LGPD: como garantir a segurança em home office?

LGPD

Se tem duas express√Ķes que voc√™ deve ter ouvido muito no meio corporativo nos √ļltimos tempos s√£o home office e LGPD, certo? N√£o √© √† toa. Dois mil e vinte tem sido o ano de protagonismo de ambos e garantir a seguran√ßa em home office √© um grande desafio para as companhias.¬†

A LGPD, Lei Geral de Proteção de Dados, é a legislação brasileira que regula todas as atividades relacionadas com a coleta, o armazenamento e o tratamento de dados pessoais. Foi promulgada em 2018 e deve entrar em vigor nos próximos dias, após sanção presidencial.

Já o home office, conhecemos melhor, não é mesmo? O trabalho remoto realizado pelo colaborador em sua  casa ou local de preferência. E que, com todo o isolamento social, causado pela crise do coronavírus, tornou-se rotina, principalmente no meio corporativo.

Os dois tem sido assuntos importantes este ano e se relacionam diretamente, já que com o trabalho remoto, essa gestão de dados fica um pouco mais complicada de ser realizada e adaptada à nova lei. 

Por isso, neste post, entenderemos quais s√£o as principais medidas de seguran√ßa que devem ter tomadas pelas empresas para que as opera√ß√Ķes remotas respeitem a nova Lei de Prote√ß√£o de Dados. N√£o perca e boa leitura!

A Lei Geral de Proteção de Dados e sua aplicação

A LGPD, descrita pela Lei n¬ļ 13.709, de 14 de agosto de 2018, foi criada para regulamentar todas as atividades relacionadas √† coleta, armazenamento e tratamento de dados pessoais.¬†

A lei muda a seguinte premissa: as empresas, que hoje ‚Äút√™m‚ÄĚ ou ‚Äúpossuem‚ÄĚ os dados, passar√£o apenas a control√°-los. √Č uma mudan√ßa de conceito muito importante, j√° que os dados pessoais s√£o pertencentes apenas √† quem lhes dizem respeito.¬†

Dessa forma, as empresas devem controlar, digitalmente e analogicamente, os seus pr√≥prios acessos e seus pr√≥prios usos dessas informa√ß√Ķes.¬†

E o motivo √© justamente esse: s√£o informa√ß√Ķes que n√£o pertencem a elas e sim a outras pessoas – √ļnicas, livres e com direitos e deveres garantidos pela Constitui√ß√£o da Rep√ļblica Federativa do Brasil.¬†

As empresas passam, ent√£o, apenas a ter conhecimento desses dados em um momento espec√≠fico de necessidade de averigua√ß√£o dessas informa√ß√Ķes em algum n√≠vel. E podem at√© armazen√°-los e trat√°-los, mas sempre com a autoriza√ß√£o pr√©via de seus devidos donos.¬†

Ou seja, as empresas não passam simplesmente a obter esses dados definitivamente, de modo que façam o que bem entenderem. Elas apenas os controlam até o momento em que tiverem autorização para isso.

LGPD e suas principais finalidades

A principal finalidade da LGPD é garantir às pessoas físicas, seus direitos fundamentais de liberdade, privacidade e livre desenvolvimento.

Não é à toa que, em seu primeiro capítulo, a nova lei descreve:

Art. 2¬ļ A disciplina da prote√ß√£o de dados pessoais tem como fundamentos:

I Рo respeito à privacidade;

II Рa autodeterminação informativa;

III Рa liberdade de expressão, de informação, de comunicação e de opinião;

IV – a inviolabilidade da intimidade, da honra e da imagem;

V – o desenvolvimento econ√īmico e tecnol√≥gico e a inova√ß√£o;

VI Рa livre iniciativa, a livre concorrência e a defesa do consumidor e

VII Рos direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Com isso, a seguir vamos entender um pouco melhor como é possível adaptar a sua empresa a todos esses novos conceitos. Parece complicado, não é mesmo? Mas não é tanto assim. Continue conosco e descubra como garantir a segurança em home office dos dados da sua companhia!

Como adaptar-se a nova lei

Antes de mais nada, √© importante ressaltar que, os dados pessoais s√£o fundamentais, a n√≠vel de regulamenta√ß√£o, pois essas informa√ß√Ķes podem identificar pessoas.

Em níveis de direitos e deveres civis, o mau uso de dados pessoais pode ter consequências irreparáveis. Isso porque são com os dados de pessoas físicas que as grandes empresas traçam as suas melhores estratégias de marketing e vendas.

E nós, pessoas físicas, entregamos nossos dados pessoais o tempo todo às empresas, muito mais do que podemos imaginar. 

Nas redes sociais, o tempo todo postamos sobre o que gostamos, onde estamos, o que estamos fazendo, entre diversas outras informa√ß√Ķes.¬†

Al√©m disso, tamb√©m realizamos in√ļmeros cadastros em landing pages para o recebimento de materiais ricos e inscri√ß√Ķes em eventos, por exemplo.¬†

Todas essas informa√ß√Ķes s√£o valiosas para as empresas, pois sabendo quem somos, o que gostamos e onde vamos, fica muito mais f√°cil e assertiva a cria√ß√£o de estrat√©gias de abordagem e de venda.¬†

Todavia, as empresas também têm responsabilidade com todo esse volume de informação e deve prezar pelos dados pessoais de seus prospects, clientes, fornecedores e colaboradores. Agora mais ainda. 

