Conforme descrito pelo Ministério da Defesa em seu website, “a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.  

Para proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural foi criada a Autoridade Nacional de Proteção de Dados (ANPD), conforme estabelecido no Decreto nº 10.474, de 26 de agosto de 2020.” 

É seguro dizer que a LGPD veio para promover consideráveis impactos e alterar positivamente não somente a atuação das empresas e Instituições; Órgãos que promovem o tratamento de Dados Pessoais, mas também toda a sociedade. 

É preciso ter em mente que todos nós, em algum momento de nossas vidas, podemos ser alvo; vítimas de vazamento de dados, motivo pelo qual, apesar de aparentemente muito exigente, a Lei em questão é de grande valia a todas as pessoas.  

Já de início, é preciso ressaltar que a Lei se aplica à pessoa natural ou pessoa jurídica de direito público ou privado que promova, inclusive nos meios digitais, o tratamento de dados pessoais. 

Importante explicar que a LGPD se aplica em nosso território brasileiro, enquanto sua prima gringa GDPR (General Data Protection Regulation) está vigente, estabelecendo as regras atinentes ao tratamento de dados pessoais relativos a pessoas situadas na União Europeia, mas possuem o mesmo objetivo. 

segurança de dados

Elementos da LGPD 

Nesse passo, define “dados pessoais” como sendo toda informação relacionada a pessoa natural identificada ou identificável;  

“tratamento” como sendo toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. 

Além disso, também nos apresenta e define as importantes figuras do Controlador (a quem competem as decisões referentes ao tratamento de dados pessoais),  

Operador (que realiza o tratamento de dados pessoais em nome do controlador) e do Encarregado de Dados ou “Data Protection Officer – DPO” (pessoa que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados), com vistas a possibilitar a realização de auditorias para adequações e o desenvolvimento de procedimentos que garantam sua efetiva aplicação. 

Assim sendo, na prática, a LGPD demanda a adoção de boas práticas e governança em privacidade, bem como estabelece a necessidade da aplicação do conceito de Privacy by Design, que pode ser entendido como um conjunto de princípios e diretivas que garantem a “privacidade desde a concepção do produto ou do serviço”. 

Quais as consequências da LGPD? 

A LGPD veio para garantir a autodeterminação informacional ao indivíduo, ou seja, assegurar ao Titular do Dados os direitos, dentre outros e em geral: de confirmar a existência de tratamento; de acesso aos dados; de correção de dados; à anonimização, bloqueio ou eliminação de dados; à portabilidade dos dados; eliminação dos dados pessoais; e revogação do consentimento; ou seja, de deter; retomar certo poder sob suas informações. 

O titular dos dados agora detém a prerrogativa de ter a ciência total acerca de quais dos seus dados estão sendo utilizados; para qual finalidade e motivo; por qual meio/forma serão utilizados/tratados; qual o amparo legal para tal; bem como qual será a sua destinação. 

A garantia da privacidade, de forma ampla e efetiva, considerando os mais diversos desafios e cenários existentes, deixou de ser desafio e, a partir da LGPD, já se tornou uma realidade para nosso time, máxime por ser uma demanda inadiável do mercado e da sociedade e, por isso, é tratada como prioridade. 

LGPD e a  ISO 27001

 A ISO 27001, é uma norma de qualidade internacional para um SGSI – Sistema de Gerenciamento de Segurança da Informação. 

Esta norma é de extrema valia para alcanças os requisitos técnicos e operacionais necessários para reduzir o risco de uma violação de informações. 

 A norma especifica os requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente um SGIP – Sistema de Gerenciamento de Informações de Privacidade) com base nos requisitos, objetivos e controles, estendido por um conjunto de requisitos específicos da privacidade, objetivos e controle. 

 As organizações que implementaram a ISO 27001 poderão usar a norma para estender o seu SGSI para cobrir o gerenciamento de privacidade, incluindo o processamento de dados. 

