Inúmeras dúvidas surgem sobre a LGPD. Se antes algumas pessoas estavam meio confusas sobre como aplicar ela no trabalho de forma geral, agora essa confusão se multiplica quando temos que pensar na LGPD no trabalho em casa.
Por causa da pandemia que foi originada pelo Covid-19, empresas que nunca antes haviam experimentado o trabalho em casa, tiveram que modificar suas políticas e começar uma rápida adaptação, em muitos casos sem planejamento prévio.
A partir do ano 2014 começaram as regulações relacionadas à internet com o Marco Civil da internet, lei que regula os princípios, garantias, direitos e deveres para quem usa a rede. Estamos falando da Lei 12.965/14.
Passado isso, chegou no ano 2018 a Lei Geral de Proteção de Dados Pessoais, que regula as atividades de tratamento de dados pessoais e que também altera alguns artigos do Marco Civil da Internet. Nesse ano, publicou-se a Lei, mas ainda não estava se aplicando. A previsão em agosto de 2018 era que a Lei entraria em vigência em 18 meses (fevereiro de 2020), porém, as medidas já foram adiadas pelo menos duas vezes depois dessa data. No passado 18 de agosto era o momento de decidir o destino definitivo. Porém, mais uma vez foi adiada para hoje 20 de agosto de 2020. O que vai acontecer? Ainda não sabemos mas sabemos sim uma coisa: Muitas empresas não estão preparadas!
Algumas empresas estão preparadas, mas outras não, sobretudo é sabido que as empresas menores e microempresas sejam as mais prejudicadas. As expectativas sobre essa lei chegam em um momento de muita incerteza, em que as empresas precisam dar atenção a muitos outros assuntos relacionados à atual situação de crise mundial, a qual afeta os negócios e economia de forma quase direta.
É por isso que vamos te fazer um pequeno resumo sobre o que a Lei inclui e como ajudar no processo de aplicação, sobretudo, nas políticas de home office.
A LGPD de forma geral
O objetivo dessa lei é simplesmente dar maiores direitos às pessoas sobre seus dados pessoais e determinar como as empresas usam eles em diferentes ações. Além disso, as companhias precisarão deixar claro para quê as informações serão usadas. É importante falar que a Lei faz uma diferença entre dados pessoais e dados sensíveis.
- Dados pessoais: qualquer informação identificável, tal como nome, RG, CPF, e-mail, etc. Dados relativos a uma pessoa jurídica, (tais como razão social, CNPJ, endereço comercial, etc.) não são considerados dados pessoais.
- Dados pessoais sensíveis: dados relacionados com origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico.
Alguns direitos das pessoas em relação aos dados são:
- Acesso aos seus dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD.
- Eliminação dos dados pessoais tratados com o consentimento do titular.
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
- Revogação do consentimento.
- Revisão de decisões automatizadas.
- Quem deve aplicar essa Lei?
- Qualquer empresa de qualquer segmento deve se adequar, sem importar tamanho ou se é uma instituição pública ou privada.
Como e a quem afeta dentro da empresa?
Estamos falando de uma Lei que tem influência em quase todas as áreas empresariais, pois todas as áreas coletam dados, desde o time de recursos humanos, até o time de marketing. Além disso, deve ser abordada de diversas formas: Em termos de segurança, jurídicos, etc.
Para uma empresa é quase impossível ser imune a ataques de segurança que possam afetar os dados confidenciais e pessoais. Porém, se essa empresa não tem medidas para se prevenir, as probabilidades de sofrer uma ameaça serão muito maiores. Especialmente agora, pois com a LGPD, os dados multiplicarão seu valor, uma vez que perdê-los representará importantes consequências para uma empresa, em termos econômicos e jurídicos.
Então temos várias situações acontecendo ao mesmo tempo:
- Ainda existe muita incerteza sobre como aplicar a lei.
- Algumas empresas ainda não estão preparadas para enfrentar a LGPD.