Por isso, a seguir, vamos refletir sobre quais a√ß√Ķes uma empresa pode tomar para garantir que a LGPD comece a ser seguida.¬†

Principalmente para que a segurança em home office seja garantida, já que a companhia passa a ter ainda menos controle do uso tecnológico de seus colaboradores. Confira:

Capacitação da equipe e treinamentos

Antes de mais nada, é essencial que a empresa coloque o tema da LGPD no dia a dia de seus colaboradores. Não apenas como um treinamento engessado e teórico, mas como uma mudança de hábitos diários, a serem colocados em prática o mais rápido possível para garantir a segurança em home office.

O próximo passo, então, é oferecer treinamentos de qualidade para os seus colaboradores, principalmente aos que estão em home office, sem supervisão física dos gestores. 

Apresentar a lei, literalmente, e mapear as jornadas de trabalho de cada área é um bom começo. Assim, ficam mais fáceis e mais claras todas as mudanças necessárias dentro dos processos do dia a dia. 

Bons exemplos disso s√£o: as pastas do RH n√£o podem estar abertas a todos da empresa, pois cont√©m in√ļmeros dados pessoais de seus colaboradores. E o marketing tamb√©m deve permanecer atento na hora de solicitar informa√ß√Ķes em formul√°rios para a capta√ß√£o de leads.

Políticas

Criar políticas de proteção e contratos de confiabilidade são boas maneiras de regulamentar, dentro da empresa, a coleta, o armazenamento e o tratamento dos dados pessoais. 

Boas dicas para a uma política de proteção de dados efetiva são:

  • programar um hist√≥rico de modifica√ß√Ķes das informa√ß√Ķes dos documentos, que indiquem quem e quando os dados foram editados;
  • n√£o permitir o salvamento de arquivos e informa√ß√Ķes na unidade local do computador, apenas no sistema espec√≠fico para isso ou na nuvem;
  • criptografar todas as informa√ß√Ķes armazenadas.

Criando um comprometimento formal dos colaboradores com essa pol√≠tica de prote√ß√£o de dados, os riscos de vazamento de informa√ß√Ķes diminuem muito, pois a responsabilidade e o cuidado de cada um aumenta consideravelmente.¬†

Solu√ß√Ķes tecnol√≥gicas

Fornecer equipamentos e solu√ß√Ķes tecnol√≥gicas seguras e de qualidade aos colaboradores em home office √© essencial para que o seguimento das regras seja efetivo.

Primeira dica em rela√ß√£o √† isso: forne√ßa equipamentos configurados pela pr√≥pria empresa aos colaboradores. J√° com todos os acessos e permiss√Ķes necess√°rios para que ele realize seu trabalho com qualidade, o risco da instala√ß√£o equivocada de programas, por exemplo, √© m√≠nimo.

Segunda dica, tão importante quanto: estabeleça acessos apenas por VPN (sigla em inglês para virtual private network, ou seja, rede privada virtual). 

Dessa forma, mesmo remotamente, os acessos tanto à internet, quanto à programas e arquivos da nuvem, ficam atrelados a uma rede de total controle da companhia. 

>> O final do ano se aproxima e, com ele, o recebimento do décimo terceiro salário. Por isso, descubra Como utilizar o décimo terceiro em ano de pandemia: as 5 melhores dicas! <<

Bloqueios

Aqui, falamos de bloqueios de acessos e bloqueios de tela. Os bloqueios de acessos dos colaboradores facilita demais o controle da empresa em rela√ß√£o √†s obriga√ß√Ķes impostas pela LGPD. Saber quem tem acesso ao qu√™ √© fundamental para uma gest√£o de controladoria bem feita.

Al√©m disso, orientar os colaboradores a bloquearem suas telas nos momentos em que saem da frente dos computadores tamb√©m √© uma boa dica. Ainda mais em casa, que muitas vezes tem a presen√ßa de crian√ßas que podem, sem querer, mexer e alterar informa√ß√Ķes importantes.

O que diz a especialista sobre a adaptação

Em uma entrevista para a Crypto ID, a especialista no assunto Patrícia Peck, fala sobre os temas centrais da LGPD e como as empresas podem se proteger quanto à integridade dos dados pessoais com os quais trabalha. Diz a especialista:

‚ÄúPara atingir n√≠veis satisfat√≥rios e adequados √†s normas, √© necess√°rio cumprir uma jornada do compliance em Privacidade e Prote√ß√£o de Dados e investir em tr√™s pilares: solu√ß√Ķes tecnol√≥gicas, revis√£o de contratos e procedimentos e capacita√ß√£o da equipe. (…)¬†

Alguns processos precisam ser revistos. O primeiro de todos envolve o controle de acesso aos dados pessoais. Deve-se iniciar fazendo o inventário dos dados pessoais e então mapeando o seu fluxo dentro da instituição até que haja seu descarte, eliminação ou apagamento ou que haja compartilhamento com terceiro, ou seja, deve ser desenhado todo o fluxo do ciclo de vida do dado pessoal e o percurso que ele realiza desde a entrada até a saída.

