Devido às restrições decorrentes da pandemia, o modelo de trabalho remoto foi amplamente adotado em diversas empresas.
Softwares e programas, que antes eram assegurados de perto por profissionais de T.I, muitas vezes são usados pelo próprio dispositivo (notebook ou smartphone) do colaborador.
Este fato aumenta consideravelmente os riscos de perda de dados pessoais e de roubo de informações corporativas. Se antes já existia a preocupação com a proteção de dados, agora com a Lei Geral de Proteção de Dados (LGPD) se intensificou.
Por este motivo, é aconselhável que as empresas adotem boas práticas de segurança da informação, como a implementação da ISO 27001 e 27701, para que não haja vazamento de dados pessoais.
O que é a LGPD?
A LGPD é a lei que delimita como devem ser tratados os dados pessoais de pessoas físicas ou jurídicas com o intuito de proteger os direitos fundamentais de privacidade e de liberdade.
Esta lei atinge todas as instituições que tratam dados pessoais, ou seja, que captam, classificam, exploram, compartilham e eliminam dados de seus clientes. É a norma que trata de dados pessoais.
Segundo a LGPD, as empresas se responsabilizam pelos dados pessoais que passam para os seus colaboradores, fornecedores e parceiros, e também por possíveis ataques cibernéticos.
Segundo o artigo 7 do capítulo II da LGPD, o tratamento de dados pessoais somente pode ser realizado mediante o consentimento do titular dos dados. Caso uma empresa não esteja de acordo com a LGPD e dados pessoais concedidos vazarem , a mesma sofrerá prejuízos financeiros, penalizações, multas e dano à imagem institucional.
Que órgão fiscaliza a LGPD no Brasil?
O órgão responsável por fiscalizar se a LGPD está sendo cumprida nas empresas é a Autoridade Nacional de Proteção de Dados Pessoais (ANDP).
A ANPD adota procedimentos de monitoramento, orientação e atuação preventiva nas instituições, podendo atuar por iniciativa própria, por meio de programas periódicos de fiscalização, e em resposta a uma denúncia.
As reclamações e denúncias são recebidas em plataforma própria e as representações são recebidas pelo Sistema Eletrônico de Informação – SEI ao longo do ciclo de monitoramento.
A partir de 10 de Agosto de 2021, a ANPD poderá aplicar:
- Advertência, com prazos para cumprimento de ações corretivas;
- Multa simples, de até 2% do faturamento de uma empresa;
- Multa diária;
- Lançamento da infração;
- Bloqueio e/ou eliminação dos dados pessoais que estão contidos na infração;
- Suspensão parcial ou total do tratamento dos dados pessoais e do banco de dados de uma empresa.
Ou seja, caso sua empresa não esteja dentro dos requisitos da Lei Geral de Proteção de Dados Pessoais, ela pode ter até a proibição total de tratar dados pessoais de clientes, fornecedores e parceiros para sempre. Importante atentar-se aos requisitos desta lei, não é mesmo?
Como adequar minha empresa a LGPD?
Milhares de empresas, inclusive as de grande potência mercadológica e com grande apoio jurídico, perderam uma fortuna com processos relacionados à violação de dados pessoais.
Uma delas foi o Facebook que teve um prejuízo de US$ 5 bilhões e suas ações caíram 6,77% na Bolsa de Nova Iorque, após o escândalo de vazamento de dados da Cambridge Analytica. A empresa Cambridge Analytica manipulou dados pessoais de mais de 50 milhões de usuários do Facebook.
Este é um grande exemplo de que todas as empresas, não importa o seu porte, devem estar dentro de todos requisitos da LGPD. Então, como adequar uma empresa a esta lei?
Uma das formas mais eficientes para mostrar conformidade com a LGPD (Lei Geral de Proteção de Dados) dentro de uma organização é aderir a um Sistema de Gestão da Segurança da Informação proposto pela ISO 27001 e ISO 27701. Isto porque, estas duas normas oferecem às empresas as melhores práticas para gerenciar riscos de segurança da informação.
Se a sua empresa obtiver a certificação ISO 27701, ela estará atendendo a LGPD. Isto porque, uma empresa só pode obter a certificação ISO 27701 se já possuir a certificação ISO 27001, pois a ISO 27701 é a extensão da norma já existente.
Qual a diferença entre a ISO 27001 e a ISO 27701?
A ISO 27001 aborda um Sistema de Gestão de Segurança da Informação (SGSI) , enquanto a ISO 27701 aborda um Sistema de Gestão de Privacidade da Informação (SGPI), ou seja, fornece diretrizes e requisitos sobre a proteção da privacidade do titular dos dados.
A ISO 27701 foi lançada em Dezembro de 2019 pela ABNT. Esta norma é uma extensão da ISO 27001, ou seja, se apoia na regulamentação da ISO 27001, que é a parte da segurança da informação. As diretrizes já existentes na ISO 27001 estão atualizadas com o foco na proteção de dados pessoais e privacidade do titular do dados na ISO 27701.
As duas normas possuem requisitos semelhantes e se completam, entretanto existem diferenças entre ambas, o que faz ser tão importante possuir as duas para a segurança e privacidade da empresa.
Para que fique mais claro a complementaridade das duas podemos citar um exemplo do nosso cotidiano.
Não adianta ir ao banheiro e não trancar a porta, se você tiver filhos pequenos então, certamente, eles entrarão no seu banheiro e você será “invadido” e “pego de surpresa”.
O caso lúdico acima chega próximo do entendimento da relação entre as normas, ou seja, não existe privacidade se não houver segurança.
Como a ISO 27001 em conjunto com a ISO 27701 pode ajudar a sua empresa a estar em conformidade com a LGPD?
Um dos maiores benefícios de obter estas duas certificações é estar em conformidade com alguns artigos da LGPD. Isto porque, a ISO 27001 tem o escopo totalmente voltado para a privacidade de dados pessoais, que é o foco da LGPD.
Logo, se uma empresa é certificada na ISO 27001, ela está em conformidade com a Segurança da Informação e ao implementar a ISO 27701 além de ficar em conformidade com a Segurança da Informação, ela também estará em conformidade com o sistema de gestão de privacidade da informação.
Outro grande benefício de obter estas duas normas em conjunto é que a ISO 27001 está de acordo tanto com a LGPD ( Lei Brasileira) quanto a GDPR, General Data Protection Regulation (Regulamento Geral de Proteção de Dados).
A GDPR é um conjunto de regulações a respeito de proteção de dados na União Europeia e no Brasil a sua equivalente é a LGPD.
Ou seja, se a sua empresa tem base de dados de titulares Europeus você está apto para ser auditado pela norma Europeia. Caso a sua empresa não possua parceria na União Européia, obter a certificação ISO 27701 é um caminho para obtenção de clientes no continente europeu.
Em resumo, não é obrigatório se certificar na ISO 27701 para estar em total conformidade com a LGPD. Porém, é muito importante destacar que adotar e implementar padrões normativos internacionais de segurança de dados faz com que você consiga mostrar evidências das preocupações com a segurança de dados, caso a sua empresa seja questionada pela ANPD.
Segundo um estudo feito pela empresa Bluepex, somente 2% das pequenas e médias empresas se consideram totalmente preparadas para as normas impostas pela Lei Geral de Proteção de Dados (LGPD).
E você, como está se preparando para adequar-se a LGPD?