- Os dados começam a ter maior valor para as empresas e roubá-los começa a ter mais valor para os criminosos.
- Algumas empresas estão trabalhando em casa sem preparação prévia nem medidas corretas, por isso podem ser mais vulneráveis a sofrer ataques.
Medidas básicas
Antes de tudo, sua empresa já fez uma classificação do que é ¨dado sensível¨ e explicou isso para seus colaboradores? Porque se ainda não fez isso, a conscientização, sensibilização e treinamento com respeito à segurança e LGPD é o primeiro ponto a ser resolvido, logo pode tomar algumas medidas básicas de segurança:
- Bloqueio de tela sempre que não se estiver usando;
- Não usar as mesmas senhas em todos os serviços;
- Bloqueio de informações confidenciais para que não sejam salvas no disco local do computador.
- Ter políticas de como tratar os dados sensíveis, onde guardar e onde não acessar.
Agora sim, tomadas das medidas básicas, vêm as medidas de segurança mais complexas.
Então, como aplicar a Lei em termos de segurança e TI?
Em termos de segurança de dados, para evitar vazamentos ou sofrer ameaças, devemos ter atenção com vários aspectos.
Dal Aba, em conversa com Mobile Time, comenta que com a extensão da empresa para dentro da casa dos funcionários será necessária uma conscientização das pessoas sobre a LGPD, assim como uma solução que encapsule o dispositivo móvel durante o expediente de trabalho, limitando-o às tarefas corporativas.
Então temos duas considerações: Conscientização dos usuários sobre a importância dos dados e como se prevenir de ataques; e uso de ferramentas para diminuir o risco de sofrer ameaças. Para isso, é fundamental:
- Criptografar os dispositivos;
- Proteger o navegador;
- Investir em uma VPN;
- Fazer backup com regularidade e de forma segura. Possuir um software de DLP;
- Dupla autenticação de fatores;
- Possuir um Firewall de Aplicativo da Web (WAF) ou um Sistema de Prevenção de Intrusões (ISP). Assim, poderá ser possível a exploração proativa das mesmas vulnerabilidades de rede que os invasores estão procurando;
- Usar um bom antivírus, que seja comprovadamente eficaz;
- Adotar uma ferramenta que faça um raio-x do servidor de arquivos, de forma que identifique dados sensíveis inseridos nele;
- Contar com uma solução de gerenciamento que controle logins feitos em dispositivos e aparelhos vinculados às redes da empresa.
Quais soluções possuo para resolver esses problemas?
A Alus possui algumas soluções que podem ajudar sua empresa de diversas formas.
Solução Blackberry Spark Suite
- Solução UEM (Unified Endpoint Management) com opção de gerenciar todos os dispositivos da sua empresa em uma plataforma única.
- Inclui opção de trabalhar em um ¨container¨ totalmente seguro, ao qual só se pode acessar com usuário e senha e salva todas as informações confidenciais da empresa. Também não permite fazer copy/paste de informações fora do ¨container¨.
- Possui controlador e bloqueador de páginas web suspeitas.
- Não precisa investir em um VPN extra, pois ao usar a ferramenta a direção de IP que se mostra é a direção IP da BlackBerry com localização na Canadá.
- Possui criptografia e dupla autenticação de fatores.
- Faz autenticação contínua de usuário e conta com antimalware para proteção contra softwares maliciosos.
São vários problemas resolvidos, e para o caso do Firewall e DLP nossa recomendação é usar uma das soluções como o ForcePoint.
Solução ForcePoint
- Detecção e análise de ameaças internas.
- Proteção com base na nuvem para usuários e aplicativos.
- Segurança de dados e visibilidade de sistemas.
- Proteção da organização aumentando a sensibilidade de diagnósticos para identificar o risco de pessoas internas no ponto de detecção mais rápido.
Precisa de uma assessoria para a implementação de soluções em matéria de LGPD? Pode contar com a gente! Vamos bater um papo?
Fontes: Ley de Proteção de Dados Pessoais, LGPD no trabalho home office