LGPD: por que a segurança da informação é essencial

LGPD: por que a segurança da informação é essencial

As melhores práticas e ferramentas para garantir a conformidade

Você já parou para pensar na quantidade de dados pessoais que você compartilha todos os dias na internet? Seja ao fazer uma compra online, ao se cadastrar em um site, ao usar uma rede social ou ao acessar um serviço público, você está fornecendo informações sobre a sua identidade, preferências, hábitos e localização. Esses dados são valiosos para as organizações que os coletam, pois permitem oferecer produtos e serviços personalizados, realizar pesquisas de mercado, otimizar processos e tomar decisões estratégicas. Mas eles também podem ser usados de forma indevida, causando danos à sua privacidade, à sua reputação e aos seus direitos.

É por isso que existe a LGPD, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), que tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. A LGPD se aplica a qualquer operação de tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado. A lei estabelece uma série de requisitos, princípios, direitos e deveres para quem trata dados pessoais, bem como sanções para quem descumpre as normas.

Mas como garantir que os dados pessoais sejam tratados de forma adequada e segura? É aí que entra a segurança da informação, um conjunto de medidas que visam proteger os dados pessoais contra ameaças como vazamentos, invasões, fraudes, sabotagens etc. A segurança da informação é um dos pilares da LGPD, pois ela visa evitar que os dados pessoais sejam expostos ou utilizados indevidamente, causando danos aos titulares.

Neste artigo, você vai aprender o que é a LGPD e a segurança da informação, e porque eles são essenciais para as organizações na era digital. Você também vai conhecer as melhores práticas e ferramentas de segurança da informação para garantir a conformidade com a LGPD e evitar multas e sanções legais.

Os riscos e ameaças que os dados pessoais estão sujeitos na era digital

Os dados pessoais são informações que podem identificar ou tornar identificável uma pessoa natural, como nome, CPF, endereço, e-mail, telefone etc. Eles também podem revelar aspectos sensíveis sobre a pessoa, como origem racial ou étnica, opinião política, religião, saúde, vida sexual etc. Esses dados são coletados e armazenados por diversas organizações, como empresas, governos, instituições de ensino, hospitais etc.

No entanto, esses dados não estão totalmente seguros na internet. Eles podem ser alvo de ataques cibernéticos, que visam roubar, alterar ou destruir os dados pessoais. Esses ataques podem ter diferentes motivações, como espionagem, extorsão, chantagem, sabotagem, vandalismo etc. Eles também podem ter diferentes formas, como phishing, malware, ransomware, DDoS etc.

Os ataques cibernéticos podem causar diversos danos aos titulares dos dados pessoais, como:

• Violação da privacidade: os dados pessoais podem ser expostos ou divulgados sem o consentimento dos titulares, afetando a sua intimidade e a sua imagem.
• Fraude: os dados pessoais podem ser usados para realizar transações financeiras ou contratos ilícitos em nome dos titulares, gerando prejuízos econômicos ou jurídicos.
• Discriminação: os dados pessoais podem ser usados para excluir ou prejudicar os titulares em situações como emprego, educação, saúde etc.
• Manipulação: os dados pessoais podem ser usados para influenciar as opiniões ou as decisões dos titulares sobre temas políticos, sociais ou comerciais.

Esses danos podem afetar não apenas os indivíduos, mas também a sociedade como um todo. Por isso, é fundamental proteger os dados pessoais contra os riscos e as ameaças da era digital.

As normas e princípios da LGPD que exigem a proteção dos dados pessoais

A LGPD é a lei que regula o tratamento de dados pessoais no Brasil. Ela se aplica a qualquer operação de tratamento de dados pessoais, que é definida como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º, X).

A LGPD estabelece uma série de normas e princípios que devem ser observados por quem trata dados pessoais. Entre eles, podemos destacar:

• Finalidade: o tratamento de dados pessoais deve ter propósitos legítimos, específicos e explícitos, informados ao titular.
• Adequação: o tratamento de dados pessoais deve ser compatível com as finalidades informadas ao titular.
• Necessidade: o tratamento de dados pessoais deve ser limitado ao mínimo necessário para a realização das finalidades.
• Livre acesso: o titular dos dados pessoais deve ter acesso facilitado e gratuito aos seus dados e às informações sobre o tratamento.
• Qualidade dos dados: os dados pessoais devem ser exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade do tratamento.
• Transparência: o titular dos dados pessoais deve ter informações claras, precisas e facilmente acessíveis sobre o tratamento e os respectivos agentes de tratamento.
• Segurança: o agente de tratamento deve utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
• Prevenção: o agente de tratamento deve adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
• Não discriminação: o tratamento de dados pessoais não deve ser realizado para fins discriminatórios ilícitos ou abusivos.
• Responsabilização e prestação de contas: o agente de tratamento deve demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

Esses princípios devem orientar a atuação dos agentes de tratamento dos dados pessoais em todas as fases do ciclo de vida dos dados. Eles também devem servir como critérios para a interpretação e a aplicação da LGPD.

