Reportagem

LGPD: Como manter a segurança em dia com a tecnologia

Entenda quais são os pontos mais importantes para que as empresas protejam dados pessoais sensíveis, como os coletados por biometria.

27 de Janeiro de 2021
Autores:
  • Agência Jüssi

Em vigor desde agosto de 2020, a LGPD (Lei Geral de Proteção de Dados Pessoais) veio para regulamentar o tratamento que as empresas devem dar aos dados pessoais coletados de terceiros, visando a proteger essas informações. “Qualquer ação que possa ser relacionada a dados pessoais é uma operação de tratamento. Coletar, armazenar, transferir, usar, apagar, destruir, manter e arquivar são alguns exemplos”, esclarece Fernanda Leal, coordenadora de Compliance e DPO da JLL.

Desde que a lei passou a valer, portanto, as empresas devem seguir os princípios definidos para essas operações de tratamento, além de manter um registro dessas operações, avaliar seus riscos, garantir o atendimento dos direitos dos titulares dos dados, implementar medidas para evitar uma quebra de segurança e planejar como fazer a contenção de danos caso ocorra essa quebra. Tudo isso vale tanto para dados tratados de forma digital como para dados tratados de forma física, em papel.

 

Fique por dentro

Procurando mais insights? Receba a nossa newsletter!

As últimas notícias, tendências, insights e oportunidades do mercado imobiliário direto para sua caixa de entrada.

“A LGPD não estabelece uma forma específica para o armazenamento de dados pessoais. O que ela requer é que as empresas garantam que eles sejam tratados somente para a finalidade indicada e com segurança, que elas tomem as medidas técnicas e organizacionais para proteger os dados de acessos e tratamentos indevidos”, completa Fernanda.

Alguns dados pessoais, segundo a lei, devem ser considerados sensíveis. Um exemplo são os coletados por meio de biometria, como o reconhecimento facial e de digitais. “Deve-se ter uma atenção maior com a segurança desses dados pela potencial extensão dos danos que um vazamento ou acesso não autorizado causariam”, afirma Fernanda. 

A especialista também explica que a lei não se aplica aos dados anonimizados, aqueles em que não é possível identificar uma pessoa. “Por não ser possível identificar o titular, eles não são considerados dados pessoais e, portanto, a LGPD não é aplicável.”

Por outro lado, quem trabalha com dados pseudonimizados deve seguir as bases indicadas pela lei. “Os dados pseudonimizados perdem a possibilidade de associação, direta ou indireta, a um indivíduo, a não ser que se use uma informação adicional que é mantida de forma separada pelo controlador dos dados, em um ambiente controlado e seguro”, explica Fernanda. “Normalmente esse processo de pseudonimização é reversível, pelo uso da ‘chave’, essa informação adicional. Por essa razão, são considerados dados pessoais. A pseudonimização poderia ser considerada uma das medidas técnicas de proteção aos dados pessoais.”

 

 

Para cumprir os requisitos da LGPD, as empresas precisarão criar políticas e processos de tratamento de dados pessoais e emitir avisos de privacidade, o que muitas vezes implica em aquisição de tecnologia e estabelecimento de canais de comunicação, além de reforçar o treinamento da equipe e a conscientização geral.

Algumas tecnologias podem ajudar as empresas a seguir as bases legais estabelecidas pela LGPD. “Já existem soluções para coletar o mínimo possível de dados de visitantes e funcionários de prédios. Nos sistemas com Single Sign-On, a pessoa só precisa informar o e-mail”, exemplifica Ariel Castillo, gerente comercial e consultor da JLL Technologies para a América Latina. “Esses dados em geral são armazenados em servidores certificados e com segurança contra hackers, para proteger o usuário. A anonimização de informações coletadas por sensores também pode ser garantida.”

A nova lei pode também incentivar uma mudança cultural, ressalta Fernanda. “De maneira muito geral, o Brasil não tem uma cultura de privacidade muito desenvolvida. Nós somos muito abertos e temos uma tendência à auto exposição, então muitas vezes nos parece normal qualquer uso de nossos dados, não temos o hábito de questionar por que alguém está solicitando determinadas informações nem o que vai ser feito com elas”, afirma.

Nas empresas, essa mudança de cultura também poderá ser sentida. “É atribuída a elas a responsabilidade sobre quais dados serão coletados, a forma como eles são coletados, usados, como e com quem serão compartilhados e pela garantia de que esses dados não serão acessados ou utilizados de forma indevida, seja por subcontratados ou mesmo diante de uma invasão de sistemas”, diz Fernanda.

Para ela, essa responsabilidade deve envolver todos os colaboradores, e não ficar restrita às áreas Jurídica, de Compliance e Tecnologia da Informação. “Há, sim, um trabalho grande e importante dessas áreas, sem dúvida, mas a LGPD traz a necessidade de envolvimento ativo de cada um dos colaboradores”, pondera. “Situações que normalmente seriam consideradas corriqueiras, como um e-mail enviado para um destinatário errado, um documento deixado sobre a mesa, ainda que por alguns momentos, uma tela de computador compartilhada por engano em uma reunião realizada de forma remota, a partir de agora podem gerar um incidente de privacidade.”

 

Qual é a sua ambição de tecnologia?

Descubra oportunidades e saiba como podemos ajudá-lo a alcançar suas ambições.