A partir deste diagn√≥stico, devem ser verificadas as solu√ß√Ķes t√©cnicas e administrativas que garantam a prote√ß√£o dos dados pessoais, tanto em n√≠vel de controle e gest√£o como quanto √†s regras de governan√ßa (documenta√ß√£o).

Este tipo de trabalho acaba tendo um maior impacto sobre a TI e a área de SI, mas também sobre o marketing (dados pessoais de clientes) e o departamento de gestão de pessoas (dados pessoais de funcionários).

Alguns procedimentos novos como o que permite o direito ao apagamento dos dados e a portabilidade tamb√©m dever√£o ser criados. Al√©m do procedimento para cumprir o dever de reportar uma viola√ß√£o.‚ÄĚ

O que aprendemos com a GDPR e como ela garante segurança em home office

A nossa LGPD, do Brasil, é inspirada na GDPR, General Data Protection Regulation, implementada em toda a União Europeia em 15 de maio de 2018. 

Com dois anos de experiência à frente, seguindo as novas normas relacionadas aos dados pessoais, é importante que reflitamos sobre os seus principais aprendizados.

Eis, portanto, o principal deles: a adequação à LGPD deve ser uma mudança cultural com um todo e não apenas mais uma responsabilidade apenas da controladoria. Sobre o assunto, voltamos com a especialista Patrícia Peck, que auxiliou na descrição da lei aqui no Brasil:

‚Äú√Č uma mudan√ßa cultural, que deve vir por meio do investimento em capacita√ß√£o e aprimoramento t√©cnico, tanto para identificar e como apontar os impactos socioecon√īmicos e os m√©todos para estar em conformidade com as regras. √Č um trabalho que envolve a governan√ßa dos dados, de que forma a empresa lida com a gest√£o da informa√ß√£o, como est√° a blindagem da propriedade intelectual diante a realidade 5G, onde cada vez mais avan√ßa o Big Data, Machine Learning, Intelig√™ncia Artificial (IA), Internet of Things (IoT), blockchain e startups‚ÄĚ.

Insights importantes

Mais alguns insights importantes, apresentados pelo artigo da Conjur, os quais podemos usar para n√£o errar ou errar menos aqui no Brasil, principalmente em tempos de home office, s√£o:

  • foram realizadas aproximadamente 144.376 reclama√ß√Ķes √†s autoridades de prote√ß√£o de dados europeias por supostas viola√ß√Ķes √† GDPR;
  • 89.271 notifica√ß√Ķes de vazamento de dados foram apresentadas para as autoridades europeias de prote√ß√£o de dados;
  • a aplica√ß√£o da GDPR resultou em um montante de multas no valor de aproximadamente 56 milh√Ķes de euros;
  • a CNIL, autoridade francesa, registrou 310 investiga√ß√Ķes em 2018 relacionadas ao novo regulamento europeu de prote√ß√£o de dados.

Ou seja, a regulamentação deve ser seguida à risca, pois as pessoas estão começando, cada vez mais, a se preocuparem com os destinos dos seus dados pessoais. E as empresas não podem mais simplesmente fechar os olhos para esse grande problema.

Mais inspira√ß√Ķes nas leis de fora

E pensou que paramos por a√≠? As inspira√ß√Ķes para cria√ß√£o de novas leis relacionadas a seguran√ßa de dados n√£o param! A internet tem modificado a realidade em tantos n√≠veis, que muitas regulamenta√ß√Ķes ainda ser√£o modificadas e adequadas em todo o mundo.¬†

A Patrícia Peck também comenta sobre isso e nos dá exemplo do que está por vir: 

‚ÄúPor exemplo, como harmonizar a LGPD com o Cadastro Positivo? Agora no in√≠cio do ano entrou em vigor o California Consumer Privacy Act (CCPA), aplicado para quem reside no estado norte-americano, e voltado para comercializa√ß√£o de dados pessoais, com foco na rela√ß√£o de Opt Out, com a possibilidade de pedir para n√£o vender os seus pr√≥prios dados. Temos tamb√©m a Conven√ß√£o 108, considerado como o primeiro tratado internacional de Privacy and Data. Voc√™ est√° atualizado com todas essas normas e consequ√™ncias?‚ÄĚ.

S√£o diversas as combina√ß√Ķes de desafios que temos pela frente em rela√ß√£o ao tema, principalmente agora que o home office com certeza veio para ficar. Por isso, tornou-se essencial voltar as aten√ß√Ķes tamb√©m para outras leis, que n√£o apenas as trabalhistas, para garantir o sucesso do neg√≥cio.

 

E ent√£o, esse post foi √ļtil para voc√™? Se sim, n√£o deixe de compartilhar com os seus amigos nas redes sociais!

Deixe um coment√°rio

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Confira outros artigos que você pode se interessar