Blog

Sempre uma novidade te esperando

Conteúdos desenvolvidos por quem entende do assunto. Fique por dentro de tudo em primeira mão no nosso blog.

Análise de Dados - 04/02/2021

Os impactos da LGPD na Tecnologia da Informação

Quais os impactos da lei sobre suas atividades cotidianas?

Os impactos da LGPD na Tecnologia da Informação

Com a recente entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), lei nº 13.709 de 2018, dúvidas e preocupações se estabeleceram em empresas de diversos setores, incluído as empresas de Tecnologia da Informação (TI), e quais os impactos da lei sobre suas atividades cotidianas.


A LGPD, muito semelhante, em diversos aspectos, à lei europeia de proteção de dados (General Data Protection Regulation - GDPR), regula todo tratamento de dados pessoais dos cidadãos brasileiros feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais, seja dentro ou fora do Brasil, assegurando a titularidade dos dados pessoais, exigindo consentimento para seu uso e aplicando sanções ao descumprimento.


A lei se baseia principalmente no consentimento dos titulares dos dados, exigindo que eles forneçam a devida autorização antes da coleta e tratamento dos dados, resguardadas as exceções da lei. O consentimento sempre deve ser explícito e inequívoco, ou seja, deve ser exigido do titular em local onde terá fácil acesso às informações sobre a coleta e tratamento dos dados (princípios da finalidade, livre acesso e transparência) e com campo específico para confirmação do seu consentimento. Do mesmo modo, o titular pode revogar o consentimento a qualquer momento, independente de alteração nas informações e/ou finalidades quanto ao tratamento dos dados.


Como modo de garantir que os dados sejam tratados adequadamente, a lei traz 10 princípios legais, que devem ser seguidos por todas as empresas que possuem e tratam algum tipo de dado:


1. Finalidade: o titular dos dados deve ser informado explicitamente sobre a finalidade específica da coleta e tratamento de seus dados


2. Adequação: os dados coletados e tratados devem se adequar à finalidade do negócio previamente acordada e divulgada


3. Necessidade: limitação da coleta e tratamento dos dados para o essencial no cumprimento da finalidade estabelecida


4. Livre acesso: os titulares dos dados devem ter acesso livre, fácil e gratuito à forma como seus dados são tratados


5. Qualidade: os dados coletados e tratados devem ser exatos e atualizados, observando sempre a necessidade do tratamento


6. Transparência: as informações fornecidas ao titular dos dados devem ser clara, concisas e acessíveis, tanto em relação ao tratamento de seus dados, quanto sobre os responsáveis pelo seu tratamento


7. Segurança: os dados devem ser protegidos e possuírem mecanismos que evitem acidentes ou ilícitos como invasões, físicas ou digitais, destruição de dados ou servidores, perda e difusão


8. Prevenção: medidas precisam ser tomados para prevenir contra danos ao titular e demais envolvidos em acidentes ou ilícitos relacionados aos dados


9. Não discriminação: não permitir atos ilícitos ou abusivos de direito, garantindo que os dados sejam utilizados de maneira justa, igualitária, legal e responsável


10. Responsabilização: o agente responsável pela coleta, tratamento e exclusão dos dados deve ser responsabilizado, devendo demonstrar a eficácia das medidas adotadas para garantir o cumprimento dos princípios legais.


Na prática, empresas, bem como o governo, deverão garantir maior segurança aos dados pessoais coletados (sejam físicos ou digitais), observando os objetivos, fundamentos e princípios da lei.


No setor de TI, com a alta e crescente base de dados movimentada, é necessária uma atenção especial no gerenciamento e tratamento desses dados e quais os procedimentos e controles de segurança da informação precisam ser tomados desde a coleta e tratamento à distribuição e descarte, observando todos os princípios e bases legais.


Os profissionais de TI, inclusive, representam uma peça-chave na adequação das empresas às disposições da LGPD, uma vez que são os responsáveis por gerenciar os dados armazenados, monitorar eventos da informação e garantir a eficiência das operações, bem como orientar advogados e profissionais de compliance digital sobre o funcionamento dos softwares e a aplicação dos dados coletados.


Conforme podemos observar, a lei estabelece princípios e determina que sejam tomadas medidas efetivas de segurança, logo, podemos considerar medidas que vão desde as mais básicas como controle de acesso e mudança periódica de senhas à Privacy by Design (PbD) e implementação de programa de Compliance Digital, as quais deverão ser avaliadas, aprendidas e aplicadas com seriedade pelo setor de TI e seus profissionais.


Com relação aos métodos de segurança da privacidade de dados pessoais e da informação como um todo, há muita discussão, com razão, em torno do Privacy by Design e a necessidade de seguir seus princípios para uma boa adequação à LGPD. Diferente da lei europeia (GDPR), a LGPD não aborda especificamente sobre o conceito Privacy by Design, mas os princípios da PbD estão presentes na lei de maneira similar e valem uma atenção especial na hora da adequação.


Além dos princípios base da PbD, o conceito é importante na hora de desenvolver uma mentalidade ou cultura de privacidade de dados, uma vez que cada projeto é pensado desde sua concepção para proteger os dados e ser o mais transparente possível, implementando, assim, parte das exigências da LGPD ou, ao menos, garantindo que a privacidade e a proteção de dados sejam parte inerente do design e necessitem do mínimo possível de adequações à lei.


Para entender um pouco melhor do que tratam os princípios da PbD e como eles se relacionam com os princípios e objetivos da LGPD, é importante conhecermos os 7 princípios fundamentais do Privacy by Design:


1. Pró-ativo não reativo; Preventivo, não corretivo A abordagem Privacy by Design (PbD) é caracterizada por medidas pró-ativas em vez de reativas. Antecipa e evita eventos invasivos de privacidade antes que aconteçam. PbD não espera que os riscos de privacidade se materializem, nem oferece soluções para resolver infrações de privacidade, uma vez que ocorreram - visa prevenir eles ocorram. Resumindo, a privacidade projetada vem antes do fato, não depois.


