Voltamos a falar da LGPD! Mas dessa vez é inevitável. Acontece que a partir deste mês de agosto as multas e penalizações começam a valer realmente, agora as empresas que não cumprirem com os requisitos ou que sofrerem algum tipo de vazamento que exponha dados sensíveis de usuários, serão penalizadas com multas diárias de até 2% do faturamento líquido com base no balanço do ano anterior.
Até o mês passado, a LGPD estava valendo com avisos e advertências, porém sem aplicar as taxas correspondentes.
Os tipos de multas e penalizações da LGPD
A legislação estabelece uma máxima de 50 milhões de reais e, se mesmo assim, a empresa ainda não se adequar às regulamentações, poderá ser notificada mediante uma advertência que se ignorada terá sérias consequências, como um bloqueio do banco de dados pelo período de até seis meses.
Entre outras penalizações podemos mencionar a eliminação dos dados pessoais a que se refere a infração, suspensão do exercício da atividade de tratamento dos dados pessoais, proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, entre outras.
Na verdade, se analisarmos os fatos detalhadamente, o bloqueio do banco de dados pode ser muito mais grave do que a multa financeira, pois para a maioria das empresas que têm suas ações baseadas no seu banco de dados, um bloqueio como esse interromperia sua operação e causaria prejuízos muitos maiores.
Nessa ordem de ideias, há um prejuízo que não está estabelecido pela LGPD, mas vale a pena mencionar porque suas implicações são indiscutíveis: A perda da credibilidade do público. A reputação da sua empresa será seriamente afetada se um acontecimento grave ocorrer causando a exposição de seus clientes.
Lembre-se de uma coisa: você poderá pagar a multa e até desbloquear seu banco de dados, caso tenha sido bloqueado, mas a confiança das pessoas é um assunto bem mais complicado de resolver.
No caso dos serviços terceirizados
Uma dúvida que poderia surgir em relação às multas por parte das organizações é o que acontece quando estão envolvidos serviços terceirizados ou fornecedores que têm alguma relação com o banco de dados. Por exemplo: Uma nuvem de armazenamento.
Imagine que sua empresa contratou um serviço de nuvem mensal onde salva todos os seus dados pessoais e sensíveis. Se o fornecedor dessa nuvem sofresse um ataque e tivesse consequências sobre os dados da sua empresa, sua empresa seria culpada, mesmo que o ataque não tenha sido diretamente para ela?
Infelizmente sim. Sua empresa é responsável por esses dados, pois os usuários que compartilharam dados pessoais os compartilharam com você, não com o seu fornecedor.
Então sim, sua empresa será responsável mesmo assim. Por isso é que começa a ser essencial que as empresas façam bem suas escolhas e procurem por fornecedores que estejam em consonância com seus métodos de segurança e que também tomem precauções para regulamentações como a LGPD ou a GDPR.
Adequação à LGPD em 4 passos
Esta é a dúvida de muitas empresas que ainda não se adequaram à lei ou que não sabem se sua adequação foi a mais correta. Então, vamos passo a passo da forma mais breve e resumida possível:
Passo 1: Informe-se
O primeiro passo é estar informado sobre as implicações que a LGPD tem sobre suas políticas de armazenamento e compartilhamento de dados. Destaque especificamente quais aspectos deverão levar maior atenção, quais processos deverão ser melhorados e quais deverão ser eliminados. Isto é fazer uma priorização de todos assuntos que envolvem suas políticas de dados.
Passo 2: Assessore-se
Procure ajuda, interna ou terceirizada. Dependendo dos recursos da sua empresa, você pode eleger sua própria equipe interna de adequação à LGPD ou contratar os serviços de outras empresas que, com ajuda de uma equipe terceira, planejarão detalhadamente um programa de adequação adaptado à realidade da sua empresa. Estas equipes deverão estar conformadas por um advogado e especialistas de cibersegurança que entendam como é que de fato esse plano pode ser feito em tempo real.
Será uma extensão mais aprofundada da sua própria análise feita no passo 1 que avaliará banco de dados, vulnerabilidades, riscos, ameaças, incidentes e caminhos de melhorias.
Passo 3: Conte com um DPO
A LGPD estabelece o requisito de contar com um DPO (Data Protection Officer), cujas funções serão as de monitorar que esse plano seja realmente cumprido ao longo do tempo e estar alerta a qualquer mudança ou acontecimento que precise de uma nova adaptação. Além disso, esta pessoa será a interface com os stakeholders e com a Autoridade Nacional de Proteção de Dados (ANPD), órgão encarregado de supervisionar que a LGPD seja cumprida pelas organizações perante ao governo brasileiro.
Passo 4: Implemente
Aqui é onde entra o plano em ação, com ajuda de soluções e serviços que façam o seu planejamento realmente possível. A implementação de soluções tecnológicas isoladas não garante a adequação, motivo pelo qual é necessário passar pelo passo 1 e 2 para identificar que aspectos sua empresa precisa melhorar.
A partir dessas conclusões e das conclusões da equipe de assessoria (caso você contrate ou tenha alguma) é que serão determinadas as soluções que sua empresa precisa incluir no portfólio. Sejam soluções de criptografia, resposta a incidentes, gerenciamento de dados, gerenciamento de permissões, entre outras, é necessário identificar de que formas elas vão ajudar você a cumprir com o seu plano.
Alus IT Security tem várias soluções que servem para a adequação à LGPD (lembrando que seria impossível se adequar com uma única solução). Conheça elas abaixo:
Forcepoint:
Core Security
BlackBerry / Kaspersky
Veja este vídeo que realizamos alguns meses atrás explicando resumidamente por que todas as empresas devem fazer este processo de adequação da forma mais assertiva possível.
Fonte da notícia:
LGPD: a partir de domingo (1º), multas milionárias e sanções começam a ser aplicadas
