Dez passos para adequação à LGPD, segundo a Kryptus
Há inúmeros aspectos e detalhes que as empresas devem observar para a correta adequação à Lei Geral de Proteção de Dados
Com a entrada em vigor das sanções para o caso de violação das regras previstas na Lei Geral de Proteção de Dados (LGPD) a partir de 1º de agosto, as empresas que descumprirem quaisquer itens ou condições estabelecidas pela nova legislação podem sofrer várias penalidades, que vão desde uma simples advertência, com possibilidade de medidas corretivas; multa de até 2% do faturamento do exercício fiscal do ano anterior com limite de até R$ 50 milhões até a suspensão total da atividade de tratamento de dados.
“Qualquer violação à segurança de dados pessoais, seja proposital, seja acidental, que ocasione o vazamento desses dados, será passível de punição, independentemente da quantidade de dados divulgados publicamente”, observa Edson Gaseta, especialista em cibersegurança da Kryptus.
Segundo ele, os dados que a empresa eventualmente estiver tratando e que podem ser anonimizados, não terão informações pessoais. Mas enfatiza que é importante que ela tenha os controles de segurança adequados para que evite vazamentos. Isso porque, diz Gaseta, se porventura um incidente acontecer, a punição poderá ser atenuada com as medidas de proteção.
O especialista em cibersegurança ressalta que um eventual vazamento de dados terá consequência relativamente grande no mercado, que poderá ter impacto financeiro, além de prejuízo à imagem e reputação da empresa. Daí, a importância de se ter uma estrutura de segurança cibernética, com medidas e controles, para evitar e minimizar um eventual vazamento. “Os vazamentos não vão deixar de acontecer, mas é preciso que as empresas se preparem para que não tenham impacto muito grande em seu negócio”, diz.
Gaseta observa, porém, que implementar os processos e regras para ficar em conformidade com a nova lei não é tarefa fácil ou de curto prazo. Nesse sentido, com intuito de ajudar as empresas a avaliarem se estão na direção correta para adequação à lei, ele preparou um check list com dez perguntas importantes, cujas respostas indicarão o grau de preparação para iniciar o planejamento das ações para obter a conformidade com a lei. Veja a seguir.
Check list para adequação à LGDP
- Fazer um levantamento de quais dados pessoais e dados pessoais sensíveis são coletados para o tratamento;
- Checar se os dados pessoais e dados pessoais sensíveis que estão de acordo com as finalidades da operação de tratamento;
- Avaliar se existe a necessidade de obter o termo de consentimento para o tratamento de dados pessoais;
- Fazer um levantamento para saber quais são as bases legais utilizadas para o tratamento de dados pessoais;
- Verificar se as operações de tratamento de dados pessoais estão protegidas;
- Verificar se os dados pessoais e dados pessoais sensíveis estão protegidos contra vazamentos ou violações;
- Avaliar se existe entendimento sobre o fluxo de tratamento de dados pessoais nas operações de negócios.
- Verificar se o levantamento de riscos em relação às operações de tratamento de dados pessoais é realizado e se os riscos são conhecidos;
- Avaliar se a empresa está preparada para atender a solicitação dos titulares de dados, como exclusão, compartilhamento, armazenamento e outros direitos relacionados às operações de tratamento dos seus dados pessoais;
- Verificar como estão as atividades de implementação de ações para adequação à LGPD.