Artigos

Bolsonaro altera a LGPD: impactos na auditoria das empresas

Bolsonaro altera a LGPD: impactos na auditoria das empresas

A Lei Geral de Proteção de Dados, também conhecida como LGPD, dispõe sobre o tratamento de dados pessoais, especialmente em meios virtuais, por pessoa jurídica de direito público ou privado e por pessoa natural.

Publicada em 14 de agosto de 2019, a Lei nº13.709 tem como fundamentos:

  • O respeito à privacidade;
  • A liberdade de expressão, de informação, de comunicação e de opinião;
  • A autodeterminação informativa;
  • A inviolabilidade da intimidade, da honra e da imagem;
  • O desenvolvimento econômico e tecnológico;
  • A livre iniciativa, a livre concorrência e a defesa do consumidor;
  • Os direitos humanos, o desenvolvimento da personalidade, a dignidade e o exercício da cidade pelas pessoas naturais.

De forma simplificada, pode-se dizer que a Lei estabelece regras que devem ser cumpridas por todas as empresas. Tais normas garantem que a coleta, o uso e a transferência de dados no Brasil sejam controlados.

Todas as companhias, portanto, devem adequar os seus processos internos, assegurar a proteção das informações adquiridas e garantir que todos os itens coletados sejam recolhidos apenas depois do consentimento explícito do titular.

Tem sido frequente a discussão sobre o impacto da Lei Geral de Proteção de Dados nas empresas.

Se você gostaria de saber um pouco mais sobre esta temática e entender o que a sua companhia pode fazer para se adequar às normas da LGDP, leia as informações dispostas abaixo.

Compliance

Podemos dizer que Compliance é a linha que guia o comportamento, os padrões éticos e os regulamentos internos e externos de uma organização.

Esta bússola moral aponta para a necessidade de garantir relações transparentes entre empresas e o Poder Público.

Compliance e LGPD

A LGPD exige que haja mudanças nos procedimentos que envolvem o tratamento de dados pessoais.

Nada mais natural, portanto, do que alterar as normas de compliance já existentes, buscando adequá-las às transformações pedidas pela Lei.

Abaixo, listamos algumas das atitudes que podem ser tomadas para garantir a promoção de políticas eficientes de compliance:

Definição de um especialista em proteção de dados

Em vista da importância de assegurar a privacidade e da rigidez das penalidades dadas às empresas que fugirem às regras estabelecidas pela LGPD, não se pode mais contar com o básico: o trabalho de um especialista em proteção de dados pessoais deve fazer parte desta nova etapa.

O agente em questão é responsável pela fiscalização e análise dos riscos de segurança existentes, pela elaboração de relatórios de segurança, pela implementação de dispositivos que possam assegurar a proteção desejada e pelo treinamento de uma equipe capaz de obedecer às normas da LGDP durante o trabalho cotidiano.

Solicitação de consentimento para a utilização de dados pessoais

De acordo com o artigo 7º da LGPD, não é possível fazer o tratamento de dados pessoais ou sensíveis sem o consentimento do titular.

Assim, com a vigência da Lei, as empresas devem colher a manifestação do titular para finalidades determinadas, sempre bem destacadas e especificadas. Tal manifestação, vale dizer, deve ser dada por escrito. O titular deve estar ciente de todos os processos que farão a utilização de seus dados.

Não se pode, segundo a LGPD, compartilhar dados com outros setores de uma empresa ou fornecer opiniões e dados de terceiros sem que isso esteja claramente informado em documentos assinados ou assinalados.

Reavaliação de dados pessoais

Os dados coletados em outro momento devem ser reavaliados, assim como as políticas de segurança da informação e os contratos.

LGPD e auditoria interna

A auditoria interna - também chamada de 3ª linha de defesa - é caracterizada pelo conjunto de procedimentos que visa avaliar e conferir a qualidade e segurança dos controles internos de uma organização, também é afetada pela LGPD.

O planejamento da auditoria costuma levar em consideração os riscos dos processos em vigência.

