LGPD: Importância da gestão de riscos para as empresas

Diante disso, surgem as seguintes indagações: quais seriam as razões para que empresas negligenciem questões tão importantes e relevantes com relação ao tratamento de dados pessoais? Será que os riscos decorrentes da falta de adequação das empresas à conformidade legal são realmente conhecidos por elas? E será que as consequências advindas da falta de adequação à Lei são igualmente sabidas?

É preocupante que essa parcela de empresas não esteja dando a devida importância à LGPD, colocando em risco não apenas a privacidade de seus clientes, mas também seu próprio negócio, uma vez que estão sujeitas a sanções legais, multas e processos judiciais, além de sofrer danos reputacionais, como a perda da confiança de clientes e parceiros de negócios. Assim, é crucial que as empresas compreendam a importância da proteção de dados pessoais na sociedade atual e que cumpram suas obrigações conforme estabelecido na LGPD.

Publicidade

Gestão de riscos associada à adequação das empresas à LGPD

A gestão de riscos é um processo fundamental para identificar, avaliar e mitigar os riscos associados às atividades de uma empresa. No contexto da Lei Geral de Proteção de Dados (LGPD), a gestão de riscos está relacionada à identificação e avaliação dos riscos associados à proteção dos dados pessoais que as empresas tratam em cada uma das fases do ciclo de vida dos dados pessoais nos seus processos internos. Para garantir a segurança dos dados pessoais tratados, é necessário uma análise detalhada dos processos, sistemas e infraestrutura utilizados pela empresa.

O primeiro passo para a gestão de riscos é a identificação dos dados pessoais que são tratados pela empresa, sendo que esta análise deve envolver todas as áreas da empresa que lidam com dados pessoais. É fundamental e mandatório que as empresas possuam inventários detalhados de todos os dados pessoais que tratam, bem como os devidos registros legais de tais tratamentos de dados pessoais realizados.

Publicidade

Uma vez identificados e registrados os dados pessoais, a empresa deve avaliar os riscos associados ao tratamento dessas informações, levando em consideração tanto os riscos internos, como falhas em sistemas, processos e perdas de dados/informações, quanto os riscos externos, como ataques de hackers e violações de segurança. Essas avaliações devem considerar todo o ciclo de vida dos dados pessoais, analisando os riscos envolvidos em cada uma das suas fases.

Com base na análise de riscos, a empresa deve implementar medidas técnicas e administrativas efetivas e condizentes com as suas necessidades a fim de mitigar esses riscos, incluindo a criação e implementação de políticas, normas, procedimentos, documentos e registros, adoção de sistemas de criptografia de dados e de ferramentas digitais adequadas aos seus modelos de negócio e necessidades internas, entre outras ações. É importante que as medidas adotadas estejam alinhadas com as normas estabelecidas pela LGPD e com as necessidades específicas da empresa, em decorrência do nível de criticidade dos dados pessoais tratados.

Medidas técnicas e infraestrutura (de tecnologia) das empresas

A adequação das empresas à LGPD – Lei Geral de Proteção de Dados é um requisito essencial para a proteção adequada dos dados pessoais que elas tratam. Neste contexto, a implementação de medidas técnicas, específicas e adequadas, é crucial. Elas incluem uma variedade de ações, procedimentos e tecnologias que devem ser implementadas pelas empresas para proteger os dados pessoais que tratam, englobando desde a proteção física dos dados, como o controle de acesso aos ambientes físicos onde são armazenados, até a proteção lógica deles.

É importante ressaltar que a implementação de medidas técnicas isoladamente não garante a proteção dos dados pessoais, uma vez que são necessárias ações integradas e contínuas pelas empresas. Dados pessoais são ativos valiosos e frequentemente são alvo de ataques cibernéticos. Portanto, é essencial que as medidas técnicas sejam implementadas em conjunto com políticas de segurança da informação, bem como que sejam sempre avaliadas melhorias eventuais a serem aplicadas em tais medidas visando a garantia da proteção dos dados tratados.

Publicidade

É importante avaliar e projetar adequadamente a infraestrutura de uma empresa para garantir a segurança dos dados pessoais que são tratados. No entanto, não há diretrizes específicas que possam ser seguidas ao projetar a infraestrutura de segurança para uma empresa, uma vez que pode variar consideravelmente devido a vários fatores, tanto tecnológicos quanto financeiros. No entanto, há elementos fundamentais que devem ser incluídos na infraestrutura de segurança, dentre eles, os seguintes:

a.) Antivírus e antimalware: é fundamental que as empresas utilizem softwares antivírus e antimalware em todos os dispositivos da empresa, pois isso ajudará a detectar e eliminar vírus e malwares que possam comprometer a segurança dos dados;

b.) Firewall: um firewall é um software ou hardware que ajuda a bloquear o acesso não autorizado à rede da empresa. Ele impede que hackers e outras ameaças externas acessem os sistemas da empresa e acessem os seus dados;

c.) Autenticação e autorização: a autenticação e autorização garantem que apenas usuários autorizados tenham acesso aos dados da empresa. Isso é feito por meio de senhas, autenticação de dois fatores e outras medidas de segurança, a depender da criticidade dos dados pessoais tratados;

d.) Backup e recuperação de dados: fazer backup regularmente é essencial para garantir que os dados da empresa sejam protegidos contra perda ou roubo. Se ocorrer uma falha no sistema, o backup pode ser usado para recuperar os dados perdidos, evitando a paralização dos trabalhos da empresa;

e.) Políticas de segurança: a empresa deve estabelecer políticas de segurança claras e implementá-las para todos os usuários e funcionários. Isso inclui medidas como senha forte, restrições de acesso e privilégios, entre outras.

f.) Atualizações de software: a empresa deve manter todos os seus softwares atualizados, pois as atualizações geralmente incluem correções de segurança fundamentais que ajudam a evitar ameaças externas.

Além disso, a empresa deve fornecer treinamentos regulares para seus funcionários sobre como proteger a segurança da informação. Isso inclui informações sobre phishing, spam, segurança de senhas, e-mails suspeitos e outras ameaças.

Nenhuma empresa pode negligenciar a avaliação de riscos relacionados à proteção de dados pessoais, considerando que são ativos extremamente valiosos e que agora fazem parte do rol dos direitos fundamentais dos cidadãos brasileiros. Cada empresa deverá avaliar quais são as medidas técnicas e administrativas necessárias de serem implementadas para protegerem adequadamente os dados pessoais que tratam, bem como para prevenirem eventuais episódios de violação de segurança, as quais devem ser monitoradas de forma continua e aprimoradas sempre que possível.

Publicidade

Aviso Legal: Este artigo tem apenas finalidade informativa sobre casos de aplicação da Lei Geral de Proteção de Dados (LGPD) e não deve ser considerado como aconselhamento jurídico. As informações nele relatadas não constituem uma interpretação completa ou exaustiva da LGPD e a aplicação da lei pode variar de acordo com casos concretos/circunstâncias individuais. Recomendamos que os leitores procurem aconselhamento profissional especializado para compreender como a LGPD se aplica em seus casos específicos. O autor e o editor deste texto não se responsabilizam por quaisquer danos ou perdas decorrentes do uso das informações aqui contidas, bem como por quaisquer consequências resultantes de qualquer interpretação ou aplicação inadequada da LGPD.

*Josmar Lenine Giovannini Júnior é Diretor da empresa Conformidados, especializada na LGPD – Contato: josmar.giovannini@conformidados.com.br