A Lei Geral de Proteção de Dados (LGPD), sancionada em 2018, entrou em vigor agora em 2020, com a aplicação de multas por práticas indevidas iniciando em agosto de 2021. Portanto, as empresas que ainda não se adequaram totalmente à lei devem o mais rapidamente possível buscar essa adequação.
Como a área de tecnologia lida com dados e se responsabiliza pela infraestrutura que movimenta toda a informação da empresa, o cuidado com a LGPD no setor de TI deve receber muita atenção. Isso porque tanto infraestrutura quanto processos e práticas precisam se moldar a exigências e possibilidades legais.
Neste post, abordaremos os principais impactos diretos da lei no setor de TI, descrevendo cuidados a serem tomados e ações que têm de ser desenvolvidas.
Entendimento da legislação
O texto da LGPD institui práticas obrigatórias, critérios para autorização e proibição de ações, atribuições de tarefas e todos os demais pontos que devem ser observados para tratar dados com segurança e conformidade e manter a privacidade dos proprietários das informações. Logo, cabe ao responsável pelo setor de TI ficar a par dos aspectos legais envolvidos e, posteriormente, ajustar seu trabalho e o da equipe ao conteúdo legal.
Por conta dessa responsabilidade, o gestor deve buscar ajuda do setor jurídico da empresa ou de advogados externos especialistas no assunto para iniciar seu planejamento. E as consultas devem seguir enquanto o setor de tecnologia progride na execução do projeto de adequação à LGPD, pois até pequenos detalhes em decisões sobre a infraestrutura de tecnologia que trabalhará os dados podem afetar a conformidade em relação às exigências do texto.
Adoção do privacy by design
Esse conceito coloca a privacidade dos dados como centro do projeto de adequação à LGPD no setor de TI, assegurando que o desenvolvimento contará com os melhores recursos, práticas e políticas para respeitar esse direito dos proprietários. Porém, ele também se dedica a garantir que a empresa consiga atingir os objetivos para os quais trata dados pessoais.
O conceito é composto por sete tópicos, que quando levados em consideração ajudam na correta conciliação de softwares, hardwares e trabalho humano aos requisitos legais. Por isso, vamos entrar nos detalhes mais importantes desse conceito adiante.
Comportamento proativo e preventivo em detrimento do reativo
Isso significa que a empresa deve prever possíveis ameaças à privacidade dos dados, e seus efeitos, e preparar-se para evitar que se efetivem.
Por exemplo, proteções de sistemas, como criptografia de alto nível, já estão entre as práticas de antecipação a problemas, assim como um plano de contingência. Porém, como a cada dia surgem novas ameaças, o ideal é fazer um mapeamento de processos e infraestrutura para identificar pontos críticos em geral e tomar decisões aplicadas a pontos específicos.
Privacidade como padrão de configuração
Por padrão, as interfaces e outros mecanismos desenvolvidos para uso de titulares de dados têm de estar configurados visando privacidade e segurança.
Quando alguma página do site ou qualquer interface solicitar informações pessoais para determinado objetivo, consentimentos adicionais devem estar automaticamente desabilitados – ficando a cargo de cada proprietário consentir com essas finalidades e autorizar a coleta de dados também para elas.
Um exemplo de autorização adicional é para que o compartilhamento de localização seja feito com a empresa pelo smartphone ou navegador de internet do usuário consumidor, além dos dados já solicitados no formulário central da interface em questão. Então, tendo a privacidade como padrão, esse compartilhamento deve ser automaticamente desabilitado, cabendo aos proprietários autorizá-lo se assim decidirem.
Privacidade incorporada à infraestrutura
Programação de sistemas, configuração de hardwares e softwares, regras de negócios e modelos de processos devem ser desenhados para entrarem em prática tendo a proteção à privacidade como política incorporada.
Sendo assim, pode ser preciso modificar processos ou partes já existentes da infraestrutura que deixam a desejar nesse quesito porque não foram planejados tendo essa proteção como um dos pontos direcionadores de seu desenvolvimento.
Funcionalidade total para todos
Esse tópico prevê a conciliação entre segurança, privacidade e necessidades da infraestrutura para a empresa atingir as finalidades de coleta e tratamento de dados, para que não ocorram trocas ou sobreposição de pontos. O objetivo é fazer com todos os envolvidos na movimentação de dados tenham seus interesses atendidos.
Por exemplo, quem altera uma configuração de segurança, de acordo com esse tópico, não pode ter alguma vantagem ou recurso adicional – o titular tem a funcionalidade total garantindo sua privacidade e decidindo sozinho o consentimento de compartilhamento e a abrangência dele.
Já a empresa, nesse cenário, não abre mão da segurança, ou de um potencial maior dela, para obter mais dados. Ou seja, trabalha com funcionalidade total no quesito segurança e mesmo assim pode desenvolver meios de obter os dados no volume que precisa, sempre respeitando a legislação e os direitos de titulares.
Segurança de ponta a ponta
Isso significa proteger os dados em todo o ciclo de vida: da coleta até o compartilhamento ou a eliminação da base de dados, passando pelo armazenamento.
Algumas ações para garantir essa segurança são:
- estabelecimento de níveis de acesso diferentes para profissionais que lidam com os dados, impedindo acessos não autorizados;
- integração de bancos de dados;
- desativação e limpeza de bancos de dados não mais utilizados;
- limpeza de hardwares inutilizados e transferência de suas informações;
- manutenção de infraestrutura de segurança de alto nível para o ambiente tecnológico;
- criptografia irreversível para o compartilhamento dos dados coletados.
Transparência na relação com titulares
Os proprietários dos dados devem saber para quais finalidades a coleta é feita, quem terá acesso aos seus dados, incluindo terceiros, e até mesmo se alguma empresa ou instituição externa auditará a empresa coletora para verificar a conformidade no trabalho com as informações.
O princípio vai diretamente ao encontro de um dos pontos mais importantes do texto da LGPD, que exige esse tipo de transparência e consentimento claro e manifesto de titulares.
Desenvolvimento focado nos usuários e titulares
Os proprietários devem ser o centro do planejamento e da execução do projeto de adequação de sistemas à legislação. Todas as práticas envolvidas devem ser orientadas ao respeito pelo direito à privacidade e à segurança.
Isso envolve aspectos como segurança robusta em todo o ciclo de vida da informação, notificações e mensagens claras aos titulares e configuração de maneira a apresentar funções e interfaces amigáveis e de fácil uso para os usuários.
É inevitável falar sobre todos os aspectos jurídicos inerentes à adequação a uma lei, motivo pelo qual o apoio de profissionais da área é importante. Mas o trabalho necessário para os ajustes à LGPD no setor de TI também é grande e fundamental para a empresa não cometer erros e ser penalizada. Então, o setor deve estar na linha de frente desse planejamento e participar de todas as etapas atentando aos pontos que explicamos no texto.
Para ficar por dentro de mais novidades relevantes para a área de tecnologia da sua organização, informe seu e-mail e receba nele outras publicações como esta.
Pesquisamos profundamente os assuntos ligados à área de TI das indústrias para produzir conteúdos que levam conhecimento e auxiliam em rotinas e estratégias do setor. Então, se isso é interessante para sua empresa e seu setor, aproveite para solicitar o recebimento de publicações personalizadas.
