Empresas precisam conhecer pontos críticos da LGPD para evitar sanções 

0
56

A partir de 1º de agosto passam a vigorar as sanções para o caso de violação das regras previstas na Lei Geral de Proteção de Dados (LGPD). As penalidades para as empresas que descumprirem quaisquer itens ou condições estabelecidas pela nova lei vão desde uma simples advertência, com possibilidade de medidas corretivas; multa de até 2% do faturamento do exercício fiscal do ano anterior com limite de até R$ 50 milhões por infração até a suspensão parcial ou total da atividade de operação de tratamento de dados.

Vale ressaltar que qualquer violação à segurança de dados pessoais, seja proposital, seja acidental, que ocasione o vazamento desses dados, será passível de punição, independentemente da quantidade de dados divulgados publicamente. Por isso, é importante que as empresas tenham uma estrutura de segurança cibernética, com medidas e controles, para que não sofram grande impacto em seu negócio Uma das ações que eventualmente as empresas podem adotar para minimizar o impacto caso haja um vazamento é fazer a criptografia dos seus dados, já que isso torna muito mais difícil e complexo para serem decifrados.

Um aspecto que deve ser observado é que a lei estabelece que tanto o controlador quanto o operador poderão responder por danos decorrentes da violação da segurança dos dados, ao deixar de adotar as medidas protetivas. Controlador é a empresa ou a pessoa que coordena e define como o dado pessoal será tratado, da coleta à eliminação. Já o operador é a pessoa ou a empresa que processa e trata os dados pessoais sob as determinações do controlador.

Na verdade, o papel que cabe a cada um dos agentes responsáveis pelo tratamento de dados pessoais tem gerado muitas dúvidas. Tanto que no fim de maio a Autoridade Nacional de Proteção de Dados (ANPD), órgão que responde pela fiscalização e a regulação da LGPD, publicou o "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado". O documento busca estabelecer diretrizes aos agentes de tratamento e explicar quem pode exercer a função de controlador, de operador e de encarregado (DPO) da proteção de dados.

Outro documento importante é o relatório de impacto à proteção de dados (RIPD), que as empresas terão que produzir e no qual devem constar todas as operações e dados pessoais tratados. A empresa que coleta dados de alguma forma, seja por um aplicativo, seja pela internet, terá que elaborar esse relatório de impacto, que deve trazer todos os possíveis riscos existentes nas operações de tratamento. Então, se eventualmente uma aplicação estiver expondo algum dado pessoal que possa ser vazado, isto terá de constar nesse documento, apontando quais são os riscos de vazamento de dados.

Antes de tudo, é preciso entender quais são os riscos, ter isso documentado e as ações que serão tomadas para minimizá-los ao máximo. Trata-se de um trabalho de gerenciamento de riscos, exigência que está na lei. Não é uma tarefa fácil, mas tem de ser feita. 

Edson Gaseta, especialista em cibersegurança da Kryptus.

Deixe seu comentário