• CONFORMIDADE COM A LGPD

    Entenda o que é, e esteja preparado para a nova lei

Estar em conformidade com a LGPD passou a ser uma exigência legal para todas as empresas.
Se sua organização ainda não se adequou inteiramente, entenda quais são as exigências mínimas e procure-nos para uma conversa sem compromisso.

Compliance com a LGPD

Quais as vantagens da parceria com a CP&P?

  • Aderência as condições de conformidade com a LGPD, que certamente serão exigidas por seus clientes;
  • Diferenciação positiva em relação aos seus concorrentes ainda não adequados a nova lei;
  • Redução de custos e investimentos evitando a contratação de várias consultorias especializadas;
  • Rapidez e facilidade na implantação da infraestrutura e procedimentos necessários para a LGPD;
  • Nossa expertise em vários segmentos empresariais;
  • Suporte contínuo e resolução de outros problemas tecnológicos que empresa possa ter, utilizando nosso amplo portfólio de serviços;
  • Possibilidade da CP&P atuar no Conselho de Segurança Interno (CSI) ou como DPO (DPOaaS - DPO as a Service);
  • Preparação para uma possível Certificação de Conformidade com as normas ISO-27001 e ISO-27701;
  • E muito mais...

Velocidade na implantação:
até 4x mais rápido
(Em comparação a utilização de várias consultorias por área de especialização)
Redução dos Problemas com Tecnologia
- 90%
(Pelo uso das tecnologias ligadas a LGPD e pelo suporte contínuo)
Redução dos Incidentes de Segurança
- 90%
(Devido a implantação dos novos recursos de segurança cibernética)

Entenda o que é a LGPD:

O que é a LGPD:
A LGPD (Lei Geral de Proteção de Dados) estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, exigindo mais proteção e impondo penalidades para as empresas que não se adequarem minimamente, caso ocorra algum tipo de incidente ou vazamento destes dados.

O que são considerados Dados Pessoais:
Dados pessoais são quaisquer informações que possam identificar, direta ou indiretamente, uma pessoa física. Os identificadores diretos são nome, RG, CPF, telefone, endereço e similares, e os identificadores indiretos incluem bens móveis e imóveis, dados financeiros, de saúde ou qualquer outro que possa ser relacionado com alguém.

O que são considerados Dados Pessoais Sensíveis:
Dados pessoais sensíveis são informações sobre: raça, etnia, saúde, vida sexual, genética, biometria, religião, convicções políticas, convicções filosóficas, filiações sindicais, filiações associativas, crianças e adolescentes, e à segurança da informação.
Os dados sensíveis tem uma proteção especial conferida pela LGPD, possuindo regras mais rigorosas para seu tratamento.

Quem deve enquadrar-se na LGPD:
Todas as pessoas físicas ou jurídicas que, por força de ofício, coletam, armazenam, tratam e/ou compartilham dados pessoais, ou seja, praticamente todas as empresas.

Quem fiscaliza o cumprimento da LGPD:
A Agência Nacional de Proteção de Dados (ANPD), órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.

Quem pode denunciar uma infração à LGPD:
As denúncias são feitas à ANPD por qualquer pessoa física ou jurídica, como colaboradores, ex-colaboradores, clientes e outros, que desconfiem de alguma infração à LGPD.

O que devo fazer para me enquadrar na LGPD:
Todos aqueles que tratam dados pessoais, obrigatoriamente devem adotar medidas administrativas e técnicas para proteger estas informações de acessos não autorizados ou de situações acidentais. Um roteiro mínimo a ser seguido para estar em conformidade com a LGPD, seria:

Medidas Administrativas:

