Home > Gestão

Identificar dados sensíveis será o primeiro passo para se adequar à LGPD

Legislação atingirá empresas que têm acesso às informações de pessoas físicas

Matheus Vasconcelos*

18/02/2019 às 12h21

Foto: Shutterstock

Em um contexto em que quase todas empresas e pessoas físicas, estão na internet, no ano passado, o governo brasileiro sancionou a Lei Geral de Proteção de Dados (LGPD), a fim de ampliar a segurança dos dados pessoais e regulamentar a forma como as organizações os utilizarão. A lei tem como objetivo principal proteger os direitos fundamentais de liberdade e de privacidade dos indivíduos. Essa legislação deve atingir praticamente todos os setores da sociedade, em especial, empresas que têm acesso às informações de pessoas físicas.

Para elaborar diretrizes, fiscalizar e aplicar as sanções estabelecidas pela lei 13.709, a chamada LGPD, o governo também criou recentemente a Autoridade Nacional de Proteção de Dados (ANPD), agência que terá autonomia técnica, mas responde diretamente à presidência da república. Como a lei passará a vigorar em agosto de 2020, a principal preocupação das empresas neste momento têm sido se adequar às suas exigências.

Atender os requisitos definidos exigirá uma grande mudança por parte das companhias, que deverão envolver, além de revisão e melhoria dos principais procedimentos e processos internos, investimento em novas tecnologias e mecanismos de controle. As empresas devem adotar medidas e boas práticas a fim de garantir a confidencialidade e a integridade dos dados durante todo o ciclo.

Um dos primeiros passos no check-list de conformidade é fazer um levantamento das informações que a empresa tem sob seu domínio. Elas devem ser capazes de identificar o nível de conformidade e o esforço que será necessário fazer para se adequar à nova legislação.

Ao longo desse processo, uma das principais dificuldades que as companhias podem encontrar é justamente a identificação do fluxo de dados. Nesse sentido, é essencial mapear os cursos que envolvam dados pessoais para, em seguida, adicionar os devidos níveis de controle e procedimento. As perguntas que devem ser respondidas para obter êxito nessa etapa são:

1. Quais são os tipos de dados sensíveis que temos no ambiente?
2. Os dados foram avaliados e classificados de forma apropriada?
3. Onde estão armazenados?
4. Como são tratados?
5. Por onde eles trafegam?
6. Quais são mecanismos de controle disponíveis para a correta proteção?
7. Quais são os riscos associados e como minimizá-los?

Mais do que demandar mudanças nos processos e adoção de novas tecnologias, a legislação ainda requer qualificação profissional ao exigir a indicação de um encarregado para a comunicação de qualquer informação ou fato relevante no que diz respeito ao tratamento dos dados.

Não há uma definição sobre qual deve ser sua formação ou em qual área da empresa deve atuar para poder ocupar a função, mas é essencial que o profissional tenha um conhecimento não só da empresa, mas também da legislação, entendendo das regulações do setor e de governança corporativa.

Esse profissional deverá atuar como um canal entre os agentes, titulares e órgãos competentes e precisa ser indicado pela organização responsável pelo tratamento (Agente de Proteção de Dados). A companhia ainda terá que fornecer a identidade e as informações de contato desse encarregado, que deverão ser de conhecimento público.

*Matheus Vasconcelos é engenheiro de sistemas sênior da Symantec

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail