Skip to content
A.R.Lepton: Aplicações Robustas em Microsserviços

Cyber Security (Segurança Cibernética) e a LGPD Lei Geral de Proteção de Dados Pessoais

O advento da Lei 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe alguns desafios para as empresas, especialmente no que diz respeito à implementação da cultura de segurança da informação e a conscientização da importância do respeito e correto tratamento dos dados pessoais. Ou seja, a LGPD mais do que uma exigência legal, trouxe a necessidade de mudança do mindset da sociedade brasileira.

A LGPD define dados pessoais como sendo qualquer informação capaz de identificar uma pessoa natural de forma direta (dados identificados) ou indireta (dados identificáveis), além de trazer uma proteção especial aos chamados dados pessoais sensíveis, que podem ser definidos como dados que possam identificar a origem racial, étnica, opinião política, convicção religiosa, orientação sexual ou detalhes de saúde, genético ou biométricos de um indivíduo.

Igualmente, a LGPD impõe às empresas o dever de informar como será feito e a finalidade específica do tratamento que será aplicado aos dados pessoais dos titulares, além de exigir a responsabilidade das empresas na promoção e implementação dos meios adequados de controle, uma vez que os dados pessoais só poderão ser tratados se estiverem em consonância com um das dez bases de tratamento trazidas pela legislação e corretamente atrelados a uma finalidade especifica. Neste sentido, a presente legislação criou a chamada Autoridade Nacional de Proteção de Dados – ANPD, que será a responsável por fiscalizar a correta aplicação da lei por parte das empresas.

Conforme pode-se observar do artigo 2º da LGPD, a presente legislação visa aumentar a proteção à privacidade, à autodeterminação informativa, sem, no entanto, inviabilizar o desenvolvimento tecnológico e social. Neste sentido, a LGPD traz em seu bojo diversos princípios, dentre os quais pode-se destacar o princípio da segurança e da autodeterminação informativa, que é fundamental aos direitos dos titulares de dados pessoais, e à obrigação imposta a todos que tratem dados pessoais de permitirem o acesso e o controle do ciclo de vida dos dados pessoais aos seus respectivos titulares.

Assim, caberá as empresas, por meio das áreas de Tecnologia e Segurança da Informação (Cyber Security ou Segurança Cibernética), adequar seus sistemas, organizações operacionais e eventuais tratamentos de dados que promova, além de implementar medidas capazes de garantir a segurança dos dados pessoais por meio de tecnologia, além de indicar o Encarregado (DPO – Data Protection Officer) que servirá como meio de comunicação entre a Autoridade Nacional de Proteção de Dados, os titulares e a própria empresa, além de ser o responsável pela promoção de orientações, apoio e supervisão da adequação dos processos de negócio a essa nova realidade informativa.
Como destaca MAIA (2019), a evolução da economia digital trouxe grandes transformações nos sistemas de informação e gestão das empresas, forçando empresas e consumidores a repensarem a atuação na rede, especialmente no que tange à segurança da informação na internet, que passa a ser vista como ativo a ser implementado e respeitado no âmbito estratégico das empresas.

A LGPD, ao prever nos artigos 46 e VIII, §1º do artigo 52, ambos da LGPD, a exigência das empresas adotarem medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de eventuais incidentes de segurança, ou ainda ao prever a mitigação das sanções administrativas àquelas empresas que demonstrem adotar mecanismos e procedimentos internos capazes de minimizar eventual dano causado por incidentes de segurança da informação, tende a estimular as empresas à investirem mais na chamada Segurança Cibernética ( Cyber Security).

A utilização de tecnologias de ponta na proteção contra ameaças para evitar ataques de hackers, spam, malware, vírus, tentativas de phishing , links e anexos de e-mails mal-intencionados etc. Ou seja, é de suma importância ao processo de Cyber Security (Segurança Cibernética) e a própria implementação da LGPD nas empresas. Neste sentido, faz-se necessário que o Encarregado (DPO) das instituições possuam conhecimentos ligados à segurança cibernética, especialmente no que tange à definição das metodologias de segurança e orientações de segurança da informação que deverão ser abordadas pelas empresas em seu atuar interno e em eventuais contratações de fornecedores e outros parceiros que venham a efetuar tratamento de dados pessoais em conjunto e/ou sob ordens da empresa.

