Pesquisar
Close this search box.
Pesquisar
Close this search box.
Facebook Instagram Linkedin

Tag: lei geral de proteção de dados

Categorias
Proteção de dados

Diferença entre tipos de criptografia para proteção de dados

As empresas podem reduzir a probabilidade de violação de dados e, assim, reduzir o risco de multas no futuro pela Lei Geral de Proteção de Dados (LGPD), se optarem por usar criptografia para proteção de dados

O tratamento de dados pessoais está naturalmente associado a um certo grau de risco. Especialmente hoje em dia, onde os ataques cibernéticos são quase inevitáveis ​​para empresas.

Portanto, a criptografia para proteção de dados desempenha um papel cada vez maior na segurança de TI para grande parte das empresas.

Em geral, a criptografia se refere ao procedimento que converte texto não criptografado, conhecido também como texto em claro, em uma informação que é ilegível, de forma de interpretação usando uma chave, em que as informações de saída só se tornam legíveis novamente usando a chave correta.

Isso minimiza o risco de um incidente durante o processamento de dados, pois o conteúdo criptografado é basicamente ilegível para terceiros que não possuem a chave correta. 

A criptografia é a melhor maneira de proteger os dados durante a transferência e é uma forma de proteger os dados pessoais armazenados. Também reduz o risco de abuso dentro de uma empresa, pois o acesso é limitado apenas a pessoas autorizadas com a chave certa.

Criptografia para proteção de dados e a LGPD: o que você deve saber

Na era atual dos computadores, a criptografia é frequentemente associada ao processo em que um texto simples comum é convertido em texto cifrado, que é o texto feito de forma que o destinatário pretendido do texto possa apenas decodificá-lo e, portanto, esse processo é conhecido como criptografia.

O processo de conversão de texto cifrado em texto simples é conhecido como descriptografia.

Os principais usos de criptografia são as seguintes:

  • Confidencialidade: as informações só podem ser acessadas pela pessoa a quem se destinam e nenhuma outra pessoa, exceto ela, pode acessá-la;
  • Assinatura Digital: no qual as informações são assinadas para que seja possível identificar o remetente da informação, com integridade e não repúdio.
  • Integridade: as informações não podem ser modificadas no armazenamento ou na transição entre o remetente e o destinatário pretendido sem que qualquer adição à informação seja detectada;
  • Autenticação: as identidades do remetente e do destinatário são confirmadas. Bem como o destino / origem das informações é confirmado.

Tipos de criptografia para proteção de dados:

Em geral, existem três tipos de criptografia para proteção de dados:

  • Criptografia de chave simétrica

É um sistema de criptografia onde o remetente e o receptor da mensagem usam uma única chave comum para criptografar e descriptografar as mensagens.

Os sistemas de chave simétrica são mais rápidos e simples, mas o problema é que o remetente e o destinatário precisam de alguma forma trocar a chave de maneira segura.

O sistema de criptografia de chave simétrica mais popular é o Data Encryption System (DES) e o Advanced Encryption Standard (AES);

  • Funções Hash

Não há uso de nenhuma chave neste algoritmo. Um valor hash com comprimento fixo é calculado de acordo com o texto simples, o que torna impossível que o conteúdo do texto simples seja recuperado. Muitos sistemas operacionais usam funções hash para criptografar senhas;

  • Criptografia de chave assimétrica

Neste sistema, um par de chaves é usado para criptografar e descriptografar informações. Uma chave pública é usada para criptografar e uma chave privada é usada para descriptografar.

A chave pública e a chave privada são diferentes. Mesmo que a chave pública seja conhecida por todos, o receptor pretendido só pode decodificá-la porque só ele conhece a chave privada.

Para manter o sigilo no armazenamento e trânsito de dados

A criptografia permite armazenar os dados criptografados, permitindo que os usuários fiquem longe dos ataques realizados por hackers.

Confiabilidade na transmissão

Uma abordagem convencional que permite confiabilidade é realizar a criptografia do canal de transmissão, seja ela simétrica ou assimétrica ou mesmo uma combinação das duas criptografias. 

Caso seja o uso da criptografia simétrica, precisar de uma chave para cifrar a informação, depois precisa-se encontrar alguma forma de trocar a chave, que acaba sendo um problema a ser resolvido, que é a troca de chaves de forma segura.

Vale lembrar que esse método tem um bom desempenho.

Outro modo é utilizar de criptografia assimétrica, no qual pode-se utilizar a chave pública do destinatário para que a mensagem possa ser aberta apenas pelo destinatário que possui a chave correspondente, a chave privada.

O problema desse tipo de uso é o desempenho.

Autenticação de Identidade

Já para autenticidade, no qual visa-se conhecer se o remetente da mensagem é ele mesmo, faz uso de PKI, (Public Key Infrastructure).

Para isso basta cifrar a mensagem com a chave privada do remetente, assim como qualquer um pode ter a sua chave pública correspondente, ela pode ser verificado que a mensagem foi gerada pelo remetente adequado.

Por que a criptografia para proteção de dados é crucial para a conformidade com a LGPD?

Embora não haja requisitos de criptografia para proteção de dados explícitos na Lei Geral de Proteção de Dados (LGPD), a nova legislação exige que você aplique medidas de segurança e salvaguardas.

A LGPD destaca a necessidade de uso de medidas técnicas e organizacionais adequadas de segurança de dados pessoais.

Como a criptografia para proteção de dados torna as informações ilegíveis e inutilizáveis ​​para pessoas sem uma chave criptográfica válida, as estratégias de criptografia para proteção de dados podem ser extremamente benéficas para sua empresa no caso de uma violação de dados e nos requisitos previstos pela LGPD. 

Lembra da exigência feita pela LGPD de notificar os clientes afetados por um incidente de segurança?

Ao criptografar seus dados, você reduz a chance de cumprir essa obrigação devido a problemas de ataques virtuais ou outros tipos de problemas.

Nenhuma informação será tecnicamente “violada” se os dados forem ininteligíveis para o invasor.

Como escolher a forma mais adequada para garantir a segurança de dados?

A plataforma CipherTrust Data Security da Thales garante toda a estrutura e a integridade dos dados de sua empresa, e o formato dos campos no banco de dados, seja ele qual for: Oracle, SQL, MySQL, DB2, PostGrid, enfim.

De forma simples, abrangente e efetiva, a solução Cipher Trust oferece recursos para proteger e controlar o acesso a bancos de dados, arquivos e containers — e pode proteger ativos localizados em nuvem, virtuais, big data e ambientes físicos.

