A convergência entre os sistemas OT (Operational Technology) e TI (Tecnologia da Informação) ‘tem sido…
LGPD: Preciso de um DPO, o que fazer?
A Lei Geral de Proteção de Dados, (LGPD), entrou em vigor no final de 2020 e as sanções dos artigos 52 a 54, que regulamentam as punições, em breve estarão em vigor também.
Por enquanto, as empresas não serão multadas em função da LGPD, mas já poderão responder judicialmente por atos contra a privacidade e a segurança dos dados, ou seja, o titular dos dados que se sentir lesado poderá usar a Lei para contestar situações que violam sua privacidade.
Um estudo desenvolvido pela Associação Brasileira das Empresas de Software – ABES, mostrou que das 1000 empresas que realizaram o diagnóstico em relação à LGPD, 60% ainda estão cumprindo os requisitos da Lei.
Estes dados são preocupantes, pois mostram que muitas empresas não possuem medidas preventivas e protetivas para manter a segurança de dados importantes e sigilosos. O Índice LGPD ABES também mostrou que dentre das empresas brasileiras pesquisadas, 40% sofreram algum tipo de violação nos últimos 2 anos e que 76% lidam com coleta de dados importantes.
Dois casos relevantes aconteceram este ano com a Hapvida e com o Hospital Sírio-Libanês. Estas duas grandes empresas anunciaram que sofreram ciberataques, onde os hackers tentaram roubar dados cadastrais, CPFs, nomes completos e endereços de seus clientes. Contudo, as empresas já haviam investido em uma boa estrutura de cibersegurança e obtiveram sucesso na proteção das informações.
Com a LGPD, as empresas terão que reforçar suas medidas preventivas e protetivas de cibersegurança, além de oferecer todo o suporte para seus colaboradores e clientes em caso de incidentes. Para assegurar que essas ações ocorram, a Lei exige que as empresas definam os agentes que serão responsáveis pelo tratamento e proteção de dados, que são:
- Controlador: uma pessoa física ou jurídica, que possui o poder de tomada de decisão referente ao tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica, de direito público ou privado que realiza o tratamento dos dados em nome do controlador.
- Encarregado: Conhecido também como DPO – Data Protection Officer, esse agente será responsável pela segurança dos dados da empresa, atuando como canal de comunicação entre o Controlador, os Titulares dos Dados e a Autoridade Nacional de Proteção de dados.
Por que você precisa de um DPO?
A LGPD exige que as empresas tenham um profissional encarregado pelo tratamento de dados pessoais, o DPO. Segundo o Art. 41 da LGPD, o controlador deverá indicar o DPO, que será o responsável pela segurança dos dados da empresa, atuando como canal de comunicação entre o Controlador, os Titulares dos Dados e a Autoridade Nacional de Proteção de dados.
No entanto, a importância do DPO não se deve apenas em função das exigências da LGPD, pois esse profissional tem um papel fundamental na cibersegurança do seu negócio. O DPO será o responsável por implantar a cultura de proteção de dados pessoais na empresa, além de prover mecanismos de segurança eficazes.
Para obter sucesso, o DPO deverá realizar o mapeamento e análise da vida útil dos dados, para identificar possíveis problemas ou falhas de segurança e, com isso, desenvolver medidas para contingenciar os transtornos que possam vir a ocorrer.
O DPO também poderá estruturar programas de governança e comitês multidisciplinares, compostos por profissionais escolhidos em diferentes setores, que buscarão discutir e desenvolver conjuntamente as medidas necessárias para gerenciar e assegurar a integridade dos dados na sua empresa.
As empresas poderão optar por ter um DPO interno ou um profissional terceirizado, uma pessoa física ou jurídica, contanto que seja qualificado para desempenhar a função. O DPO deve ter conhecimento sobre legislação, ter experiência em governança de dados e entender de segurança da informação.
Desempenhar o papel de DPO não é uma tarefa fácil. Por isso, as empresas apresentam uma certa dificuldade em escolher um DPO, pois trata-se de uma função que requer tempo e treinamento adequado. Portanto, uma solução encontrada por muitas empresas é a terceirização desse serviço.
A Trade Technology possui o serviço de DPO As a Service, que é a contratação de um profissional altamente qualificado para desempenhar essa função na sua empresa; ou o serviço de DPO as a mentory, que é uma assessoria especializada para auxiliar os profissionais da sua organização que forem designados para atuar como DPO.
Contratar um serviço de DPO as a Service é ideal para empresas com o orçamento limitado, visto que o pacote de horas pode ser personalizado de acordo com às necessidades de cada negócio. Contudo, se você prefere selecionar um DPO, montar e treinar uma equipe interna, a Trade Technology estará à disposição para auxiliá-lo.
Observe que a LGPD não deve ser resumida em regras e multas. A Lei promove medidas de proteção e privacidade, que possibilitam às empresas constatar suas vulnerabilidades, otimizar a segurança dos dados e assegurar a continuidade do negócio. O futuro do seu negócio pode depender dessa escolha.