 A implementação de ambos os padrões ajudará você a cumprir e demonstrar sua conformidade com os requisitos de privacidade e segurança da informação da LGPD. 

Conforme dito anteriormente a LGPD obriga as empresas a examinar as melhores práticas e recomendações existentes, como a ISO 27001, para minimizar o risco de violação de dados. 

Entendendo melhor a ISO 27001 e a LGPD

Como toda norma ISO, a 27001 também possui os seus requisitos a serem seguidos, e agora, vamos conhecer um pouco mais sobre eles. 

Um SGSI é a estrutura perfeita para gerenciar riscos para todos os ativos, incluindo dados pessoais, e pode fornecer a garantia de que a organização leva a sério a conformidade com os requisitos da ISO 27001 e a LGPD.  

Classificação da Informação

A classificação de dados é uma primeira etapa natural porque fornece a maneira ideal de ordenar e priorizar os dados com base em sua sensibilidade. 

 Um requisito fundamental para organizações que desejam obter a conformidade com os requisitos da ISO 27001 é a necessidade de desenvolver um inventário de ativos que o ajudará a entender quais informações você possui e quem é responsável por elas. 

A ISO 27001 não prescreve os níveis de classificação. Isso é algo que você deve desenvolver por conta própria, com base no que é comum em seu setor.  

Quanto maior e mais complexa for sua organização, mais níveis de confidencialidade haverá. No entanto, a ISO 27001 coloca a responsabilidade na organização. 

 Isso geralmente é feito com base nos resultados da avaliação de risco: quanto maior o valor da informação (quanto maior a consequência da violação da confidencialidade), maior será o nível de classificação. 

Segurança da Informação

A ISO 27001 recomenda a implementação de uma política de proteção de dados especificando requisitos para proteção de dados apoiados por procedimentos de retenção e destruição de dados.  

Enquanto isso, a LGPD fornece recomendações específicas para quais ações devem ser consideradas para a proteção e privacidade de dados pessoais, incluindo: 

Pseudonimização e criptografia de dados pessoais. 

A capacidade de garantir a continuidade da confidencialidade, integridade, disponibilidade dos sistemas e serviços de processamento de dados 

A capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de uma ocorrência física ou incidente técnico. 

Um processo para testar regularmente, avaliar a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados pessoais. 

Vários requisitos da ISO 27001 podem ser usados para dar suporte à conformidade com a LGPD no que diz respeito à proteção de dados pessoais. 

Por exemplo, vejamos os requisitos referentes à criptografia. O uso de criptografia ou pseudonimização pode manter a confidencialidade das informações pessoais, seja na rede, em trânsito ou em dispositivos móveis. 

Incidentes de Segurança

A LGPD exige que as organizações notifiquem sobre uma violação de dados pessoais sem atrasos indevidos e no máximo 72 horas após terem tomado conhecimento de uma violação de dados pessoais.  

A implementação do controle Gerenciamento de Incidentes da ISO 27001 garantirá uma abordagem consistente e eficaz para o gerenciamento de incidentes de segurança da informação, incluindo comunicação sobre eventos de segurança.  

O gerenciamento de incidentes é um dos processos-chave para garantir a eficácia de qualquer operação comercial.  

O gerenciamento de incidentes é parte integrante das políticas e procedimentos de segurança de uma organização relacionados a backup, continuidade de negócios, recuperação de desastres, gerenciamento de risco e gerenciamento de configuração.  

Para atingir esse estado de maturidade, os seguintes processos de gerenciamento de incidentes de segurança devem ser incluídos no plano de respostas a incidentes: 

A adesão aos requisitos da ISO 27001 garantirá que as organizações estejam em uma posição para detectar rapidamente e gerenciar com eficácia uma violação de dados pessoais. 

Avaliação de Risco 

Um dos requisitos da LGPD é a implementação de avaliações de impacto de proteção de dados, onde as empresas terão que primeiro analisar os riscos à sua privacidade. 