Com a CipherTrust, é possível proteger os dados de sua empresa e tornar anônimos seus ativos sensíveis, garantindo segurança para sua empresa e evitando problemas futuros com vazamento de dados.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Notícias e Eventos

De repente LGPD: 10 perguntas e respostas que sua empresa precisa saber para atender os requisitos da Lei de Proteção de Dados

Pode parecer controverso imaginar que de repente a Lei Geral de Proteção de Dados (LGPD), passará a vigorar em todo país. Afinal, a Lei nº 13.709/2018, que define a nova legislação, foi sancionada em 14 de agosto de 2018, estabelecendo um período de adaptação de 18 meses, com início previsto para entrar em vigor em 2020.

Porém, a lei passou por adiamentos no mesmo ano que passaria a valer (2020), e depois, havia a expectativa de ser prorrogada para 2021 em decorrência da pandemia de COVID-19.

Mas, entre idas e vindas no Congresso Nacional e aprovações e vetos presidenciais, estamos na expectativa que a Lei entre em vigor a qualquer momento. Infelizmente, essas mudanças geram muita instabilidade em relação a nova legislação e um risco que pode impactar diretamente no objetivo principal da lei: a proteção e privacidade dos Brasileiros.

Além da definição (ou falta de definição clara), da data de vigência da LGPD, o Governo Federal estabeleceu recentemente a estrutura da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções nos casos de descumprimento da legislação, entre outras atribuições definidas na Lei nº 13.709.

Expectativas a parte, as empresas e organizações precisam, mais do que nunca agora, estar preparadas para os requisitos que em breve serão impostos pela lei de proteção de dados. Apesar de todo esse período de transição, ainda existem dúvidas sobre a LGPD que as empresas precisam entender para cumprir a conformidade da nova legislação.

Para ajudar esclarecer as principais dúvidas, elaboramos uma lista de perguntas e respostas mais importantes para que você possa adequar a LGPD ao seu negócio. 

Perguntas e respostas sobre a LGPD que sua empresa precisa saber para atender a lei de proteção de dados

Embora não haja uma lista de verificação universal aplicável a todos os casos, alguns problemas surgem com mais frequência do que outros. E essas perguntas e respostas sobre a LGPD serão relevantes nos próximos anos, uma vez que a nova legislação não tem data de validade.

#1. Você é um controlador ou processador de dados – você determina as finalidades e os meios do processamento de dados pessoais ou processa dados pessoais em nome de outra parte?

Responder a essa pergunta é crucial para determinar o escopo de suas obrigações de acordo com a lei de proteção de dados. De todas as perguntas e respostas sobre a LGPD, essa provavelmente vai te guiar para grande parte das ações que devem ser tomadas daqui para frente.

Os controladores de dados decidem quais dados são coletados, para que propósito, como são processados ​​e por quanto tempo. Isso significa que você é responsável por cumprir um amplo escopo de obrigações, como proteger os dados, cumprir os objetivos de, por exemplo, minimização de dados e transparência de processamento. Você também é aquele que tem a obrigação de responder e facilitar o exercício dos direitos do titular dos dados.

Por outro lado, se você é um processador de dados, você processa os dados em nome de um controlador e apenas dentro do escopo que ele determinou. Portanto, você não pode tomar decisões sobre quais dados pessoais são processados ​​e como. Seu principal dever é proteger os dados que você processa contra acesso não autorizado, modificação, etc.

#2. Você realiza todas as atividades de processamento sozinho ou usa serviços de processamento de terceiros, como aluguel de servidores?

Se você usar um serviço de processamento de terceiros, você deve celebrar um contrato específico por escrito (inclusive em formato eletrônico), que deve regular em particular o objeto e a duração do processamento, a natureza e a finalidade do processamento, os tipos de dados pessoais e categorias de titulares dos dados e as obrigações e direitos do responsável pelo tratamento.

Lembre-se de que, mesmo que não processe os dados por conta própria, você continua sendo responsável pelo processamento. Escolha apenas aquelas empresas que garantam a implementação de medidas técnicas e organizacionais de processamento adequadas para atender aos requisitos da LGPD e garantir a proteção dos dados.

O conjunto de perguntas e respostas sobre a LGPD também se aplicam às empresas terceiras.

#3. Quem pode acessar os dados pessoais de sua empresa? Existem diferentes níveis de acesso para diferentes posições?

O fato de você, como controlador ou processador, ter o direito de processar os dados não significa que todos os seus funcionários possam acessá-los – devem ser apenas as pessoas cuja posição dentro da sua empresa exige que tenham esses direitos.

Lembre-se de especificar o escopo da autorização – que tipo de dados eles podem acessar (por exemplo, dados do cliente, dados relativos ao emprego) e o que eles podem fazer com os dados. Algumas pessoas precisarão ter acesso total, incluindo o direito de inserir, modificar ou apagar os dados, enquanto para outras apenas o direito de visualizar os dados será suficiente.

#4. Todos os dados que você coleta são realmente necessários para o propósito de seu processamento?

Uma das principais regras de proteção de dados pessoais é a minimização de dados. Ele obriga o controlador a limitar – por padrão – ao mínimo necessário a quantidade de dados pessoais coletados, bem como a extensão de seu processamento, o período de seu armazenamento e sua acessibilidade.

Lembre-se de levar isso em consideração ao auditar seus bancos de dados e ao projetar novos fluxos de dados (criação de formulários, tomada de decisões sobre rastreamento de atividades, etc.).

#5. Como os dados coletados são usados ​​- qual é a finalidade do processamento de dados pessoais?

Os dados só podem ser processados ​​para fins específicos, explícitos e legítimos e não podem ser processados ​​de maneira incompatível com esses fins.

# LGPD 6. Você coleta dados confidenciais – como registros de saúde, dados sobre origem racial ou étnica, crenças religiosas ou filosóficas, etc.?

O processamento de dados confidenciais é proibido por padrão e pode acontecer apenas em circunstâncias específicas descritas na LGPD, portanto, uma recomendação geral seria evitar o processamento desses dados por completo. Se isso não for possível, procure aconselhamento jurídico para identificar soluções que forneçam uma base legal para o processamento de tais dados.

#7. Você verificou se há processos em sua empresa que exigem a realização de uma avaliação do impacto da proteção de dados?

Tal avaliação deve ser realizada no caso de processamento que – levando em consideração sua natureza, escopo, contexto e finalidades – é susceptível de resultar em um alto risco para os direitos e liberdades das pessoas físicas, em particular devido ao uso de novos tecnologias.

