FAQ da LGPD

Nessas minhas conversas pelo mundo corporativo, selecionei algumas perguntas interessantes sobre a Lei para ajudá-los. Sem mimimi, nem xalalá, direto ao ponto.

1)     Se eu não começar, qual o risco? O risco é a sua empresa ser multada assim que a Lei entrar em vigor, que será previsto em agosto de2020 entre outras ações que podem acontecer.

2)     A Lei vai postergar? Até pode acontecer, o mas a sua empresa vai arriscar? Lembrando que, quanto mais próximo da entrada em vigor, menos tempo terão para adequação. Eu particularmente acho difícil, frente a questão estratégica econômica, sendo que até nossos países vizinhos já possuem lei de proteção a dados. Ex.:Uruguai, desde 2009. O que eu acho que pode acontecer são algumas flexibilidades, mas eu não arriscaria. Por que independete dessa Lei, já existe outra que já cobrem partes de proteção a informação e cada vez mais as pessoas estão se interessando sobre.

3)     Mas meus sistemas e infra estrutura de TI são todos terceirizado e em nuvem? Sendo interno ou externo, a adequação cabe a ambos. A sua organização tem que garantir o uso e tratamento adequado a dados pessoais. Seu trabalho será garantir que seus fornecedores e parceiro também estejam adequados. Tenho percebido o movimento bem forte em relação aos provedores de tecnologia a se adequarem antes e já entregarem produtos em compliance.

4)     Mas minha organização não usa dados de clientes, preciso me adequar? Todas as organizações para fins comerciais que utilizam dados terão que se adequar. Sua organização pode ser B2B, mas ela provavelmente tem informações pessoais de colaboradores,visitantes, ex-colaboradores, candidatos...a pergunta é: a minha organização uso, armazena, trata ... dados pessoais (independente do publico)?

5)     O DPO, precisa ser alguém da empresa? Não, pode ser um terceiro contratado, ou uma empresa que aloca um recurso para essa atividade. Mas é um nome e CPF que irá responder pela sua empresa. Se é interno ou externp, isso depende da estratégia e do core da sua empresa. Mas é muito comum na Europa a terceirização e ter um DPO (mesma pessoa) para mais de uma empresa.

6)     O DPO precisa de alguma certificação especifica? Não, a lei é bem objetiva frente as responsabilidades do Encarregado e não existe nenhuma certificação especifica:   

I - aceitar reclamações e comunicações dos titulares,prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

 IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

obs.: o Encarregado será um grande articulador entre os titulares, a agencia (governo) e internamente. Sozinho dificilmente ele fará muita coisa, pois são atividades multidisciplinares. Tenho observado em algumas empresas familiares, um dos socios tem assumido essa responsabilidade com uma retaguarda, em outras o proprio CISO, em outras tem sido uma pessoa de Relações Públicas ou alguem do Juridico. Mas tem uma grande tendencia de tercerização. Assim negócio da empresa foca no seu core!

7)     Seguro cibernético é viável? Sim, a sua empresa pode contratar um seguro, a empresa de seguro provavelmente fará uma avaliação de riscos para fechar os valores. Isso não exime a responsabilidade da organização frente aos órgãos regulatórios e de se adequar a LEI. o Seguro não é um remedio milagroso. Mas é uma boa alternativa para empresa que tem um alto volumes de dados. Lembrando que essas empresas de seguro já atuam além da LGPD.

8)     Minha empresa foi hackeada, o que eu faço? Hoje em relação a lei, não há necessidade explicita de fazer nenhuma ação. Mas internamente, aconselho um investigação e plano de ação de correção e contorno. Além de avaliação dos possíveis danos.

9)     Eu vou precisar de investimento? Sim, é uma adequação de processos e tecnologia, mas você terá uma oportunidade de melhorar seus processos.

10) Quanto de investimento? Depende de cada empresa, e do nível de investimento já realizado em segurança digital e qual a estratégia que você irá adotar. Tercerizar, internalizar.

11) O governo também terá que se adequar ou só empresas privadas? Sim, se há coleta, uso e tratamento de dados pessoais. E existe um capítulo só pra isso na Lei.

12) Na Europa (GDPR) quais foram as natureza das reclamações?

·        Violações a direitos de titulares, como direito de acesso e direito a eliminação de dados pessoais

·        Dados coletados em excesso para determinada finalidade

·        Compartilhamento indevido de dados pessoais (sem Informação, consentimento ou contra a vontade dos titulares)

·        Marketing direto

·        Vazamento de dados não notificadox

·        Uso abusivo/ indevido de câmeras de seguranças

·        Cookies, dados de crianças, dados sensíveis, etc

13) E quais as principais causas (explicações) das reclamações:

·        Revelação não autorizada

·        Papeis roubados ou perdidos

·        Hacking

·        Phishing

·        Equipamentos perdidos ou roubados

·        Malware

·        Uso inapropriado de papeis

Contribua com nosso FAQ, deixe uma pergunta, que vou procurar respondê-las. Claro, o que eu souber ou peço ajuda aos colegas especialistas. Ou também queira complementar alguma das minhas respostas, será bem-vinda. Eu também tenho um grupo no Whatssap "Compartilha LGPD" onde trocamos muitas figurinhas. Se quiser participar me manda uma mensagem. Tenha um lindo dia! ;)