Adequação à LGPD: por que investir em Segurança da Informação?
Quando se fala na Lei Geral de Proteção de Dados (LGPD), é comum se concentrar apenas nos aspectos jurídicos da lei. Por exemplo, na adequação de contratos, criação de políticas de privacidade e enquadramento em bases legais. No entanto, há um outro ponto fundamental de conformidade que não pode ser ignorado: a Segurança da Informação.
Afinal, a LGPD estabelece obrigações e responsabilidades relacionadas à segurança e à proteção de dados pessoais. Para perceber a importância do assunto e os riscos envolvidos, basta lembrar de ataques recentes que ganharam destaque no noticiário.
Só para citar três exemplos, houve o caso da JBS, que diz ter pago US$ 11 milhões em resgate a ataque hacker, o vazamento de dados da Prudential do Brasil, ocorrido após um incidente de cibersegurança, e o ataque ao STJ (Superior Tribunal de Justiça), que derrubou os sistemas da corte por uma semana e levantou suspeitas de uma tentativa de sequestro de dados.
Todos estes casos ressaltam a vulnerabilidade de empresas e instituições em termos de Segurança da Informação, e o risco que isso traz para os titulares e para os controladores.
É importante ficar claro ainda que todas as empresas são potenciais vítimas de ataques e fraudes, independentemente do tamanho e da área de atuação.
O relatório da Verizon sobre Data Breaches (DBIR 2020) aponta, por exemplo, que quase 30% das violações de segurança envolvem pequenas empresas.
Para falar um pouco mais sobre o assunto, nós vamos destacar alguns pontos mostrando por que é preciso investir em Segurança da Informação no processo de adequação à LGPD.
Confira neste artigo!
Precisa se adequar à LGPD?
Fale com a Get Privacy. Nós analisamos a situação da sua empresa e ajudamos com todo o processo de adequação à lei.
Por que investir em Segurança da Informação na adequação à LGPD
Não há proteção de dados real sem Segurança da Informação
A LGPD é, acima de tudo, uma lei voltada para proteger dados pessoais. E uma premissa básica da proteção de dados é adotar medidas para garantir que eles estejam seguros de fato.
Ou seja, é preciso discutir não apenas os critérios jurídicos e a finalidade do tratamento de dados pessoais, mas também o que fazer para que eles não sejam expostos, roubados, perdidos, alterados, acessados ou usados de qualquer maneira que não seja a prevista e justificada com base na lei.
Dentre as medidas possíveis de serem adotadas, estão políticas de controle de acesso, estratégias de backup, conscientização de colaboradores e adoção de ferramentas de proteção contra ameaças, dentre outras.
Por falar nisso, a Get Privacy tem um braço especializado em TI e soluções de gestão e segurança. Se precisar de ajuda, conte com os nossos especialistas.
Segurança é requisito de conformidade da LGPD
Além de ser uma premissa básica para a proteção de dados, a Segurança da Informação é claramente um requisito de conformidade da LGPD.
A lei estabelece a segurança como um de seus dez princípios básicos, determinando que devem ser adotadas medidas técnicas e administrativas para proteção de dados pessoais.
Diz a lei que os dados devem ser protegidos “de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Além disso, a LGPD também determina que o agente de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento é responsável por garantir a segurança dos dados pessoais, mesmo após o fim do tratamento.
Na LGPD, a segurança norteia-se pelos seguintes princípios:
- Confidencialidade (informação conhecida apenas por quem necessita conhecê-la);
- Integridade (informação mantida íntegra, inalterada indevidamente);
- Disponibilidade (informação disponível quando necessária).
Portanto, investir em Segurança da Informação é muito mais do que uma boa prática: é uma obrigação para estar em conformidade com a lei.
Confira nosso diagnóstico para LGPD!
Responda o questionário e entenda os riscos e a situação da sua empresa em relação à Lei Geral de Proteção de Dados.
Incidentes de segurança são um risco legal e de reputação
Outro ponto de destaque na lei diz respeito aos incidentes de segurança.
A LGPD estabelece que o controlador ou operador respondem pelos danos decorrentes de violações de segurança caso deixem de adotar medidas que poderiam ter evitado o dano.
Da mesma maneira, o controlador tem o dever de comunicar a autoridade nacional (ANPD) e os titulares caso ocorra algum incidente que possa acarretar risco ou danos aos titulares (como no caso do vazamento de dados da Prudential do Brasil).
Essa comunicação deve ser feita em prazo razoável e mencionar, no mínimo:
- A descrição da natureza dos dados pessoais afetados;
- As informações sobre os titulares envolvidos;
- A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
- Os riscos relacionados ao incidente;
- Os motivos da demora, no caso de a comunicação não ter sido imediata; e
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Além disso, a ANPD (Autoridade Nacional de Proteção de Dados), agência reguladora da LGPD, avalia a gravidade do incidente e pode determinar que o caso seja amplamente divulgado nos meios de comunicação.
Ou seja, além da responsabilidade legal sobre o incidente, há ainda o risco de um dano imensurável de reputação e marca.
Investir em Segurança da Informação é fundamental para evitar esses riscos e mostrar à agência reguladora que todas as medidas de segurança adequadas foram e estão sendo tomadas pela empresa.
Inclua a Segurança da Informação no seu programa de conformidade
Esperamos que esse texto tenha conseguido deixar clara a importância da Segurança da Informação para o processo de adequação à LGPD.
Se você está nessa caminhada, tenha muita atenção com a segurança.
Aqui na Get Privacy nós contamos com uma equipe especialista em Segurança da Informação, que acompanha todo o programa de conformidade. O nosso time avalia os principais riscos e necessidades da empresa e promove todas as adequações relevantes para a LGPD.
Fale conosco para saber mais
CONFIRA
OUTROS POSTS