Com a implementação da Lei Geral de Proteção de Dados, torna-se primordial tomar alguns cuidados, uma vez que ferir as questões jurídicas pode gerar penalidades capazes de prejudicar moral e financeiramente as companhias mais idôneas.

No presente momento, as empresas devem investir em dispositivos capazes de coletar e tratar dados em grande escala. A segurança é a grande prioridade.

Alterações recentes na Lei

A Autoridade Nacional de Proteção de Dados Pessoais, também chamada de ANPD, foi criada no último dia 9 de Julho por meio do projeto de lei de conversão 7/2019 (MP nº 869/2018).

O órgão regulatório é responsável por assegurar que a LGPD será cumprida.

Ele entrará em vigor em 2020 e será formado por um conselho diretor de cinco membros, indicados pelo Presidente, e por um conselho nacional voltado para a proteção da privacidade e dos dados de cunho pessoal.

O projeto alterou também algumas minúcias da Lei Geral: um dos vetos dados pelo Presidente foi para o adendo que afirmava a necessidade de proteger e preservar os dados dos que desejam solicitar a Lei de Acesso à Informação.

O compartilhamento de dados em situações do gênero é, de acordo com o Executivo, uma medida recorrente para o pleno funcionamento das políticas públicas e para o exercício de uma série de circunstâncias.

Outro veto, mais controverso, foi dado ao inciso que ditava as regras acerca de sanções administrativas, suspensão de serviços ou proibição de atividade de companhias que não cumprirem com as demandas da LGPD.

Como saber se a companhia auditada está de acordo com as regras da LGPD?

O primeiro passo é compreender que as políticas de privacidade, bem como as regras internas, devem ser alteradas.

A criação de um sistema de segurança coerente, assim como a blindagem dos dados pessoais, pode ser assumida por um especialista em proteção de dados.

Neste ínterim, sistemas de controle e segurança devem ser instalados, como forma de minar a possibilidade de vazamentos de informações relevantes.

É preciso, convém dizer, desmistificar a ideia de que a Lei Geral de Proteção de Dados prejudicará os processos de auditoria.

Em suas regras, o Instituto dos Auditores Internos do Brasil estabelece que os auditores podem solicitar acesso irrestrito à informação.

Assim, os dados necessários a processos específicos podem ser acessados, desde que tenham sido coletados com a autorização do titular, dentro de um processo previamente descrito, e estejam de acordo com os princípios da LGPD.

A automação como aliada: o que a tecnologia pode fazer pela sua empresa

Para que se possa tratar os dados coletados de maneira adequada, pode-se contar com recursos de proteção, como antivírus, programas antiphishing, firewall, etc.

Estes artigos, no entanto, são auxiliares e podem não ser o suficiente para garantir que as informações corporativas ficarão resguardadas.

É preciso que o sistema e os usuários sigam os critérios estabelecidos. Para tal, pode-se contar com processos de automação em rede.

Chamamos de automação em rede a capacidade de escalar auditorias, por meio do uso de tecnologia específica e focalizada, em companhias com presença distribuída ou enorme fluxo de funcionários.

Algumas plataformas integram áreas de conhecimento para assegurar que as regulamentações estão sendo seguidas e que as boas práticas fazem parte do comportamento de toda a equipe.

Outros sistemas podem efetuar monitoramento ativo e fazer a remediação de uma série de problemas, evitando o vazamento de dados e evitando a reprodução de arquivos ou comportamentos que vão contra as normas que devem ser seguidas pela empresa e por seus funcionários.

Quando falamos sobre soluções de forense digital, a TechBiz é destaque: somos a maior integradora da América Latina e possuímos soluções eficazes para incidentes de segurança, defesa de dados, auditoria e compliance.

Temos todos os meios necessários para que a sua empresa esteja de acordo com as minúcias da Lei Geral de Proteção de Dados.

Para se certificar de que os sistemas, equipe e funcionários de sua companhia estão em compliance com as leis vigentes, solicite a nossa consultoria especializada. Entre em contato conosco por meio do telefone (31) 3190-0300 ou clique aqui.