A adoção do Privacy by Design, outro requisito da LGPD, torna-se obrigatória no desenvolvimento de produtos e sistemas.  

A ISO 27001 ajuda a garantir que a segurança da informação é uma parte integrante dos sistemas de informação em todo o ciclo de vida. 

Quando uma nova tecnologia está sendo implantada e pode afetar os direitos e privacidade dos indivíduos, uma avaliação do impacto da privacidade se torna necessária. 

A avaliação também deve conter uma descrição das medidas previstas para lidar com os riscos. 

 A avaliação dos riscos é a etapa mais importante no início de um projeto de implementação dos requisitos da ISO 27001, ela define as bases para a segurança da informação em sua empresa. 

Treinamento

Quando se fala de ISO, não tem como não levar em consideração desenvolver cultura e consciência de segurança da informação para todos os colaborardes 

A segurança da informação não se trata apenas de tecnologia, mas também de pessoas. 

Gestão de Fornecedores

A LGPD identifica controladores e operadores de dados, obrigando os controladores a manter negócios apenas com operadores que forneçam uma comprovação de que os processos estão em conformidade com o gerenciamento da privacidade de dados pessoais.  

Esta é uma abordagem semelhante usada na ISO 27001 para gerenciar fornecedores e terceiros. Esses requisitos devem ser documentados e acordados entre controladores e processadores. 

segurança

Como tratamos os dados na Docnix?

Atenta a todo esse cenário, a equipe do DocNix tem como premissa que a privacidade é indispensável e amplamente garantida ao cliente desde a elaboração da Proposta Técnica e/ou Comercial, até a execução do produto, da solução e/ou serviço prestado por nosso time de colaboradores. 

Ainda, por meio da cultura de educação continuada cultivada dentro de nossa empresa, promovemos ações educativas internas e de atualização de nossos colaboradores, bem como dispomos de mecanismos internos de supervisão e mitigação de riscos ou incidentes. 

Os Dados Pessoais que porventura sejam tratados por nossa equipe, são coletados estritamente para possibilitar o escopo; execução dos produtos, soluções e serviços oferecidos.  

As hipóteses autorizadoras para tal tratamento, inicialmente e em geral, também estão previstas nos incisos I, V e IX, do artigo 7º da LGPD. 

Além do exposto, tais dados são acessados, internamente, somente por profissionais devidamente autorizados, rastreados e cadastrados para tal, respeitando-se os princípios da segurança, privacidade, propriedade, autodeterminação informacional, razoabilidade e necessidade para consecução dos objetivos do DocNix, que englobam o oferecimento e execução de serviços, produtos e soluções com grau de excelência a seus clientes. 

Por zelo profissional, ainda que não seja previsto ou esperado, todo e qualquer tratamento realizado através do software DocNix obedece à LGPD, o que é garantido não somente pelas políticas internas de segurança e privacidade das partes contraentes ou afetadas, mas também pela observância integral da legislação aplicável. 

Gravamos um DocTalk especial falando sobre os impactos da Lei Geral de Proteção de Dados (LGPD) na Qualidade e para assistir clique aqui! 

Ora, em um mundo cada vez mais digitalizado e tecnológico e, portanto, fluido- já que o universo digital ainda é permeado por áreas desconhecidas pela maioria-, a LGPD veio como corolário legal da imprescindibilidade de garantir a segurança de um princípio cada vez mais caro em nossa sociedade: o da privacidade.  

Nós estamos atentos a ele. Gostou do texto quer conhecer mais e como o Docnix pode te ajudar com seus processos? Fale com a gente!

Jorge Pimenta

Copywriter, Coordenador de Marketing e Comunicação, em busca de um Brasil com mais qualidade #P1BMQ.

15.06.2021 | Auditoria | Documentos e Registros | Melhoria Contínua | Riscos, GRC, ESG | Sistemas de Gestão e Normas

posts relacionados