PRINCIPAIS IMPACTOS DA LEI GERAL DE PROTEÇÃO DE DADOS NOS SEGMENTOS EMPRESARIAIS

PRINCIPAIS IMPACTOS DA LEI GERAL DE PROTEÇÃO DE DADOS NOS SEGMENTOS EMPRESARIAIS

A Lei Geral de Proteção de Dados entrará em vigor (só não há certeza quanto à data) e com ela uma série de alterações ocorrerão em todas as empresas dos mais variados segmentos. Confira alguns dos principais impactos e dicas de adequação preparadas pela equipe de Tecnologia e Inovação Digital.

Baixe o PDF do conteúdo completo com as principais dicas para adequação.

QUAL O IMPACTO DE UM FLUXO DE GARANTIAS DOS TITULARES DE DADOS EM UMA EMPRESA?

Por Marcos Augusto Romano e Rafael Reis, advogados da Área de Tecnologia e Inovação Digital do escritório Becker

A Lei Geral de Proteção de Dados (Lei 13.709/2018) estabelece uma série de garantias e direitos de titulares de dados, dentre as quais está o direito de acesso aos dados tratados por um determinado controlador de dados.

Os direitos elencados no Art. 18 de referida Lei trarão mudanças no Modus Operandi das empresas, que precisarão de um processo de comunicação clara e eficiente com seus clientes para poder cumprir os prazos da legislação e garantir que o Titular de Dados possa exercer seus direitos. O mesmo vale para colaboradores internos ou informações pessoais comumente inseridas em softwares de gestão de relacionamento com clientes (CRM), sejam eles pessoas físicas ou jurídicas.

Até o momento, não há no Brasil a instalação efetiva de uma Autoridade Nacional de Proteção de Dados (ANPD), órgão que será responsável pela fiscalização nas empresas acerca do cumprimento da LGPD e das rotinas de garantia dos direitos de titulares, que poderão acarretar na instauração de processos administrativos capazes de gerar as sanções previstas na Lei.

Nesse sentido, a prática de mercado tem sido analisar os exemplos do território Europeu com a aplicação da GDPR (General Data Protection Regulation), legislação de proteção de dados aplicável aos países membros da União Europeia e que serviu de base a criação da LGPD brasileira.

A Autoridade Holandesa de proteção de dados aplicou, no dia 07.07.2020, multa de 830mil euros à BKR, empresa responsável por centralizar as informações de Crédito e comportamento de pagamento de cidadãos holandeses. A BKR tinha como prática a cobrança de taxas para garantir a prestação de algumas informações aos Titulares e desencorajava seus clientes a prosseguirem com o pedido de acesso aos seus dados tratados pela Companhia.

O assunto tem ganhado espaço e visibilidade nos mercados com políticas mais consolidadas e sérias relacionadas à proteção de dados e exercício de direitos dos Titulares. No Brasil, mesmo com indefinição acerca da entrada em vigor da Lei Geral de Proteção de Dados e de suas sanções, o assunto está na pauta do Governo e das grandes corporações, que trafegam dados às matrizes localizadas em países cuja legislação de privacidade e proteção de dados é mais robusta. Portanto, são esperadas autuações semelhantes às empresas que não adequarem as suas rotinas para garantir o acesso dos Titulares aos seus direitos.

A prevenção, nesse caso, é estabelecer uma rotina e um fluxo para responder às solicitações de exercício de direitos recebidas após a entrada em vigor da LGPD. Estes tópicos são partes essenciais e integrantes dos melhores Programas de Adequação em proteção de dados.

#inovacaoetecnologiabecker

#beckerdigital

#lgpd

SITES WORDPRESS SÃO VÍTIMAS DE ATAQUES CIBERNÉTICOS

Por Marcos Augusto Romano e Rafael Reis, advogados da Área de Tecnologia e

Inovação Digital do escritório Becker

A plataforma wordpress é o meio mais popular para desenvolvimento de websites, o que a torna um alvo bastante comum de ataques cibernéticos. Apenas no dia 03 de maio de 2020, um mesmo cracker direcionou mais de 20 milhões de ataques a 500 mil sites hospedados pela plataforma, segundo dados obtidos da consultoria Defiant, uma das principais companhias de segurança para sites em wordpress.

O ataque massivo não decorre necessariamente de uma falha na plataforma – inclusive a empresa tem investido fortemente em segurança, com atualizações constantes e desabilitação de plug-ins (extensões colocadas nos sites hospedados na wordpress) vulneráveis. O ataque de maio, por exemplo, foi feito em plug-ins desatualizados, que pararam de ser fornecidos na plataforma, mas que ainda estavam presentes em mais de 3 mil sites desatualizados.

Os ataques remetem a duas temáticas recorrentes na área de Tecnologia: atualizações para manutenção de segurança e a importância de possuir um plano de resposta à incidentes para evitar que os ataques ou vazamentos gerem danos maiores aos Titulares de Dados, especialmente com a iminência de entrada em vigor da Lei Geral de Proteção de Dados no Brasil.

A atualização constante de softwares traz todas as novas camadas de segurança desenvolvidas e implementadas pelos desenvolvedores conforme novas ameaças são identificadas. À medida em que elas surgem no mercado, os aplicativos, softwares e sistemas operacionais desenvolvem respostas para mitigar o impacto dos ataques dessas novas ameaças.

As novas soluções desenvolvidas não eliminam 100% do risco de novos ataques e de invasões. A partir de janeiro de 2021* a Lei Geral de Proteção de Dados (LGPD) regulará o tratamento de dados pessoais por parte das empresas e da própria Administração Pública. Um ataque bem-sucedido que exponha dados de visitantes do site (no caso do wordpress) ou dados tratados por uma empresa configurará violação à legislação e possíveis punições.

