Você sabe o que é conscientização LGPD? Pois é muito importante que você, colaborador, gestor ou empresário, se informe profundamente sobre o tema. Neste artigo, vamos introduzir o assunto de forma clara e direta, de modo a abrir uma janela para que você possa se aprofundar em seguida.
A conscientização LGPD é uma demanda antiga no ambiente corporativo, relacionada à gestão de riscos. Antes, porém, estava relacionada à proteção de dados estratégicos e confidenciais, resguardando a empresa e seus clientes. Nos dias atuais é a própria continuidade do negócio que está em risco.
LGPD é a Lei Geral de Proteção de Dados. O propósito da legislação é proteger dados pessoais tratados em meios físicos e digitais, garantindo o direito à privacidade, liberdade e desenvolvimento da personalidade do titular. Em outras palavras e em resumo, trazendo para o campo dos negócios, a lei trata da proteção de dados dos clientes, que deve ser garantida pelas empresas.
Para alcançar as condições de funcionamento estabelecidas pela lei as empresas precisam integrar satisfatoriamente pessoas, processos e tecnologias. É preciso, para isso, que as práticas de gestão, governança e compliance levem em consideração o caráter agora legal do tratamento de dados.
A lei entrará em vigor, salvo mudança provocada pelo enfrentamento da pandemia de Covid-19, em agosto de 2020. A fiscalização da implantação e cumprimento das políticas de dados de acordo com as normas legais será regulada pela Autoridade Nacional de Proteção de Dados.
A LGPD estabelece as regras para coleta e tratamento das informações das pessoas físicas, tanto por entidades privadas quanto públicas. Todas as empresas, independentemente do porte, estão submetidas à nova legislação, que protege, ainda, funcionários, leads, fornecedores e todos aqueles que tenham dados tratados pela empresa ou por terceiros sob suas ordens.
Para deixar mais claro quais as obrigações da empresa, relacionamos os direitos previstos no âmbito da LGPD:
Vale ressaltar que, do ponto de vista orgânico, a LGPD impacta diversos setores da empresa, sobretudo os que são mais dependentes da manipulação de dados e produção de informações. É o caso de setores como Marketing, RH, atendimento e serviços, TI, sistemas e SI.
A porta de entrada das conformações de compliance é, no entanto, o setor jurídico. O papel desse departamento é debruçar-se sobre a legislação, compreender as regras e gerar um documento que oriente os setores tecnológicos, que serão responsáveis por adequar os processos de tratamento e proteção de dados, assim como de comunicação interna.
As novas políticas devem passar pelo RH, transformando-se em treinamento e capacitação dos colaboradores para lidarem com os novos procedimentos. Tudo isso faz parte do processo de conscientização LGPD, açambarcando tecnologias e processos, mas é fundamental que se qualifique o terceiro elemento do tripé, que são as pessoas.
Estar pronto para lidar com as novas demandas de SI requer mais que treinamento. É preciso conscientização acerca da importância de seguir os novos procedimentos, dos riscos e das sanções a que a empresa está sujeita em caso de não conformidades, que vão de advertência, com prazo estabelecido para adoção das medidas corretivas, à aplicação de multas que podem chegar a R$ 50 milhões.
O passo inicial para que a conscientização seja eficiente é esclarecer os colaboradores acerca dos principais tipos de ataques aos dados.
Mais persuasivo que apresentar um manual de condutas de segurança a ser seguido é envolver os colaboradores mostrando a razão de elas existirem.
O baiting é um tipo de ataque que pode ser 100% evitado se todos os colaboradores da empresa estiverem conscientes de sua existência.
Os hackers infectam um dispositivo qualquer com malwares e os deixam em um local estratégico, onde o colaborador o encontre.
O golpe estará consumado se, além de encontrar o dispositivo, o funcionário abrir seu conteúdo e instalar o software mal intencionado, que dará ao hacker acesso aos dados da empresa.
Nesse modelo de invasão o hacker simula uma comunicação fraudulenta, que parece ser de fonte confiável.
Normalmente, esse tipo de interação, feita por e-mail, busca fazer com que a vítima:
Essa é uma tática ousada, que requer a adoção de rígidos procedimentos de segurança interna, mas que pode ser neutralizada com a capacitação dos colaboradores.
No quid pro quo, pessoas se infiltram na empresa e abordam funcionários em busca de alguém que necessite de alguma intervenção em seu sistema ou dispositivo. Esse ataque pode ser pessoal ou digital.
A vítima, uma vez convencida de estar falando com alguém de TI, dá acesso a códigos, desabilita proteções e instala malwares, achando que está corrigindo o problema.
Empresas menores tendem a ter na implantação de programas de SI um problema menos complexo, seja porque os processos tendem a ser mais simples, seja porque o número de colaboradores envolvidos na rotina é menor.
Por outro lado, é natural que essas empresas não disponham de estruturas de TI capazes de dar respostas imediatas às demandas suscitadas pela LGPD. Ao mesmo tempo em que é pouco provável que disponham de estrutura jurídica para a interpretação da lei.
Nesse caso, o caminho é buscar o auxílio de uma empresa de consultoria em TI e SI. O que não pode é fechar os olhos para o que vem por aí. Tratar dados de terceiros é uma responsabilidade grande e é plenamente justificável que haja uma legislação para cuidar da segurança e privacidade das pessoas, assim como o acompanhamento de uma agência reguladora.
Portanto, invista em conscientização LGPD, zelando pela reputação e segurança de sua empresa e de seus stakeholders.
Esperamos que o artigo tenha sido muito útil e convidamos você a seguir acompanhando nossos artigos.
Nenhum comentário aprovado.
Deixe um comentário