Pode ser necessário em casos específicos, incluindo:

  • A avaliação sistemática e exaustiva dos aspectos pessoais relativos às pessoas singulares que se baseia no tratamento automatizado, incluindo a criação de perfis, e na qual se baseiam as decisões que produzem efeitos jurídicos sobre a pessoa singular ou que a afetam de forma igualmente significativa.
  • O processamento de dados sensíveis em grande escala.
  • O monitoramento sistemático de uma área acessível ao público em grande escala.

#8. Como será tratado o direito à portabilidade de dados? Em que formato os dados serão fornecidos ao titular dos dados ou a outro controlador, a pedido do titular dos dados?

O direito à portabilidade de dados pode ser exercido se o titular dos dados forneceu dados a um controlador. O processamento é realizado por meios automatizados e é baseado em uma das seguintes bases jurídicas – o consentimento do titular dos dados ou um contrato para do qual o titular dos dados é parte.

Ele permite que o titular dos dados solicite uma cópia de seus dados em um formato estruturado, comum e legível. A LGPD não fornece especificações adicionais deste formato, pelo que cabe ao controlador escolhê-lo, tendo em atenção que o titular dos dados pode solicitar que os dados sejam transmitidos diretamente para outro controlador.

#9. Como um usuário pode solicitar acesso aos seus dados, incluindo o recebimento de uma cópia dos seus dados pessoais em processamento? Este processo será conduzido manualmente ou automaticamente? Em que formato a cópia será fornecida?

O titular dos dados pode solicitar ao controlador uma cópia dos seus dados pessoais em processamento. Quando este direito é exercido pela primeira vez, o controlador deve fornecer essa cópia gratuitamente, mas em caso de novos pedidos, o controlador pode cobrar uma taxa razoável com base nos custos administrativos.

Salvo solicitação em contrário do titular dos dados, se o pedido for feito por meio eletrônico, as informações também deverão ser fornecidas em formato eletrônico.

Na preparação para que o titular dos dados exerça seus direitos de dados, o controlador deve fazer a si mesmo um punhado de perguntas importantes, sendo a mais importante:

  • Como a solicitação pode ser feita – usando um site dedicado, com um formulário de solicitação e instruções, ou talvez, por exemplo, por e-mail;
  • Este processo será conduzido manualmente ou automaticamente;
  • No primeiro caso, há pessoal suficientemente treinado para lidar com a carga de trabalho que chega;
  • Os procedimentos e meios organizacionais existentes permitem o atendimento de tais solicitações sem atrasos indevidos.

#10. Os dados serão compartilhados com terceiros, inclusive dentro do seu grupo? Quando, como, em que base jurídica?

Quando você é o controlador de dados, o compartilhamento de dados com outras entidades pode assumir duas formas:

  • O processamento será realizado em seu nome, você especifica sua finalidade, duração, as obrigações do processador, e assim por diante – neste caso, você precisa concluir um contrato regulando todas essas questões com o processador, e você não tem pedir ao titular dos dados o seu consentimento para o fazer;
  • Sua empresa perde o controle sobre os dados que compartilha e seu processamento, e o destinatário se torna um controlador independente desses dados – neste caso, você precisará de uma base legal para compartilhar dados pessoais (por exemplo, consentimento do titular dos dados especificando com quem você compartilha os dados e para quê).

Perguntas e respostas sobre a LGPD que foram além do conceito básico

Perguntas básicas como “O que é LGPD?”, “ O que são dados pessoais e confidenciais?”, “Quando entra em vigor a LGPD?” foram deixadas de lado para mostrar que a lei de proteção de dados está ligado diretamente aos processos de negócio de sua empresa, e portanto, o objetivo da implantação da lei de proteção de dados deve ser algo mais aprofundado.

Isso significa que as perguntas e respostas sobre a LGPD devem ter foco em ferramentas, recursos como a adoção de assinatura eletrônica, criptografia, capacitação, entre outros pontos que não foram retratados em nossa lista. É preciso ir além.

Faltando pouco mais de um ano para entrar em vigor, as empresas precisam ficar atentas aos próximos passos da Lei Geral de Proteção de Dados. Ou seja, a execução das ações necessárias de adequação em conformidade com a lei antes da vigência da LGPD.

Empresas como a EVAL ajudam você a implementar sua estratégia para atender aos requisitos previstos antes da vigência da LGPD com soluções para avaliar riscos, aplicar políticas, proteger dados, responder a incidentes e solicitações e comprovar conformidade. 

A EVAL pode ajudar a sua empresa unificar as operações de negócio com proteção e segurança de dados, permitindo a medição do risco em toda a organização para auxiliar na implementação de um plano abrangente de conformidade com a LGPD. 

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

ANPD e LGPD: A Importância da Lei 13.853

Para atender todos os requisitos da LGPD, também é necessário observar a Lei 13.853 que criou a Autoridade Nacional de Proteção de Dados (ANPD)

Em 8 de julho de 2019 a lei nº 13.853 foi publicada no Diário Oficial da União (DOU) com o objetivo de oficializar a criação da Autoridade Nacional de Proteção de Dados (ANPD). 

Basicamente, a ANPD como autoridade nacional e órgão da administração pública tem como responsabilidades zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD) em todo o território nacional.

De acordo com a LGPD, a Autoridade Nacional de Proteção de Dados é composta de:

  1. Conselho Diretor
  2. Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
  3. Corregedoria
  4. Ouvidoria
  5. Órgão de assessoramento jurídico próprio
  6. Unidades administrativas e unidades especializadas necessárias à aplicação da LGPD

Além disso, o Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente.  

Mas a lei 13.853 não consistiu apenas na criação da ANPD, ela foi além e estabeleceu importantes mudanças para as empresas que precisam se adequar aos requisitos da Lei Geral de Proteção de Dados

As modificações aprovadas foram fundamentais para a aplicabilidade da LGPD. Visto que sem a criação da ANPD, a lei corria o risco de tornar-se praticamente inviável, contrariando um sistema que tem demonstrado eficácia mundial.

Requisitos da LGPD: a lei 13.853 foram além da criação da Autoridade Nacional de Proteção de Dados – ANPD

A Lei Geral de Proteção de Dados prevê, entre diversas competências, que a ANPD deve zelar pela proteção dos dados pessoais e elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade.

Portanto, a Autoridade Nacional de Proteção de Dados tem uma grande responsabilidade quanto a fiscalização dos requisitos definidos pela LGPD e que devem ser atendidos pela empresas que devem se adequar à nova legislação que entra em vigor em 2021.