As sanções administrativas previstas na LGPD para quem descumpre as normas

A LGPD prevê que a ANPD, a Autoridade Nacional de Proteção de Dados Pessoais, é o órgão responsável por fiscalizar e aplicar sanções administrativas em caso de violação das normas de proteção de dados pessoais. A ANPD é uma entidade da administração pública federal, vinculada à Presidência da República, que tem como atribuições:

• Zelar pela proteção dos dados pessoais, observados os direitos fundamentais de liberdade, de expressão, de informação, de comunicação e de opinião.
• Editar normas e procedimentos sobre a proteção de dados pessoais.
• Deliberar sobre a interpretação da LGPD, das suas normas e dos casos omissos.
• Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.
• Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais.
• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício do controle dos titulares sobre seus dados pessoais.
• Realizar auditorias sobre o tratamento de dados pessoais por agentes de tratamento.
• Celebrar compromissos com agentes de tratamento para eliminar irregularidades, incertezas jurídicas ou situações contenciosas.
• Cooperar com autoridades de proteção de dados pessoais de outros países.

A ANPD pode aplicar as seguintes sanções administrativas aos agentes de tratamento que violarem as normas da LGPD:

• Advertência, com indicação de prazo para adoção de medidas corretivas.
• Multa simples, de até 2% do faturamento da pessoa jurídica no Brasil no seu último exercício, limitada a R$ 50 milhões por infração.
• Multa diária, observado o limite total da multa simples.
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência.
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização.
• Eliminação dos dados pessoais a que se refere a infração.
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período.
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

As sanções administrativas serão aplicadas após processo administrativo que possibilite a oportunidade da ampla defesa, considerados os seguintes critérios:

• A gravidade e a natureza das infrações e dos direitos pessoais afetados.
• A boa-fé do infrator.
• A vantagem auferida ou pretendida pelo infrator.
• A condição econômica do infrator.
• A reincidência.
• O grau do dano.
• A cooperação do infrator.
• A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados.

As sanções administrativas serão aplicadas sem prejuízo das sanções civis, penais ou consumeristas previstas em outras leis.

As melhores práticas de segurança da informação para prevenir e mitigar os riscos e ameaças

A segurança da informação é um conjunto de medidas que visam proteger os dados pessoais contra ameaças como vazamentos, invasões, fraudes, sabotagens, etc. Ela envolve aspectos técnicos, administrativos, jurídicos e educacionais para garantir a confidencialidade, integridade, disponibilidade e autenticidade dos dados pessoais.

A segurança da informação é um dos pilares da LGPD, pois ela visa evitar que os dados pessoais sejam expostos ou utilizados indevidamente, causando danos aos titulares. Além disso, a LGPD estabelece que o agente de tratamento deve utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Mas quais são as melhores práticas de segurança da informação para garantir a conformidade com a LGPD? Aqui estão algumas delas:

• Realizar uma análise de riscos e impactos sobre os dados pessoais tratados, identificando as vulnerabilidades e as ameaças existentes e potenciais.
• Adotar uma política de segurança da informação, definindo as diretrizes, os objetivos, as responsabilidades e as ações para proteger os dados pessoais.
• Implementar controles de segurança da informação, como criptografia, firewall, antivírus, backup, autenticação, autorização, registro de logs, etc.
• Capacitar e conscientizar os colaboradores sobre a importância da proteção dos dados pessoais e as normas da LGPD.
• Estabelecer um plano de resposta a incidentes, prevendo as medidas a serem tomadas em caso de violação dos dados pessoais, como notificação à ANPD e aos titulares afetados.
• Monitorar e auditar o tratamento dos dados pessoais, verificando se há conformidade com a política de segurança da informação e com a LGPD.
• Revisar e atualizar periodicamente as medidas de segurança da informação, acompanhando as mudanças tecnológicas e regulatórias.

Essas práticas podem ajudar as organizações a prevenir e mitigar os riscos e as ameaças aos dados pessoais, bem como a demonstrar a responsabilização e a prestação de contas exigidas pela LGPD.

As ferramentas de segurança da informação mais adequadas para cada tipo de dado e operação de tratamento

A segurança da informação não se resume a uma única ferramenta ou solução. Ela depende de uma combinação de diferentes ferramentas, que devem ser escolhidas de acordo com o tipo de dado e a operação de tratamento realizados. Algumas das ferramentas mais comuns e importantes são:

• Criptografia: é uma técnica que transforma os dados em um código secreto, que só pode ser lido por quem possui a chave de acesso. A criptografia pode ser aplicada aos dados em trânsito (quando são transmitidos pela internet) ou em repouso (quando estão armazenados em um dispositivo ou servidor). A criptografia protege os dados contra acessos não autorizados ou interceptações maliciosas.
  
