AGQ - Capacitação Empresarial e os Cookies - Nosso site usa cookies para melhorar a sua experiência de navegação. Confira a Política de Privacidade
Muito se tem publicado a respeito da LGPD e havia uma forte expectativa em relação a data em que a mesma entraria em vigência. Com certeza é um dos assuntos do momento.
A Lei 13709 conhecida como LGPD foi publicada em 14 de agosto de 2018 e entrou em vigor em 18 de setembro de 2020 sancionada pelo Presidente da República.
A lei apresenta 10 capítulos contendo ao todo 65 artigos, sendo 2 que foram vetados.
Não resta mais dúvidas de que a proteção de dados e a segurança da informação é uma necessidade no mundo digitalizado.
Nossos dados pessoais, que até pouco tempo atrás eram informações relativamente livres para circular de mão em mão no mercado, agora estão restritos.
A autorização expressa para uso e o fim a que se destinam passaram a ser obrigatórios.
Nossos dados pessoais acumularam um status de ativo de valor e como tal estão com uso restrito e controlado.
A nova lei veio definir limites, regras, critérios e punições no uso dos dados pessoais, dados estes relativos à pessoas naturais.
Seu atendimento exige uma série de ações que envolvem diversas áreas e responsáveis dentro de uma organização.
Com certeza não é trabalho de um homem só e nem de apenas um especialista.
Para adequado atendimento a lei e dentro de sua realidade a empresa irá necessitar de diversos conhecimentos, e em especial nas áreas de gestão de dados e informações, proteção e controle de acesso físico e digital, definições de rotinas, políticas e procedimentos, revisões de contratos na esfera trabalhista e comercial, treinamento e conscientização de pessoas.
Embora tenha nomeação como Lei, em seu conteúdo identificamos diversas características de um instrumento normativo.
Se a analisarmos apenas pela visão do direito constatamos que esta especialização não atende tecnicamente a todas às suas exigências.
Sim, é uma lei, mas tem exigências de requisitos normativos.
Apenas para darmos um exemplo, os termos “criptografia e anonimização” não são termos naturais ao direito mas sim relacionados a Tecnologia da Informação.
Sua implementação, em uma sequência lógica, requer seu entendimento, qualificação dos envolvidos, análise da base de dados e fluxo de informações, implementação das ações técnicas relacionadas ao gerenciamento dos dados, definição e implementação das políticas e procedimentos, revisão dos contratos, treinamentos e conscientização dos envolvidos, desenvolvimento e comprometimento dos fornecedores, monitoramento da conformidade e do desempenho, ações de mitigação, reparação ou prevenção.
É um trabalho que tem início mas não tem fim.
Suas exigências permanecem enquanto os dados pessoais forem necessários.
Acho importante destacar que a sua implementação não deve se justificar apenas como uma forma de evitar a punição mas sim como uma demonstração da organização quanto à sua responsabilidade com o gerenciamento dos dados pessoais.
A punição, que conforme o tamanho do dano, pode se tornar alta é uma consequência pelo não atendimento e não um objetivo da legislação.
Buscar uma equipe multidisciplinar composta de vários profissionais especialistas em suas áreas com certeza é um bom caminho para se tornar em compliance com a lei.
O caminho é longo, as regras já estão valendo e não se pode mais postergar.
É arregaçar as mangas e começar.
Antônio de Andrade
DPO (Data Protection Officer) e Lead Assessor na norma NBR ISO27001
Confira também:
8 Dicas para Aproveitar ao Máximo o Feriado em Família
Ações neste período de CRISE - Instrutor Cesar Roth
AGQ Auditorias