Em suma, com o advento da LGPD, nasce uma nova cultura, e junto com ela o dever das empresas de nomear um DPO para organizar e apoiar o processo de adequação à Lei e construir serviços, soluções e aplicações já fundamentadas na segurança da informação para todos os sistemas, infraestrutura de TI ou dispositivo, a fim de mitigar eventuais possibilidades de ataques e comprometimentos de dados pessoais que possam vir a ser passíveis de sanção pela Autoridade Nacional de Proteção de Dados Pessoais, tais como o bloqueio da atividade empresarial, que possua tratamento de dados em desconformidade com a legislação, e a aplicação de multas que podem chegar a cinquenta milhões de Reais por infração.

Luciano Piccolo
Membro do Comitê de Conteúdo e Segurança ANPPD® – Associação Nacional dos Profissionais de Privacidade de Dados
Certificado EXIN® DPO Data Protection Officer

Continue sua leitura!

Banco de dados blindados: Proteja seus dados críticos

Banco de dados blindados: Proteja seus dados críticos

Atualmente os dados se tornaram o ativo mais valioso para empresas e organizações. A segurança de bancos de dados é fundamental para garantir a confidencialidade, integridade e disponibilidade das informações…
Protegendo seu negócio: A importância da cibersegurança para pequenas e médias empresas

Protegendo seu negócio: A importância da cibersegurança para pequenas e médias empresas

A cibersegurança se tornou um elemento essencial para todas as empresas, independentemente do tamanho. No entanto, para as pequenas e médias empresas (PMEs), os desafios e as necessidades nesse campo…
Como usar a tecnologia ao seu favor em ESG

Como usar a tecnologia ao seu favor em ESG

As práticas de ESG estão, cada vez mais, fazendo parte do processo de gestão nas empresas. Isso porque, atender as demandas relacionadas à sustentabilidade se tornou uma prioridade no setor…

Planejamento

O planejamento do sprint é um evento no scrum que inicia o sprint.

O objetivo desse planejamento é definir o que pode ser entregue no sprint e como esse trabalho vai ser alcançado.

O planejamento do sprint é feito em colaboração com toda a equipe Scrum.

Desenvolvimento

Desenvolvemos seu projeto em seu ambiente ou em nossas instalações, com profissionais sob sua gestão, sob a nossa, ou compartilhada, com o uso do Outsourcing.

Todo o acompanhamento ocorre a partir de metodologias, frameworks e ferramentas de gestão participativa no desenvolvimento da solução.

A partir deste processo, temos a versão Beta para testes.

Nesta etapa, realizamos a documentação das soluções, inclusive as já existentes.

As entregas são sempre acompanhadas de descritivos funcionais e técnicos, possibilitando a compreensão da solução e sua divulgação.

Homologação

Nossos analistas de qualidade agregam valor final à sua solução, garantindo a superação do resultado esperado.

Produzimos roteiros e evidências de testes que auxiliam no processo de validação do cliente.

É na etapa da homologação, que ocorre a comprovação, pelo cliente e demais partes interessadas, de que o produto resultante do projeto de software atende aos critérios exigidos.

Revisão

Nessa etapa lidaremos com a Sprint Review.

Ou seja, validaremos as entregas da equipe e verificaremos se os critérios estabelecidos no planejamento foram executados.

É o momento de coletar os feedbacks do que a equipe construiu.

Em outras palavras, essa etapa pode ser entendida como uma conversa entre a equipe e as partes interessadas sobre como melhorar o produto.

No fim de cada Sprint, o time se reúne para falar sobre o processo.

Retrospectiva

A etapa de retrospectiva é como um ritual de avaliação do Sprint que acabou de se encerrar.

Nessa reunião, o Time Scrum considera o que foi bom e o que deve ser melhorado, traçando planos de ações em busca da melhoria contínua do processo.