  
• Firewall: é um dispositivo ou software que controla o fluxo de dados entre redes ou dispositivos, permitindo ou bloqueando a comunicação de acordo com regras pré-definidas. O firewall pode ser usado para impedir que intrusos entrem na rede ou no sistema onde os dados pessoais estão armazenados ou processados.
  
  
• Antivírus: é um software que detecta e elimina programas maliciosos, como vírus, worms, trojans, spyware etc., que podem infectar o computador ou o dispositivo onde os dados pessoais estão armazenados, sendo tratados ou processados. O antivírus pode evitar que os dados sejam corrompidos, roubados, alterados indevidamente ou destruídos por esses programas.
  
  
• Backup: é uma cópia de segurança dos dados, que pode ser armazenada em um local diferente do original, como um disco externo, uma nuvem ou um servidor remoto. O backup é uma ferramenta que pode ser usada para restaurar os dados em caso de perda, roubo, dano ou exclusão acidental ou intencional.
  
  
• Autenticação: é um processo que verifica a identidade de quem acessa os dados pessoais, solicitando informações como login, senha, token, biometria etc. A autenticação pode impedir que pessoas não autorizadas acessem os dados pessoais.
  
  
• Autorização: é um processo que define o nível de acesso aos dados pessoais, concedendo permissões para visualizar, editar, excluir, compartilhar etc., de acordo com o perfil do usuário. A autorização pode restringir o acesso aos dados pessoais apenas às pessoas que precisam dele para realizar as finalidades do tratamento.
  
  
• Registro de logs: é um registro das atividades realizadas sobre os dados pessoais, como quem acessou, quando acessou, o que fez etc. O registro de logs pode servir para monitorar e auditar o tratamento dos dados pessoais, bem como para identificar e rastrear possíveis violações.

Essas ferramentas podem ajudar as organizações a garantir a segurança da informação dos dados pessoais em cada etapa do tratamento. No entanto, elas devem ser usadas com critério e proporcionalidade, levando em conta a natureza e a sensibilidade dos dados pessoais, bem como os riscos e as ameaças envolvidos.

Conclusão

Neste artigo, você aprendeu o que é a LGPD e a segurança da informação, e porque eles são essenciais para as organizações na era digital. Você também conheceu as melhores práticas e ferramentas de segurança da informação para garantir a conformidade com a LGPD e evitar multas e sanções legais.

A LGPD é uma lei que visa proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Ela se aplica a qualquer operação de tratamento de dados pessoais, que são informações que podem identificar ou tornar identificável uma pessoa natural. A lei estabelece uma série de normas e princípios que devem ser observados por quem trata dados pessoais, bem como sanções para quem descumpre as normas.

A segurança da informação é um conjunto de medidas que visam proteger os dados pessoais contra ameaças como vazamentos, invasões, fraudes, sabotagens etc. Ela envolve aspectos técnicos, administrativos, jurídicos e educacionais para garantir a confidencialidade, integridade, disponibilidade e autenticidade dos dados pessoais. A segurança da informação é um dos pilares da LGPD, pois ela busca evitar que os dados pessoais sejam expostos ou utilizados indevidamente, causando danos aos titulares.

As melhores práticas de segurança da informação para garantir a conformidade com a LGPD são: realizar uma análise de riscos e impactos sobre os dados pessoais tratados; adotar uma política de segurança da informação; implementar controles de segurança da informação; capacitar e conscientizar os colaboradores; estabelecer um plano de resposta a incidentes; monitorar e auditar o tratamento dos dados pessoais; revisar e atualizar periodicamente as medidas de segurança da informação.

As ferramentas de segurança da informação mais adequadas para cada tipo de dado e operação de tratamento são: criptografia, firewall, antivírus, backup, autenticação, autorização, registro de logs. Essas ferramentas devem ser usadas com critério e proporcionalidade, levando em conta a natureza e a sensibilidade dos dados pessoais, bem como os riscos e as ameaças envolvidos.

Portanto, podemos concluir que a LGPD e a segurança da informação são temas fundamentais para as organizações na era digital. Eles exigem uma mudança de cultura e de comportamento por parte dos agentes de tratamento dos dados pessoais, que devem adotar medidas eficazes para proteger os dados pessoais e respeitar os direitos dos titulares. Além de cumprir a lei, as organizações que investem na LGPD e na segurança da informação podem obter benefícios como: aumentar a confiança dos clientes, parceiros e fornecedores; melhorar a reputação e a imagem; reduzir custos e riscos; inovar e se diferenciar no mercado.

E você, está preparado para enfrentar esse desafio?