LGPD, Lei Geral de Proteção de Dados
O que é um dado pessoal?
Dados pessoais são todos os dados que tornam uma pessoa identificável. Podemos ter tipos diferentes de dados que, dependendo do contexto, podem ou não ser pessoais. Um nome, por exemplo, em uma grande base de dados, é apenas uma informação comum, não identificável. Porém, se estiver acompanhado de mais dados de uma pessoa, torna-se um dado pessoal.
Para que existe a Lei Geral de Proteção de Dados e a quem se aplica?
A Lei existe para tutelar a privacidade da pessoa. Na maioria das vezes, uma empresa possui mais informações a nosso respeito do que imaginamos, por isso um contexto regulatório adequado e bem formulado pode fomentar e auxiliar o desenvolvimento tecnológico. Ela se aplica a qualquer pessoa física ou jurídica que realiza o tratamento de dados pessoais. Quando se diz tratamento, temos coleta, armazenamento, compartilhamento, exclusão, entre outras atividades. Ela não se aplica quando a coleta é feita com fins particulares e não econômicos, jornalísticos, artísticos ou acadêmicos, para fins de segurança de estado, investigações ou infrações penais e quando coleta e tratamento são realizados fora do país.
Em resumo, o tratamento de qualquer dado pessoal realizado em território nacional com objetivo de fornecimento de serviços e bens tem aplicabilidade da Lei. Além disso, ela é horizontal e assimétrica: atinge qualquer empresa, de qualquer ramo, de qualquer porte.
Quais os aspectos gerais da Lei para tratamento de dados?
O tratamento de dados deve seguir os seguintes princípios:
- Propósito: Os dados coletados devem ser utilizados com uma finalidade específica, legítima e clara.
- Compatibilidade: A utilização dos dados deve ser compatível com o propósito informado no momento da coleta.
- Necessidade: Apenas o dados estritamente necessários devem ser utilizados.
- Disponibilidade: Após coleta, deve haver livre acesso aos dados e ao tratamento que está sendo realizado.
- Integridade e Transparência: Os dados devem estar íntegros, claros, atualizados e precisos para o titular.
- Confidencialidade: Garantia da guarda dos documentos em caso de divulgação não autorizada.
- Segurança: Garantir meios de proteção para que os dados coletados não sejam divulgados.
- Não discriminação: Os dados não devem ser utilizados para fins abusivos, ilícitos ou discriminatórios.
Obrigações trazidas pela Lei:
A partir de fevereiro de 2020, a Lei trará as seguintes obrigações ao controladores dos dados pessoais:
- Evidenciar que o consentimento para coleta de dados foi obtido em conformidade com a Lei;
- Registrar toda e qualquer operação de tratamento de dados realizada sobre as informações;
- Elaborar relatório de impacto à proteção de dados mediante a solicitação da autoridade nacional;
- Manter o titular informado sobre qualquer alteração no propósito de utilização dos dados;
- Em caso de violação da LGPD, responder a qualquer dano causado solidariamente.
Como se adequar?
A adequação começa com alguns questionamentos simples:
- De quem que é o dado?
- Quais dados estamos tratando? O que realmente é necessário?
- O consentimento para utilização de dados é baseado em informações claras?
- Algum dado pode ser anonimizado?
- O dado está sendo utilizado para a finalidade objetivada?
- O dado já atingiu seu objetivo? Se sim, qual procedimento adotar?
É preciso que a empresa tenha autoconhecimento sobre os tipos de dados que tramitam através dela. A partir disso, algumas medidas podem ser adotadas, como criação de procedimentos e políticas que orientem sobre como manter e registrar operações de tratamentos de dados; como conservá-los e garantir que os mesmos sejam utilizados com a finalidade correta; definir responsáveis por seu tratamento; criar metodologias para garantia de segurança das informações, orientando aos funcionários e contratados sobre as melhores práticas a serem utilizadas nesse trâmite.
Como garantimos a segurança de dados armazenados no Greendocs?
Revisamos regularmente o esquema de armazenamento de dados junto aos nossos provedores e trabalhamos em melhorias constantes para promover o controle de acesso, a fim de que o cliente consiga gerenciar as suas informações de forma conveniente.
Além disso, garantimos contratualmente que a segurança e confidencialidade dos dados dos clientes sejam asseguradas através de uma cláusula de sigilo ou, ainda, através de um NDA (Non Disclosure Agreement).
O que estamos armazenando no Greendocs?
Cada cliente possui o controle de acesso de seu ambiente e de quais documentos serão armazenados no mesmo. Assim, o sistema, em conjunto com as regras do cliente, garante que sejam cumpridas as obrigações legais.
Internamente, armazenamos apenas informações necessárias para controle e configuração de ambiente de clientes, dados de suporte (dúvidas, solicitações e falhas relativas à utilização) e de vendas.
Como armazenamos e tramitamos os dados?
Concebido para rodar em ambiente web, o Greendocs é provido de sofisticados recursos técnicos que garantem que a comunicação documental e o armazenamento de informações ocorram sob os mais altos padrões de segurança.
- Transmissão de dados: Em conformidade com a ISO/IEC 17799, os dados são transmitidos criptografados. O certificado SSL Thawte/DigiCert, utilizado pelas grandes lojas de varejo para proteger informações de cartão de crédito, é o mesmo utilizado pelo GreenDocs para garantir autenticidade e sigilo na transmissão da informação.
- Registro de atividades: O sistema mantém relatórios de atividades completos. Ações como entrada no ambiente, saída e leitura de documentos tem registrado horário, usuário e IP executante.
- Lógica de segurança baseada em processos: As permissões são definidas através de regras grupo x processo x unidade x função, e não apenas perfil x área. Isso dá maior flexibilidade à setagem de segurança e definição de privilégios, mas mantém performance e privacidade das informações, de maneira que cada parte envolvida no projeto tenha acesso somente ao que precisa.
- Infraestrutura de TI: Para o caso da utilização em nuvem, contamos com provedores de infraestrutura de TI (datacenter) reconhecidos pelo mercado, tais como Amazon Web Service (AWS) e Microsoft Azure. Quando da necessidade de interação com pessoas ou empresas terceiras, a utilização em nuvem é um recurso extra de segurança. Isso porque usuários ou grupos externos são autorizados para entrar apenas na “nuvem”. Não é necessário habilitá-los na infraestrutura de TI local do contratante.
- Segurança patrimonial da informação: Caso solicitado, o cliente receberá em mãos, mensalmente, uma ou mais mídias físicas com os conteúdos e dados gerados naquele mês.
Quem pode acessar os dados?
Possuímos um controle de acesso rígido, restrito apenas para membros da equipe, garantindo através de critérios avançados de segurança que os dados não sejam acessíveis por outras pessoas.