  1. Constituir um Comitê de Segurança da Informação (CSI):
    • Sua criação não é uma obrigação legal, mas sem dúvida é um importante instrumento para a promoção de uma cultura de proteção aos dados dentro da organização.
  2. Indicar um Encarregado da Proteção de Dados ou Data Protection Officer (DPO):
    • O DPO tem a função de atuar como canal de comunicação entre a instituição, os titulares dos dados e a ANPD. Sua designação é obrigatória e as informações de como entrar em contato deverão ser divulgadas publicamente de forma clara e objetiva, preferencialmente no website da empresa.
  3. Elaborar uma Política de Segurança da Informação (PSI):
    • A ANPD sugere fortemente que seja estabelecida pela organização uma PSI, ainda que simplificada, com previsão de revisão periódica, e que contemple controles relacionados ao tratamento de dados pessoais, como o uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico e mensageiros digitais, antivírus, backups e outros.
  4. Conscientizar e treinar os colaboradores da empresa:
    • As organizações devem conscientizar seus colaboradores sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais, por meio de campanhas e treinamentos devidamente registrados em ata.
  5. Revisar os contratos com funcionários, clientes e prestadores de serviços:
    • É recomendável que sejam assinados termos de confidencialidade com os seus colaboradores para que se comprometam a não divulgar informações confidenciais, e que cláusulas específicas à LGPD sejam inclusas em todos os contratos.
  6. Gerenciar e controlar o uso de serviços em nuvem:
    • Informar e solicitar o consentimento de seus colaboradores, clientes e prestadores de serviços, sobre o armazenamento de dados pessoais em plataformas de serviços em nuvem como, e-mails, mensageiros digitais, cloud drives, cloud backups e similares, quando estes estiverem hospedados no exterior. O uso destas plataformas de serviços pode caracterizar Transferência Internacional de Dados.
  7. Criar regras para o uso de dispositivos móveis:
    • Estabelecer regras e procedimentos para o uso de equipamentos como pen-drives, HDs externos, notebooks pessoais, telefones celulares e outros dispositivos similares, com a capacidade de armazenar, fotografar ou filmar dados pessoais tratados pela empresa.

Medidas Técnicas:

  1. Controlar o acesso aos dados pessoais e empresariais:
    • Implantando tecnologias que garantam que somente pessoas autorizadas tenham acesso aos dados pessoais e a outros dados da organização.
  2. Aumentar a segurança dos dados pessoais armazenados:
    • Com a utilização de ferramentas e tecnologias que permitam o mascaramento, anonimização, criptografia, bloqueios, backups, monitoramento, etc.
  3. Aumentar a segurança das comunicações:
    • Para possibilitar que os dados pessoais sejam trocados de forma segura e confiável, garantindo a integridade, a confidencialidade e a rastreabilidade dos mesmos, utilizando ferramentas de criptografia e monitoramento de atividades.

O que poderá acontecer se não estiver em conformidade com a LGPD:
Aqueles que não aderirem às boas práticas em relação à LGPD, e eventualmente sejam denunciados ou cometam alguma infração, poderão ser advertidos e/ou multados e/ou ter suas atividades suspensas. No caso das multas, estas variam de 2% do faturamento do ano anterior até 50 milhões de reais, por infração.

Resumo:
Devemos nos preocupar com o tratamento de dados como um todo, pois além destes constituírem um ativo da organização, uma simples denúncia em relação aos dados pessoais, poderá ter consequências preocupantes, assim:

  • É necessário rever procedimentos internos que envolvam o tratamento de dados;
  • Contratos e políticas internas devem ser criados ou revistos para se adequar a LGPD;
  • Deve-se indicar claramente um encarregado de proteção de dados (DPO);
  • Colete o mínimo de dados possível para a realização de suas atividades;
  • Revise e endureça a segurança cibernética de sua instituição.

Como a CP&P pode ajudá-lo:
Mais do que nunca, a escolha do parceiro para o suporte em tecnologia tornou-se fundamental e, com a CP&P, sua empresa não estará sozinha. Nossos profissionais possuem a expertise para implantar as etapas descritas acima, podendo ajudar:

  1. Orientando na criação do Comitê de Segurança da Informação, podendo fazer parte deste;
  2. Sugerindo modelos de Políticas de Segurança da Informação;
  3. Treinando e conscientizando seus colaboradores;
  4. Apresentando ao seu corpo jurídico sugestões de cláusulas contratuais para LGPD e para o consentimento do uso dos dados pessoais;
  5. Implantando ferramentas de segurança cibernética dimensionadas para sua organização, como:
    • Diretório Ativo (AD);
    • Firewalls em camadas;
    • Redes Virtuais Privadas (VPN);
    • Sistemas de Detecção ou Prevenção de Intrusão (IDS/IPS);
    • Sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM);
    • Honey Pots;
    • Monitoramento e bloqueio de ativos, internet e usuários;
    • Antivírus;
    • Criptografia;
    • E outros.
  6. Avaliando seus procedimentos em relação à infraestrutura de TI e fazendo sugestões para mitigar incidentes de segurança.

Agende uma conversa sem compromisso:
Entre em contato conosco e agende uma conversa com um dos nossos consultores para conhecer nossos serviços e tirar suas dúvidas.