Além de consolidar a criação da ANPD, a lei 13.853 foi responsável por solidificar importantes mudanças previstas pela legislação de proteção de dados e privacidade:

  • A lei prevê que a proteção de dados é de interesse nacional, evitando a proliferação de leis estaduais e municipais que venham tentar regular a matéria;
  • O encarregado de dados poderá ser uma pessoa jurídica, e sua indicação terá também a participação do operador de dados. Na versão original, essa atribuição era exclusiva do controlador de dados;
  • Com as mudanças, a lei exclui a obrigatoriedade de informar o titular de dados nos casos de tratamento de dados pessoais para cumprimento de obrigação legal ou regulatória ou quando efetuado pela administração pública, para execução de políticas públicas previstas em normas ou contratos;
  • Amplia as hipóteses de comunicação e uso compartilhado de dados sensíveis referentes à saúde, explicitando a abrangência a aqueles relacionados à assistência farmacêutica e serviços auxiliares de diagnose e terapia. Além disso, também nos casos de portabilidade solicitada pelo titular, ou para transações financeiras e administrativas resultantes do uso e da prestação dos referidos serviços;
  • Fica vedado às operadoras de planos de saúde o uso dos dados de saúde para realizar a seleção de riscos, ou para fins de contratação ou exclusão de beneficiários;
  • Insere a possibilidade de dispensa de comunicação pelo responsável ao agente de tratamento de dados. Isso, no caso de compartilhamento de dados que tenham sofrido correção, eliminação, anonimização ou bloqueio de dados, quando essa comunicação se demonstrar impossível ou representar esforço desproporcional
  • Estabelece condições para os casos de compartilhamento de dados pessoais, constantes de bases nos órgãos do governo, para entidades privadas;
  • Traz a hipótese de conciliação direta entre o controlador de dados e o titular — nos casos de vazamentos individuais ou acessos não autorizados —, previamente à aplicação das sanções legais;
  • Estabelece a necessidade dos membros do Conselho Diretor da ANPD, escolhidos pelo Presidente da República, serem aprovados pelo Senado Federal;
  • Define regras para composição da ANPD, suas atribuições e a origem das suas receitas;

A ANPD tem várias funções e responsabilidades, incluindo a investigação de organizações que sofreram violações de dados, a imposição de penalidades quando propriado e a auditoria geral das empresas por suas práticas de coleta e armazenamento de dados. 

Como a ANPD apoia a Lei Geral de Proteção de dados e as empresas?

Como autoridade nacional responsável por fiscalizar e aplicar sanções em caso de descumprimento à legislação de proteção de dados e privacidade, a Autoridade Nacional de Proteção de Dados também visa promover as boas práticas no tratamento de dados pessoais e na orientação sobre proteção de dados.

Na prática, a publicação da lei 13.853, criando a ANPD, consolida as bases legais para processamento, auditoria de dados e políticas de privacidade, visando garantir que os dados pessoais de clientes e funcionários sejam processados ​​legalmente.

A importância da ANPD para as empresas

A publicação da lei 13.853 foi fundamental para as empresas que em sua rotina já enfrentam vários desafios na busca pela segurança da informação em seus processos de negócio.

Muitas vezes há restrições de tempo, orçamento e preocupações operacionais mais urgentes que podem ter maior prioridade sobre a segurança cibernética. 

Mas há outras questões também, com a falta de conhecimento em proteção e privacidade de dados que impactam diretamente na difícil jornada de atender aos requisitos previstos pela LGPD.

Por isso, a Autoridade Nacional de Proteção de Dados deve ajudar as empresas a entender suas responsabilidades de proteção de dados, fornecendo recursos, suporte e orientação, adaptado às necessidades das organizações de acordo com seu segmento, tamanho e aplicabilidade da lei de proteção de dados.

Além disso, a ANPD também deve promover na população o conhecimento das normas e políticas públicas sobre proteção de dados pessoais e das medidas de segurança, elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade e estimular a adoção de padrões para serviços e produtos que facilitem o controle sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis.

De fato, a tecnologia está promovendo mudanças no ambiente social, político, jurídico e comercial que a Autoridade Nacional de Proteção de Dados precisa regular. 

Os riscos mais significativos de proteção de dados para os indivíduos agora são direcionados pelo uso de novas tecnologias e portanto, o papel da ANPD será fundamental em todo este processo.

Faltando pouco mais de um ano para entrar em vigor, as empresas precisam ficar atentas aos próximos passos da LGPD. Ou seja, a execução das ações necessárias de adequação em conformidade com a lei.

Sobre a Eval 

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Categorias
Proteção de dados

Projeto de Conformidade com a LGPD: 4 passos para implantar

4 passos para implantar um projeto em conformidade com a LGPD

O passo essencial para  implantar um projeto em conformidade com a LGPD (Lei Geral de Proteção de Dados) e cumprir as novas regras de gerenciamento de dados é inventariar minuciosamente os dados pessoais que está sendo coletado em seu negócio. 

Basicamente, é responder perguntas quanto ao uso de dados do tipo: “O que temos? Onde fica? O que poderia ser interpretado como informação protegida?”

Essas informações incluem qualquer coisa que possa ser usada para identificar uma pessoa, como nome, número de telefone, endereço e até se essa pessoa prefere usar um formato de 12 ou 24 horas. 

Mas esse processo não é um trabalho fácil. Os dados pessoais cobertos pelo LGPD e outras novas leis de privacidade não aparecem apenas em campos bem definidos do banco de dados. É preciso outros importantes passos para implantar um projeto em conformidade com a LGPD.

A gestão de dados é apenas o primeiro passo para a conformidade com a LGPD

Seja criada em um contexto comercial ou social, a proteção de dados é um conceito com o qual todos devem estar familiarizados. 

Embora algumas especificidades da implementação dos requisitos da lei de proteção de dados ainda estejam sendo definidas, a introdução da LGPD certamente coincidiu com, se não foi provocada, uma tendência ascendente de indivíduos que se tornam mais zelosos em relação ao seu direito à privacidade. 

As preocupações dos consumidores com a privacidade significam que o investimento em um programa de proteção de dados traz muito mais valor do que simplesmente proteger os negócios de ações legais ou sanções financeiras. 

Talvez o mais importante ao implantar um projeto em conformidade com a LGPD seja a necessidade de manter a reputação da marca e a confiança do consumidor.

À medida que os consumidores se tornam mais dispostos a mudar sua lealdade em favor de uma empresa que protege de forma segura seus dados, as empresas podem aproveitar com confiança sua conformidade com a LGPD para garantir vantagem competitiva.

