Incidente de Segurança na Valid – Um Exemplo da Importância da Adequação à LGPD
Condições em que a Aplicação da LGPD é a Exceção
18 de maio de 2023
Projeto de Lei das Fake News – Como Pode Impactar sua Vida?
1 de junho de 2023
Importância da Adequação à LGPD. Adequação à LGPD é uma das formas de garantir a proteção, privacidade e transparência dos dados pessoais e de seus respectivos titulares, física ou digitalmente, que são pilares básicos da Lei Geral de Proteção de Dados, que está em vigor desde Setembro de 2020.
E por mais que as devidas mudanças sejam providenciadas para o cumprimento de tal Lei, incidentes podem surgir (com chances menores do que as das organizações que não estão totalmente em conformidade com a legislação), reforçando a Importância da Adequação à LGPD, conforme pode ser conferido ao longo deste artigo.
Importância da Adequação à LGPD
Quando uma pessoa física ou jurídica que lida com o tratamento de dados realiza as adequações e implementações fundamentais para o cumprimento da Lei Geral de Proteção de Dados, tem a chance de garantir os seus pilares básicos.
E apesar de não impedir que incidentes ocorram, são importantes para minimizar as consequências e a empresa ser capaz de providenciar as medidas necessárias conforme determina a Lei.
Ou seja, ao passar por um episódio de incidente envolvendo dados pessoais mesmo estando em conformidade com as normas da LGPD, os riscos de maiores complicações e comprometimentos diminuem, assim como as chances de sofrer uma sanção administrativa grave.
Por outro lado, quando uma infração é comprovada em uma empresa atuando em descumprimento à LGPD, a mesma pode sofrer sanção administrativa equivalente a uma advertência, multa, publicação da infração, um bloqueio e uma eliminação dos dados pessoais, entre outras previstas em Lei ou consequências que surjam em razão de uma ação judicial movida por parte dos titulares envolvidos.
Providências Tomadas Diante de um Incidente de Dados
Segundo as normas da Lei Geral de Proteção de Dados, ao identificar ou suspeitar de um incidente, como vazamento ou ataque hacker, é preciso realizar algumas providências, incluindo:
- Informar o setor responsável por coordenar e executar medidas relacionadas aos incidentes cibernéticos;
- Notificar o DPO;
- Acionar os profissionais de TI e de Direito;
- Agir conforme orientações e medidas de segurança internas e externas;
- Comunicar e facilitar a atuação dos órgãos autorizados, tal como, ANPD (Autoridade Nacional de Proteção de Dados);
- Fazer um relatório sobre o ocorrido (medidas tomadas e análise de risco);
- Contatar os titulares para informar sobre o episódio após a investigação ou conforme a indicação de um responsável.
Tal como foi anunciado pela Valid Certificadora ao detectar um comprometimento no setor tecnológico, fazendo com que interrompesse temporariamente os serviços de Certificados Digitais.
Proteção no Ambiente Físico
É importante mencionarmos que a LGPD também abrange o tratamento de dados realizado fisicamente. Assim sendo, é fundamental que a empresa tenha data center e salas de arquivo, controle o acesso às instalações, restrinja o acesso aos profissionais autorizados, comunique os incidentes ao DPO, que precisa tomar as devidas providências conforme determinação legal.
Determinações da LGPD
De acordo com a Lei em questão, existem medidas que precisam ser adotadas com os intuitos de prevenir os incidentes envolvendo os dados pessoais e evitar sofrer sanções administrativas, tais como:
- Ajustar ou substituir ferramentas por equipamentos ou serviços mais modernos;
- Atualizar ferramentas e softwares com frequência e conforme necessidade;
- Backups periódicos;
- Banco de dados adequado para o porte da empresa e o tipo de trabalho;
- Criptografia;
- DPO ou Encarregado de Dados Pessoais;
- Equipe ou Setor de TI (Tecnologia da Informação);
- Feedbacks internos e externos para analisar a eficácia das implementações e adequações;
- Limitar o tratamento de dados às finalidades devidamente apresentadas ao titular;
- Política de Privacidade;
- PSI (Política de Segurança da Informação);
- Restringir o acesso aos dados a pessoas ou cargos específicos;
- Revisão de contratos existentes e futuros;
- Termo de livre e expresso consentimento.
Além disso, ao investir no treinamento periódico dos colaboradores, independentemente do cargo que ocupem, a organização tem a chance de diminuir os possíveis problemas que podem surgir diante de um caso como esse, porque, assim, qualquer profissional consegue identificar que há um problema, acionar os setores responsáveis e providenciar as medidas necessárias, evitando maiores impactos.
Sem contar que outra medida aconselhável é contar com um setor ou uma equipe jurídica, porque os profissionais de Direito são capazes de reconhecer as necessidades legais, aconselhar sobre adequações e investimentos a serem feitos, elaborar documentos, como o de Política de Privacidade e consentimento, e orientar sobre as possíveis consequências e os impactos envolvendo a LGPD.