2. Privacidade como configuração padrão Todos nós podemos ter certeza de uma coisa - as regras padrão! O Privacy by Design visa oferecer o grau máximo de privacidade, garantindo que os dados pessoais sejam protegidos automaticamente em qualquer sistema de TI ou empresa. Se um indivíduo não fizer nada, sua privacidade ainda permanecerá intacta. Nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade - isso é integrado ao sistema, por padrão.


3. Privacidade incorporada ao design/projeto Privacy by Design está embutido no design e na arquitetura dos sistemas de TI e nas práticas de negócios. Não é implementado como um add-on, após o fato. O resultado é que a privacidade se torna um componente essencial do núcleo de funcionalidade entregue. A privacidade é parte integrante do sistema, sem diminuir a funcionalidade.


4. Funcionalidade total - Soma positiva, não soma zero O Privacy by Design visa acomodar todos os interesses e objetivos legítimos em uma forma de soma positiva e "ganha-ganha", não por meio de uma abordagem datada de soma zero, onde compensações desnecessárias são feitas. O Privacy by Design evita a pretensão de falsas dicotomias, como privacidade x segurança, demonstrando que é possível ter as duas.


5. Segurança ponta a ponta - Proteção total do ciclo de vida Privacy by Design, tendo sido incorporada ao sistema antes do primeiro elemento de informação ser coletado, estende-se com segurança por todo o ciclo de vida dos dados envolvidos - fortes medidas de segurança são essenciais para a privacidade, do início ao fim. Isso garante que todos os dados sejam retidos com segurança e, em seguida, destruídos com segurança no final do processo e em tempo hábil. Assim, a Privacy by Design garante, do início ao fim, um gerenciamento seguro do ciclo de vida das informações, de ponta a ponta.


6. Visibilidade e transparência - mantenha-o visível O Privacy by Design visa garantir a todas as partes interessadas que, seja qual for a prática de negócios ou tecnologia envolvida, está, de fato, operando de acordo com as promessas e objetivos declarados, sujeitos a verificação independente. Seus componentes, peças e operações permanecem visíveis e transparentes, tanto para usuários quanto para fornecedores. Lembre-se, confie, mas verifique.


7. Respeito pela privacidade do usuário - Mantenha-o centrado no usuário Acima de tudo, Privacy by Design exige que arquitetos e operadores mantenham os interesses do indivíduo em primeiro lugar, oferecendo medidas como fortes padrões de privacidade, aviso apropriado e capacitação amigável opções. Mantenha-o centrado no usuário.


De uma certa maneira, os princípios da PbD se alinham ou se assemelham aos dispostos na LGPD, com uma diferença bastante significativa quanto à aplicabilidade, uma vez que a PbD já está devidamente consolidada em negócios por todo o mundo, o que facilita sua pesquisa, conhecimento e implementação nas empresas de TI e garante que os dados, e seus mecanismo de proteção, possam ser analisados desde a concepção do sistema.


Vale lembrar, claro, que o PbD é apenas uma parte de todo o processo de adequação à proteção de dados e que não está previsto legalmente, ao menos não explicitamente como na GDPR, mas vai de encontro aos objetivos da LGPD e fornece um escopo maior de opções de trabalho, motivo pelo qual é indispensável sua observância quando falamos de adequação à lei brasileira.


Nesse sentido, é importante investir no aperfeiçoamento dos profissionais de TI, para que estejam cientes das legislações, aplicando os princípios legais e de Privacy by Design e possuam conhecimento sobre os controles de segurança de informação necessários para a proteção de dados pessoais, instalando, revisando e aprimoramento os bancos de dados, conforme disposições normativas, bem como possam contar com apoio jurídico adequado, que irá instruir sobre os requisitos legais e desenvolver os pareceres e relatórios necessários, e uma equipe multidisciplinar, que seja capaz de solucionar incidentes da informação em seus diversos níveis de impacto.


A Lei Geral de Proteção de Dados Pessoais vem como uma necessidade e uma garantia de proteção dos dados pessoais e obriga, por outro lado, que empresas, de diversos setores, principalmente de TI, tomem conhecimento sobre suas disposições e princípios e se adequem formalmente, monitorando riscos, evitando incidentes da informação e garantindo a privacidade e segurança dos dados pessoais.



Everton Gustavo Souza Lopes, especialista em Direito Digital e Compliance, profissional de Compliance Digital, Membro da Associação Nacional dos Profissionais de Proteção de Dados (ANPPD), Membro da Internet Society (ISOC) e Alumni do ITS Rio. Certificado Privacy Foundations (ISO/IEC 29.100). 

7 dicas para acelerar seu aprendizado em Machine Learning
Análise de Dados - 04/02/2021

7 dicas para acelerar seu aprendizado em Machine Learning

Quer se tornar um expert em Machine Learning? Este artigo tem dicas que facilitarão seu aprendizado. Acompanhe!

Leia mais
O que um cientista de dados precisa saber para trabalhar na 2RP?
Análise de Dados - 04/02/2021

O que um cientista de dados precisa saber para trabalhar na 2RP?

Quer ser um cientista de dados na 2RP? Preparamos um post com informações importantes sobre nosso time e cultura. Confira!

Leia mais
5 Certificações em ciência de dados que vão te dar uma vantagem no mercado
Análise de Dados - 04/02/2021

5 Certificações em ciência de dados que vão te dar uma vantagem no mercado

Conheça as principais certificações em ciência de dados para impulsionar a sua carreira

Leia mais