Indo além do básico: 4 passos para implantar um projeto em conformidade com a LGPD

À medida que as organizações procuram atualizar a maneira como usam os dados e criar processos mais eficientes para preservar os direitos dos titulares de dados, várias atividades relacionadas à proteção de dados podem ser consolidadas em um programa mais amplo de controle de informações. 

Esse programa deve fazer mais do que simplesmente consignar a conformidade com a legislação de proteção de dados para um exercício projetado para evitar multas regulatórias:

  • Passo 1 – Governança: zela pelo cumprimento das regras previstas na lei e orienta seus funcionários.
  • Passo 2 – Jurídico: consentimento, contrato, obrigação legal, interesses vitais, tarefa pública e interesses legítimos.
  • Passo 3 – Tecnologia: precisão dos dados: todos os dados mantidos devem ser sensíveis e atualizados.
  • Passo 4 – Cibersegurança: garantir a infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar a privacidade, coleta e tratamento de seus dados pessoais.

A lei de proteção de dados abrange todas as partes das operações de uma organização. Para maximizar os ganhos comerciais da conformidade com a LGPD, as empresas devem estender a amplitude de seus programas de proteção de dados para incorporar a segurança das informações no design de aplicativos de negócios e infraestrutura técnica

A Legislação no leva a uma proposta de valor aos negócios na proteção e privacidade de dados

A legislação da LGPD determina que, na fase de projeto de qualquer operação de processamento, bem como no momento do processamento em si, as empresas implementem medidas técnicas e organizacionais apropriadas, projetadas para implementar a proteção de dados de maneira eficaz e integrar as salvaguardas necessárias para o processamento de dados. 

Portanto, os responsáveis ​​pelo desenvolvimento e fornecimento de sistemas de dados precisam observar como a implementação adequada da privacidade pode promover os negócios, bem como protegê-los de multas, e propor isso como um facilitador de negócios.

O objetivo comercial de diferentes organizações varia, mas serão necessárias alterações no nível de dados e código, portanto, isso provavelmente precisará ser conduzido por profissionais da segurança da informação com um bom entendimento dos negócios. 

Os benefícios da privacidade e da proteção de dados para os negócios, portanto, precisam ser identificados e apresentados em um contexto comercial como um facilitador positivo e não como um custo para evitar multas.

Essa é uma oportunidade para os profissionais de segurança da informação destacarem os benefícios financeiros que acompanham essas medidas aprimoradas de segurança e o envolvimento com os negócios só pode ajudar. 

Embora o custo adicional para projetar segurança não seja discricionário, trabalhar em um projeto em conformidade com a LGPD pode aumentar o suporte ao investimento e elevar o perfil e o valor percebido da função de segurança, definindo e desenvolvendo a maturidade dos negócios da empresa.

Traduzindo os requisitos em um projeto em conformidade com a LGPD bem sucedido

Uma organização de alta maturidade terá funções e responsabilidades de governança claramente definidas, a gestão ao risco acordado com os gestores, bem como os riscos de privacidade de dados priorizados e mitigados de forma eficaz com todos os controles de dados corretos, de maneira que exista uma probabilidade mínima de violação de dados. 

No entanto, o benefício de reduzir o risco será alcançado apenas se for sustentado por um profundo conhecimento dos negócios, suas operações, iniciativas estratégicas e planos futuros.

Para evitar que um projeto em conformidade com a LGPD falhe e que tenha a adesão segura à lógica de impor mudanças na lei de proteção de dados, é importante demonstrar que alcançar a conformidade tem o benefício de reduzir o risco. 

Em vez de focar nas implicações da não conformidade, as empresas devem usar cenários de negócio e ferramentas de tecnologia que reduzam o impacto da exposição de dados, a exemplo da inclusão da assinatura digital em seus processos e recursos tecnológicos.

Por fim, os ganhos nos negócios serão melhor percebidos se a motivação para a conformidade for proteger a organização, em vez da pressão externa por mudanças.

Sobre a Eval 

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Categorias
Proteção de dados

Compartilhamento seguro de dados: O Grande Desafio na Saúde

Compartilhamento seguro de dados na área da saúde consiste na convergência entre tecnologia e proteção e privacidade de dados.

Apesar dos inúmeros benefícios de adotar o compartilhamento seguro de dados, a proteção e privacidade de dados será o grande desafio a ser vencido por essas organizações.

Nem tudo se resume a adoção de tecnologias, a exemplo de sistemas de prontuários eletrônicos, existem políticas e processos envolvidos, além da conscientização de usuários.

De fato, proteção e a confidencialidade dos dados são as principais prioridades do setor de TI, e na área da saúde não será diferente. Mas nem sempre é fácil atingir esses objetivos em larga escala.

Não é a toa que o compartilhamento seguro de dados na área da saúde é considerado o grande obstáculo para os próximos anos.

Sempre tenha em mente a segurança do paciente

Para muitos especialistas em saúde e segurança em TI, o compartilhamento de dados na área da saúde é uma “faca de dois gumes”.

Por um lado, gestores e médicos querem inovação na área da saúde e que os pacientes possam decidir quais dados desejam compartilhar e com quem desejam compartilhá-los.

Por outro lado, os profissionais de tecnologia querem a garantir proteção e privacidade de dados, e portanto, quando os pacientes permitem o compartilhamento de suas informações médicas, eles deveriam entender completamente o que está acontecendo com seus dados e por onde essas informações trafegam.

A privacidade de dados pode se tornar uma armadilha

Para se ter uma ideia, 80% dos aplicativos de saúde comportamental da Apple App Store compartilham informações com terceiros.

Determinar quem tem acesso a esses dados depois de compartilhados pode ser difícil, especialmente se um contrato de licença de usuário final estiver envolvido.

Você já leu o contrato de licença de usuário final do Facebook? Provavelmente levaria horas. Portanto, quando falamos em compartilhamento seguro de dados, um contrato de licença de usuário que leva horas para ser lido e entendido não é um consentimento pensando na proteção e privacidade de dados.

Essa preocupação também se aplica às instituições de saúde. As regras adotadas para o armazenamento e uso de dados por essas organizações também terão um impacto significativo na vida dos pacientes, colocando a permissão de compartilhamento de dados diretamente em suas mãos.

Em última análise, as legislações existentes reduziram o risco de compartilhamento de informações entre organizações de saúde, mas se um paciente permite compartilhar seus dados médicos, a Lei Geral de Proteção de Dados (LGPD) pode não ser aplicada, em casos de problemas.

