de Proteção de Dados do Brasil, a LGPD entrou em vigor em setembro de 2020 e regulamenta o uso, a proteção e a transferência de dados pessoais no país.

A lei se aplica para o setor público e para o setor privado, tanto para o meio cibernético como o físico, e tornam essas organizações responsáveis por todo o processo de um dado pessoal dentro da empresa, desde a coleta, tratamento, armazenamento até a sua exclusão.

Com a LGPD o cidadão passa a ser titular dos seus dados, dessa forma uma companhia precisa ter o consentimento explícito para coleta e uso de dados de uma pessoa, além de ser obrigada a ofertar opções para o usuário visualizar, corrigir e excluir essas informações.

As organizações que desrespeitarem a LGPD serão advertidas e multadas. As punições podem chegar até 2% do faturamento da empresas, sob o limite de até 50 milhões de reais, além de poderem ser proibidas parcial ou totalmente de exercerem atividades relacionadas ao tratamento de dados.

Como a LGPD afeta todos os elementos de uma empresa que tratam ou processam dados pessoais, os sistemas de segurança também são impactados pela lei. Todas as empresas que usam CFTV, sistemas de controle de acesso e outras medidas de segurança, devem avaliar como estão atualmente coletando, armazenando e processando dados e se atendem ou não aos novos padrões LGPD.

Como a LGPD se relaciona com os sistemas de segurança?

A LGPD refere-se a qualquer tipo de dado que pode ser usado para identificar um indivíduo. Isso inclui detalhes como nomes, endereço de e-mail e outras informações pessoais que as empresas geralmente armazenam, como CFTV e dados de controle de acesso.

Se um crachá pode identificar um indivíduo, as empresas precisam entender que a maneira como tratam e gerenciam esses dados é importante e não pode ser ignorada.

Não importa se é uma pequena empresa familiar ou uma grande empresa multinacional, todos os sistemas de segurança usados precisam atender a esses novos padrões.

As companhias com sistemas de controle de segurança precisam avaliar as ferramentas e verificar se elas possuem as funcionalidades para atender às novas regulamentações. É por isso que é importante avaliar e entender como cada parte da empresa está lidando com os dados e se precisam ser alterados.

Como garantir que o sistema de segurança é compatível com LGPD? Existem algumas etapas iniciais que as empresas podem seguir para começar, como:

Avaliação de Impacto de Privacidade

Fazer uma avaliação de impacto de privacidade. Isso ajuda a garantir que todos os dados pessoais que estão sendo coletados sejam, em primeiro lugar, adequados a sua finalidade e, em segundo lugar, sejam armazenados e processados com segurança.

Processamento e Armazenamento de Dados

Recomenda-se que os dados sejam removidos após um período apropriado e não fiquem armazenados, a menos que seja necessário. Isso evita que as empresas colham dados pessoais desnecessários e os armazenem por muito tempo. Ao fazer isso, as organizações evitam manter grandes volumes de dados pessoais quando não precisam. Pense cuidadosamente sobre quanto tempo você realmente precisa para manter as informações dos seus clientes.

Criptografia

A criptografia e os dados anônimos são muito mais seguros de armazenar. Particularmente com filmagens de CFTV, pensar em como isso é armazenado deve se tornar uma prioridade para as empresas.

Transparência

Um elemento-chave do LGPD que afetará a vigilância e a segurança é a transparência e a intenção legal. Você não pode simplesmente invadir a privacidade das pessoas e dizer que é feito por motivos de LGPD 32 segurança. Em vez disso, deve ficar muito claro como e por que você está processando dados. Como uma empresa, você pode monitorar e rastrear funcionários por meio de CFTV e outros sistemas de segurança, mas deve haver uma base legal para fazer isso e deve ser comunicado claramente a todos os funcionários com antecedência.

Rastreabilidade e Responsabilidade

Compreender quem tem acesso e ter o registro de quem acessou é uma parte importante do LGPD. Se pessoas não autorizadas puderem acessar imagens de CFTV, isso poderá se tornar uma enorme violação de dados.

Consentimento

É importante obter o consentimento explícito de um indivíduo antes de coletar e processar seus dados. Isso se aplica a funcionários, clientes e ao público em geral. Deve ficar claro desde o início quais dados estão sendo coletados e se eles fornecem consentimento para isso.

Avaliação Frequente

A LGPD não é passageira, as empresas devem dedicar tempo ao longo do ano para reavaliar sua conformidade com a LGPD e garantir que quaisquer novas operações ou processos de negócios não criem vulnerabilidades na forma como lidam com os dados.

Sistema de Acesso ao Dado

Ter um sistema/aplicação para que o indivíduo tenha a opção do tratamento, para visualizar, ratificar e pedir o cancelamento dos dados. As penalidades da lei entrarão em vigor em agosto de 2021, o que dá as empresas de segurança alguns meses para estarem totalmente adequadas com a lei e dessa forma não sofrerem graves consequências pelo descumprimento.

*Fabio Marques conta com mais de 20 anos de experiência em Segurança da Informação, liderando Centros de Operações de Segurança, Serviços de Inteligência e Contra Inteligência. Atualmente é Chief Product Officer LGPD da Domonet, empresa do grupo Techboard.