Dentre uma série de medidas de boas práticas e Governança de Dados, a LGPD traz como “remédio” a elaboração de um Plano de Resposta à Incidentes (PRI), que faz parte de um Programa de Governança em Privacidade necessário para garantia de respeito aos princípios de transparência, finalidade e segurança.

O PRI deverá conter passos básicos de identificação da ameaça/violação, passo-a-passo de comunicação do incidente ao Titular afetado e à Autoridade, caso necessário, e as medidas tomadas para mitigar os efeitos da violação e para evitar a ocorrência de novas violações.

O mundo virtual também exige cuidados e precauções para manter a segurança das informações e a proteção dos dados pessoais. Com a transformação digital acelerada no último trimestre em razão da pandemia do coronavírus, “digitalizando” diversas empresas e estabelecimentos que nem sempre seguiram à risca os procedimentos adequados em termos de segurança da informação, a atualização de softwares/aplicativos e a  criação de procedimentos de resposta à incidentes serve como diretiva de conformidade e atesta o compromisso da empresa com a boa governança de privacidade e proteção de dados.

* Atualmente a Lei Geral de Proteção de Dados entrará em vigor em maio de 2021, com suas penalidades aplicáveis a partir de agosto de 2021. Contudo, a votação da MP 959/2020 pode alterar esse cenário: se aprovada a MP, a LGPD entra em vigor em sua totalidade em maio de 2021. Se a MP não for votada, a LGPD entra em vigor em agosto de 2020 com penalidades aplicáveis a partir de agosto de 2021.

A GESTÃO DO RISCO E A TOMADA DE DECISÃO NA PROTEÇÃO DE DADOS

Por Marcos Romano e Rafael Reis, advogados da Área de Tecnologia e Inovação Digital

A Proteção de Dados é um tema de debate constante na Europa desde a década de 1990, enquanto no cenário brasileiro a pauta foi recém retomada com a discussão sobre a Lei Geral de Proteção de Dados. A nova lei traz uma série de requisitos que geram novos procedimentos a serem adotados pelas empresas. Como o orçamento não permite adotar todos os caminhos (e mesmo que houvesse o dinheiro, atacar todas as frentes muitas vezes não é a melhor solução), os gestores se deparam com realidades de tomada de decisão para definir quais caminhos serão seguidos.

Tomar uma boa decisão pode diferenciar o seu negócio em termos de competitividade e sucesso. Ela não está necessariamente atrelada à sorte, pois existem fatores chave que permitem, com base nos dados coletados, a opção pelo melhor caminho a ser seguido.

Um desses caminhos é a elaboração de uma matriz de risco, analisando a probabilidade de ocorrência de um risco e o impacto causado à operação em caso de ocorrência de um incidente envolvendo dados pessoais. Essa análise, em termos simples, verifica duas situações: (1) a probabilidade de um risco ocorrer e a (2) gravidade do impacto em caso de ocorrência. No primeiro caso, cuja escala é variável entre “Remota” e “Frequente”, é analisada qual a probabilidade de que uma ação ocorra dentro da organização. Já a segunda escala, por sua vez, define a gravidade de um impacto entre “Baixo” ou “Muito Grave” a depender do tipo de ação/risco analisado.

Ao compilar essas duas vertentes, o resultado gera uma matriz de risco elaborada com riscos variando de “Baixo” a “Inaceitável”. A partir do risco calculado é possível traçar um plano de ação que otimize os recursos da corporação e permita o gerenciamento dos riscos na tomada de decisão.

Considerando a entrada em vigor da Lei Geral de Proteção de Dados em 17 de agosto de 2020, há mais um fator de risco a ser incluído na matriz. A LGPD não possui o intuito de inviabilizar a operação de qualquer organização, mas apresenta uma série de obrigações e providências que deverão ser tomadas antes de agosto, sob pena de aplicação das sanções previstas na legislação ou proibição de transferência de dados pessoais com países que já possuam legislação de proteção de dados (membros da União Europeia, por exemplo).

Assim, o plano de ação traçado após a elaboração de uma matriz de risco deverá focar na remediação dos riscos mais elevados. Gerir os riscos com inteligência permite que o empreendedor utilize um arsenal de informações valiosas para tomada de decisão e a implementação efetiva do projeto de adequação.

Riscos podem ter impactos sobre custo, produtividade, posicionamento no mercado, qualidade e muitos outros fatores chaves de um negócio. Neste contexto, conhecer os riscos é muito mais do que prevenir prejuízos, é também potencializar oportunidades. Não estar adequado à Lei Geral de Proteção de Dados, ou sequer estar tomando alguma atitude que busque essa adequação, equivale a aumentar a chance de prejuízos, sem contar no cancelamento de oportunidades de internacionalização do seu negócio.

A gestão de risco está intimamente ligada com uma tomada de decisão consistente, que por sua vez, é indispensável a uma boa gestão empresarial. No universo de Proteção de Dados, a gestão de riscos torna-se primordial em um Programa de Adequação. Com pouco mais de 5 meses para entrada em vigor da Lei, o fator tempo deverá ser considerado para que ao menos os riscos mais altos sejam mitigados, e os riscos mais baixos devidamente controlados.

Diagnosticar os riscos e traçar os planos de ação corretos para a conformidade com a Proteção dos Dados Pessoais são, mais do que nunca, imprescindíveis para uma tomada de decisão segura e o sucesso a longo prazo da operação.