O investimento em proteção e privacidade de dados é fundamental, mas é apenas um dos estágios para o compartilhamento seguro

Atualmente, sistemas operacionais e soluções em saúde estão mais protegidos e os atacantes mudaram sua atenção para o elemento humano, visando invadir os sistemas de informação da organização.

À medida que o número e a frequência de ataques cibernéticos projetados para tirar proveito de pessoas inocentes estão aumentando, a importância do fator humano no gerenciamento da segurança da informação não pode ser subestimada.

Para combater ataques cibernéticos projetados para explorar fatores humanos na cadeia de proteção e privacidade de dados, é primordial o reconhecimento da segurança da informação com o objetivo de reduzir os riscos às informações de saúde que ocorrem devido a vulnerabilidades relacionadas aos usuários.

Educação, políticas e processos como a chave para o compartilhamento seguro

Em outubro de 2019, o sistema de saúde do Alabama nos Estados Unidos foi vítima de um ataque que o deixou incapaz de aceitar novos pacientes em três hospitais. Uma quantia não revelada foi paga para interromper um ataque cibernético e restabelecer as operações dos hospitais.

Mas o investimento em proteção e privacidade de dados através da tecnologia não é a única coisa a ser feita para reduzir os riscos e os ataques que devem ocorrer nesta nova década. Recursos tecnológicos são apenas a “ponta do iceberg” para garantir o compartilhamento seguro de dados.

Muitas vezes, para que os ataques ocorram ou que o compartilhamento de dados aconteça de forma inadequada, vírus e malwares precisam da ajuda dos usuários para entrar nos computadores.

No contexto da segurança da informação, a engenharia social é o uso de técnicas para manipular indivíduos para divulgar informações de negócio confidenciais ou pessoais que podem ser usadas para fins fraudulentos.

Em outras palavras, as pessoas podem ser enganadas e divulgar informações estratégicas que, de outra forma, não fariam.

Os vetores comuns de ataque aos usuários incluem:

  • Phishing: emails falsos para induzir as pessoas a clicar em um link ou abrir um anexo que carrega uma carga útil de malware;
  • Mídias sociais: as mídias sociais podem ser um veículo poderoso para convencer uma vítima a abrir uma imagem baixada de um site ou tomar outras ações comprometedoras;
  • Mensagens instantâneas: os clientes de mensagens instantâneas podem ser invadidos por criminosos cibernéticos e usados ​​para distribuir malware na lista de contatos da vítima;
  • SMSishing: o SMSishing usa mensagens de texto para fazer com que os destinatários naveguem para um site ou insiram informações pessoais em seus dispositivos;

As organizações devem realizar treinamento regular para ajudar os funcionários a evitar armadilhas comuns de malware e outras ameaças.

 

E para alcançar esse objetivo, há uma ampla variedade de métodos para a conscientização sobre segurança da informação, como materiais de treinamento baseados na Web, treinamento contextual e treinamento incorporado.

Por que as instituições de saúde precisam de políticas e procedimentos de segurança de TI?

O objetivo por trás das Políticas e Procedimentos de Segurança de TI é abordar as ameaças, implementar estratégias sobre como mitigá-las e como se recuperar de ameaças que expuseram uma parte da sua organização.

As políticas e procedimentos de segurança de TI fornecem um roteiro para os funcionários sobre o que fazer e quando fazê-lo. Lembre, por exemplo, das políticas irritantes de gerenciamento de senhas que toda empresa possui.

Se essa política e procedimento não existissem nas organizações, quão comum seria para as pessoas usarem senhas simples e fáceis de adivinhar que finalmente abrem a organização a um risco maior de roubo de dados e / ou perda de dados.

As políticas de segurança da informação de uma organização geralmente são conceitos de alto nível que podem abranger um grande número de controles de segurança.

Emitida pela empresa para garantir que todos os funcionários que usam ativos de tecnologia da informação dentro da organização cumpram as regras e diretrizes estabelecidas, a política de segurança da informação é projetada para que todos reconheçam que existem regras pelas quais eles serão responsabilizados em relação à sensibilidade das informações corporativas e dos ativos de TI.

Compartilhamento seguro de dados na área da saúde consiste na convergência entre tecnologia e conscientização

A alta gerência nas instituições de saúde desempenha um papel importante na proteção dos ativos e no compartilhamento de informações em uma organização.

O gerenciamento executivo pode apoiar o objetivo da segurança de TI, definindo objetivos e prioridades de segurança e garantindo os investimentos necessários para a proteção e privacidade de dados.

Entretanto, mesmo sabendo que o uso de recursos, a exemplo de certificados e assinaturas digitais, ferramentas como antivírus e firewall e pessoal especializado em segurança da informação.

Os usuários finais têm a responsabilidade de proteger os ativos de informações diariamente, por meio das políticas e processos de segurança que foram definidas, comunicadas e que precisam ser executadas.

A conformidade do usuário final com as políticas de segurança é essencial para manter a segurança das informações em uma organização, esse grupo representa principalmente a garantia das informações médicas de pacientes e familiares em momentos que podem ser considerados os mais frágeis da vida de uma pessoa.

Sobre a Eval

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Lei Geral de Proteção de Dados e os impactos no setor financeiro

A LGPD, aprovada pelo congresso, começa a valer em 2020. Como o mercado financeiro se prepara para a proteção e privacidade de dados?

Aprovada recentemente pelo congresso a Lei Geral de Proteção de Dados (LGPD) objetiva fazer que as empresas sejam mais transparentes. Além disso, ela também pretende expandir os direitos de privacidade de dados dos titulares .

Basicamente a legislação brasileira segue os moldes da Regulamento Geral de Proteção de Dados (GDPR) que entrou em vigor na Europa em maio de 2018.

A LGPD é uma lei muito significativa quando se trata dos requisitos de confidencialidade que regem as instituições de serviços financeiros e como outros tipos de processos de negócios que devem proteger os dados pessoais dos usuários.

Conheça um pouco mais sobre a LGPD e seus principais impactos no mercado financeiro.

A LGPD, uma grande mudança quanto a proteção e a privacidade de dados

A LGPD foi concebida com o objetivo de definir diretrizes quanto à privacidade de dados em todo o Brasil. Dessa forma, ela visa proteger e dar aos brasileiros o direito à confidencialidade dos dados.

A LGPD é o projeto de lei sobre internet mais importante desde o marco regulatório. Além disso, ela se deve ser seguida por todas as empresas que processam dados pessoais de residentes no Brasil. Ela define os procedimentos para a coleta de informações, o seu armazenamento, a sua segurança, como são tratados e utilizados.

