
LGPD: entenda o papel da Segurança da Informação no cumprimento da lei
A Lei Geral de Proteção de Dados (LGPD) estabeleceu uma série de diretrizes para o uso que as empresas e órgãos públicos fazem de dados pessoais.
Uma parte dessas diretrizes diz respeito ao aspecto jurídico, mas não apenas: a Segurança da Informação também é um ponto essencial para garantir a conformidade com a lei.
Neste artigo, nós vamos esclarecer por que a cibersegurança é tão importante para o cumprimento da LGPD, destacando os pontos prioritários para as organizações. Confira!
Principais tópicos deste artigo
O que a LGPD diz sobre Segurança da Informação
Como o próprio nome da lei sugere, a LGPD tem como objetivo principal proteger os dados pessoais referentes a todos nós, pessoas físicas.
E na era digital em que vivemos, não há como falar em proteção de dados pessoais sem falar em medidas de Segurança da Informação.
Não à toa, a lei absorveu essa realidade e instituiu de forma clara que a segurança é um dos seus requisitos de conformidade. Inclusive, ela é listada como um dos dez princípios da LGPD, que devem guiar todo processo de tratamento de dados.
Além disso, a lei é taxativa ao dizer que os dados pessoais devem ser protegidos pelo agente de tratamento, mesmo após o fim do tratamento de dados, com medidas técnicas e administrativas – ou seja, medidas de Segurança da Informação.
Essa proteção deve incluir medidas para evitar acessos não autorizados e “situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Do contrário, a empresa terá que responder pelos danos causados em caso de qualquer violação de segurança.
Quais são as consequências de um vazamento de dados sob a LGPD
Uma das principais preocupações relacionadas ao tratamento de dados pessoais por empresas e órgãos públicos é que eles sejam vazados e expostos, colocando os titulares dos dados em risco.
A LGPD aborda essa preocupação específica, estabelecendo critérios para a comunicação de incidentes de segurança e deixando claro que pode haver sanções administrativas e legais para determinados casos.
Por exemplo, se a empresa deixou de adotar medidas que poderiam evitar um vazamento de dados e o dano causado por ele, ela é legalmente responsável por esse dano. Ou seja, pode vir a ser processada pelo titular.
Além disso, também fica sujeita a sanções administrativas que são aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados), entidade que fiscaliza o cumprimento da lei no país. E isso inclui também os órgãos públicos, que inclusive são maioria na lista de processos já em andamento na ANPD.
Por outro lado, se a empresa comprovar que adotou medidas razoáveis de Segurança da Informação, procurando evitar incidentes de segurança, esse também é um fator que contará a favor da empresa na hora da ANPD avaliar uma sanção.
É sempre importante ressaltar também que, além das sanções e processos, um incidente de segurança pode custar caro para a empresa e destruir a sua reputação. Por isso, investir em medidas de cibersegurança é sempre uma boa ideia.
Sanções administrativas previstas na LGPD
Para contextualizar, vamos listar aqui as sanções previstas na LGPD, que podem ser aplicadas pela ANPD em caso de violações à lei.
- Advertência, com prazo para corrigir as infrações;
- Multa simples de até 2% do faturamento da empresa no ano anterior, até o limite de R$50 milhões por infração;
- Multa diária de até 2% do faturamento da empresa no ano anterior, até um limite de R$50 milhões por infração;
- Tornar pública a infração cometida;
- Bloqueio dos dados pessoais relacionados à infração;
- Eliminação dos dados pessoais relacionados à infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
- Suspensão da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
- Proibição parcial ou total das atividades relacionadas a tratamento de dados.
Segurança da Informação e conformidade com a LGPD: soluções prioritárias
A conformidade com a LGPD deve ter como foco uma missão prioritária: proteger os dados pessoais, como de colaboradores e clientes.
Na prática, isso significa adotar uma estratégia para proteger a rede como um todo, já que qualquer brecha pode comprometer dados pessoais armazenados pela organização.
Essa estratégia deve englobar tanto soluções de proteção de dados e prevenção contra ataques, quanto medidas de conscientização dos funcionários, que são o elo fraco mais visado pelos hackers.
Algumas das medidas mais prioritárias incluem:
- Soluções de prevenção contra ameaças e ataques hacker, em especial proteção de endpoints e segurança de e-mail;
- Controle de acesso e verificação de identidade;
- Planos de backup, incluindo recuperação de desastres;
- Conscientização em cibersegurança para toda a equipe (um software de treinamento pode auxiliar muito nessa missão).
Garanta a conformidade com a LGPD com soluções adequadas de segurança
A conformidade com a LGPD é um assunto sério, já que violações podem ter impactos legais, financeiros e de reputação. Por isso, é importante investir nas soluções mais adequadas de cibersegurança.
A Oblock é parceira de empresas líderes de mercado na área de cibersegurança, e pode ajudar a sua organização a focar no melhor caminho para a adequação à LGPD.
Somos a distribuidora oficial das soluções da CrowdStrike, referência em proteção de endpoints, e da HSC, que oferece proteção de e-mail e software de treinamento em cibersegurança.
Entre em contato e saiba mais!