Após a aprovação e sanção presidencial da PLC 53/2018, a Lei Geral de Proteção de Dados passa por um período de conscientização e adoção pelas empresas e deve entrar em vigor no começo de 2020.

De acordo com a LGPD, o processamento de dados só será permitido nas seguintes condições:

  • Será necessário o consentimento expresso do titular dos dados para o processamento de dados pessoais;
  • Para a execução de um contrato com o titular dos dados ou para tomar medidas para celebrar um contrato;
  • Para o cumprimento de uma obrigação legal;
  • Para proteger os interesses vitais de um titular de dados ou de outra pessoa;
  • O processamento será necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficial do controlador;
  • Para os interesses legítimos do responsável pelo tratamento ou por um terceiro. Exceto quando esses interesses forem sobrepostos pelos interesses, direitos ou liberdades do titular dos dados.

Após a LGPD entrar em vigor, se alguma empresa não cumprir a lei as consequências legais poderão incluir multas e a empresa poderá ter suas atividades suspensas, total ou parcialmente.

Além disso, quando for o caso, as empresas podem responder judicialmente a outras violações previsas em lei.

LGPD e suas consequências ao mercado financeiro

O descumprimento da nova legislação brasileira resulta em grandes penalidades regulatórias, danos à reputação e perda da confiança do consumidor.

Por isso, os danos causados ao prestígio que as empresas têm no mercado preocupam mais do que o impacto financeiro decorrente do não cumprimento da nova legislação.

A solução para as instituições financeiras é abordar a LGPD como uma prioridade. Assim, destinando os recursos ​​e a flexibilidade necessários para cumprir com quaisquer novos requisitos regulatórios ou questões pontuais.

Uma abordagem abrangente fornece ao mercado financeiro visibilidade necessária para estabelecer um entendimento claro dos dados pessoais mantidos pela empresa. Além disso, garante também a capacidade de responder solicitações de exclusão completa de dados quando estes não forem mais úteis.

A LGPD proíbe, considerando o escopo da privacidade de dados, o tratamento dos dados pessoais com a prática de discriminação ilícita ou abusiva.

Para o mercado financeiro esse tipo de cenário pode acontecer quando o cruzamento de informações de uma pessoa específica ou de um grupo for usado para subsidiar decisões comerciais, a exemplo do perfil de consumo para divulgação de ofertas de bens ou serviços.

 

A Lei Geral de Proteção de Dados também se aplica a empresas estrangeiras

A LGDP se aplica para operações de tratamento de dados realizados no Brasil ou no exterior. Se as informações forem coletadas em território nacional, estarão sujeitas à lei.

Isso significa que, se uma empresa do ramo financeiro ou até mesmo o Google coletar dados de um usuário por aqui, mas processá-los nos Estados Unidos, por exemplo, terá que seguir a Lei Geral de Proteção de Dados.

De acordo com a nova legislação, a empresa ainda pode transferir os dados para uma filial ou sede estrangeira. Entretanto, o país de destino também deve ter leis abrangentes de proteção e privacidade de dados. Outra opção é que o outro governo garanta mecanismos de tratamento equivalentes aos que são exigidos no Brasil.

Os direitos do cidadão são preservados

Inquestionavelmente a LGPD foi criada para proteger cada cidadão e o direito à confidencialidade de suas informações pessoais. Mas, além disso, a lei veio garantir dois aspectos fundamentais quanto ao uso de informações em transações financeiras e online:

  • Obrigação por parte das empresas a notificação em caso de violação de acesso a dados;
  • O direito de ser esquecido.

O objetivo da legislação é proteger o direito dos cidadãos à confidencialidade e privacidade de dados. Dessa forma, ela concede aos consumidores o direito de solicitar que suas informações  pessoais sejam consultados por instituições financeiras e, da mesma forma, solicitar sua exclusão sem exigir autorização externa.

Essas consultas permitem, por exemplo, que as instituições financeiras retenham certos dados se forem necessários para fins de conformidade e outras legislações. No entanto, na ausência de uma justificativa válida, o direito da pessoa de ser esquecida prevalece.

Esse será um grande desafio para as instituições financeiras e outras empresas que focam no mercado digital.

Para muitas organizações, a dificuldade será a implementação das práticas de gerenciamento de dados necessários para respeitar o direito ao esquecimento e a exigência de maior transparência e coordenação em todos os segmentos de mercado.

Sobre a Eval 

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.  

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.  

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.  

Eval, segurança é valor. 

Categorias
Proteção de dados

Lei de Proteção de Dados: Conheça os 7 Pontos de Atenção

7 pontos de atenção a LGPD

A Lei Geral de Proteção de Dados (LGPD) é mais do que um conjunto de regras; ela é um marco na forma como as empresas e indivíduos interagem com dados pessoais.

Os pontos de atenção da LGPD tenta encontrar um equilíbrio entre ser forte o suficiente para dar aos indivíduos proteção clara e tangível e, ao mesmo tempo, ser flexível o suficiente para atender aos interesses legítimos das empresas e do público. 

Um importante ponto de partida com a lei de proteção de dados é o conceito de dados pessoais. A LGPD só é aplicável quando os dados pessoais são processados. Dados pessoais são informações pelos quais uma pessoa pode, direta ou indiretamente, ser identificada. 

Vamos mergulhar profundamente nos sete pontos cruciais que você precisa entender para estar em conformidade com esta legislação.

Os 7 pontos de atenção de Lei de Proteção de Dados, o que você deve saber

De uma maneira geral o conceito da LGPD parece fácil, certo? Mas na prática não é. As empresas tiveram anos para se preparar para a entrada em vigor da nova legislação, mas a maioria ainda está atrasada na introdução de processos e ferramentas para os usuários exercerem esses novos direitos. 

As empresas ainda estão lutando para fornecer os recursos necessários para ajudar os usuários. Não é como se um dia após a lei de proteção de dados entrar em vigor, que todos os nossos problemas de privacidade vão desaparecer magicamente. Por isso a importância dos pontos de atenção da LGPD.

Para você entender melhor como será a Lei Geral de Proteção de Dados na prática:

# 1: Objetivos da Lei de Proteção de Dados 

A LGPD não é apenas um documento legal; ela é um pacto social que visa proteger os direitos dos indivíduos sobre seus dados pessoais.

A lei busca garantir transparência total durante o tratamento desses dados, exigindo que as empresas coletam apenas as informações estritamente necessárias e as mantenham pelo tempo mínimo requerido.

Na prática, não há necessidade de ler o texto oficial referente a lei 13.709 de 14 de agosto para compreender os objetivos da Lei Geral de Proteção de Dados.

Dentro dos nossos pontos de atenção da LGPD podemos simplificar esta legislação reconhecendo o direito dos usuários em relação aos dados pessoais e garantir total transparência das plataformas durante o tratamento desses dados.

Deste ponto de vista prático em nossa lista com os pontos de atenção da LGPD, torna-se evidente que a ação mais sensata para todas as organizações que prestam serviços, digitais ou não, deve ser a recolha apenas dos dados pessoais necessários e o armazenamento dessas informações apenas durante o período necessário. 

Na verdade, os artigos da LGPD se concentram exatamente nessa ideia.

# 2: Para quem se aplica à LGDP

Não importa onde sua empresa está localizada; se você oferece bens ou serviços no Brasil, a LGPD é aplicável. O cumprimento da lei não só evita multas pesadas, mas também fortalece a confiança do cliente em sua marca.

É importante destacar em nossa lista de pontos de atenção da Lei de Proteção de Dados que qualquer empresa que comercializa bens ou serviços localizados no Brasil, independentemente da sua região, está sujeita ao regulamento. 

Ao cumprir os requisitos da LGPD, as empresas evitarão o pagamento de multas caras, melhorando a proteção e a confiança dos dados do cliente.

# 3: A criação de um novo cargo nas empresas 

De acordo com a Lei de Proteção de Dados, as empresas consideradas responsáveis ​​pelos dados pessoais de seus usuários devem delegar a proteção de dados a um controlador, que será responsável pela proteção de todos os dados pessoais. 

A Lei de Proteção de Dados exige que as empresas nomeiem um controlador de dados, um profissional treinado que será o guardião da privacidade dos dados. Este papel é crucial para evitar sanções legais e garantir que os padrões de processamento de dados sejam mantidos.

É extremamente importante que essa pessoa receba treinamento exclusivo sobre a legislação e obrigações relacionadas, e seu conhecimento sobre o assunto seja ampliado.

Isso é importante, pois toda a organização, como responsável pelos dados, pode enfrentar multas administrativas ou outras sanções legais nos casos em que os padrões de processamento de dados não possam ser mantidos.

# 4: Avaliação dos processos e redução da exposição aos riscos 

A LGPD exige uma análise cuidadosa de como os dados são usados para tomar decisões de negócios. A exposição a riscos deve ser minimizada, e cada pedaço de informação deve ser tratado como dados pessoais, dependendo do contexto e do objetivo do processamento.

Uma parte da informação que não se qualifica como dados pessoais para uma organização pode se tornar informações pessoais se uma empresa diferente obtiver a posse dela com base no impacto que esses dados podem ter sobre o indivíduo. 

Tudo depende do motivo pelo qual a organização está processando os dados. Se uma organização processa dados com o único propósito de identificar alguém, então os dados são, por definição, dados pessoais e por isso, a necessidade da redução da exposição aos riscos.

# 5: Adoção do padrão de desenvolvimento Privacy by Design

A Lei de Proteção de Dados não é algo a ser considerado após o fato; ela deve ser integrada em cada etapa do desenvolvimento de produtos e serviços. Ignorar isso pode resultar em sistemas não conformes e em custos significativos para corrigir esses problemas.

Então, por que você deve se preocupar com a Lei de Proteção de Dados?

Em primeiro lugar, porque você (ou empresa) se preocupa com a privacidade das pessoas cujos dados você processa. E também porque o não cumprimento pode dar uma má reputação à sua organização e levar ao pagamento de multas severas ,.

Isso significa que é muito importante levar em consideração os requisitos da LGPD em todas as etapas, também na fase de design e ao selecionar, limpar e usar seus dados de teste e backup.

Não fazer isso resultará em sistemas não compatíveis com a legislação. O retrabalho extenso, e às vezes até impossível, a um custo correspondente, provavelmente será necessário para corrigir esses problemas.

Portanto, leve esses requisitos em consideração desde o início e evite criar dívidas técnicas de privacidade e proteção de dados.

# 6: Atenção aos subcontratados e parceiros

A LGPD faz uma distinção entre um processador de dados (basicamente, a entidade que processa os dados pessoais) e um controlador de dados (a entidade que decide os objetivos e os meios desse processamento de dados). 

Se você é um controlador, é sua responsabilidade garantir que seus subcontratados também estejam em conformidade com a LGPD.

Os controladores são obrigados a usar processadores, incluindo operações de nuvem pública, que implementam medidas técnicas e organizacionais adequadas levando em consideração “o estado da arte e os custos de implementação”, bem como a natureza, escopo, contexto e objetivos do em processamento.

# 7: Multas aplicadas pela Lei de Proteção de Dados

As multas substanciais que podem ser impostas pela LGPD são bem conhecidas. De acordo com a nova legislação, as sanções são impostas pela Autoridade Nacional de Proteção de Dados (ANPD)

De acordo com a lei de proteção de dados, a multa pelo uso incorreto das informações pessoais é de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, ou 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil do exercício anterior. 

Além disso, as empresas ficam sujeitos sanções administrativas complementares aplicáveis pela autoridade nacional que podem resultar na inviabilidade do negócio em virtude do prejuízo financeiro ou comprometimento do nome da empresa ou marca diante do mercado consumidor.

Os pontos de atenção da LGPD é apenas o começo, existe um longo caminho pela frente

Para muitas organizações, ainda há muito trabalho a ser feito antes que Lei de Proteção de Dados seja implementado adequadamente. 

A Eval tem com soluções de descoberta e dados, criptografia de aplicações, tokenização de dados, anonimização, proteção em cloud, database encryption, big data encryption, proteção de arquivos estruturados e não estruturados em file server e cloud e key management para atender diferentes demandas na área de segurança de dados. São soluções para que os negócios estejam em conformidade e protegidos contra vazamento de dados.

A Eval pode ajudar a sua empresa unificar as operações de negócio com proteção e segurança de dados, permitindo a medição do risco em toda a organização para auxiliar na implementação de um plano abrangente de conformidade com a LGPD. 

Sobre a Eval 

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Onde Estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho, São Paulo - SP,
CEP: 05440-000

Contato

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Facebook Instagram Linkedin
Política de Privacidade

Copyright © 2023, EVAL TECNOLOGIA EM INFORMÁTICA. Todos os direitos reservados - CNPJ 05.278.889/0001-97