quero falar com um especialista

Artigos

Poucos minutos todos os dias para manter você atualizado sobre o que acontece na segurança cibernética de todo o mundo.

Sua empresa está preparada para LGDP?

Com a aprovação da lei 13.709/18, em agosto deste ano, o Brasil entrou para o vasto grupo de países que possuem uma Lei Geral de Proteção de Dados (LGDP). Com isso, o consumidor ganha direitos e legitimação na proteção de suas informações pessoais como: acesso, correção, eliminação, portabilidade e, até mesmo, revogação do consentimento.

As empresas enfrentarão nos próximos meses o desafio de adequação de suas políticas e processos internos para evitar a não conformidade, já que as multas previstas para o descumprimento variam de 2% do faturamento bruto até R$ 50 milhões (por infração).

Muitas organizações já se adiantaram a essa jornada ao buscar conformidade com a GDPR, lei geral de proteção de dados europeia que serviu de inspiração para lei brasileira, e os processos implementados poderão ser adaptados para a LGPD. Por outro lado, inúmeras organizações deverão estruturar do zero seus programas para garantir a conformidade dentro do prazo estabelecido.

O primeiro passo para adequação é realizar um mapeamento detalhado dos dados pessoais tratados internamente e o seu ciclo de vida. É o que chamamos de Data maping. Saber onde estão, como estão armazenados, quem tem acesso, se os dados são compartilhados com terceiros no Brasil ou exterior são algumas perguntas essenciais que todas as organizações devem responder para identificar os riscos de privacidade a que estão expostas.

Uma vez que a jornada de adequação pode seguir vários caminhos, e o prazo é curto, a melhor forma de priorizar as ações é ter uma visão geral dos riscos e deixar que este mapa guie a construção do seu programa individual de adequação de forma a minimizar a exposição. Por exemplo, se uma empresa transfere um grande volume de dados pessoais para União Europeia deverá selecionar uma das alternativas da lei para regularizar essa transferência internacional de dados. Percebendo essa grande exposição, um bom começo para o programa personalizado seria a revisão desse contrato, enquadrando-o às necessidades da nova lei.

Em paralelo, faz necessária a condução de uma gap analysis, ou seja, a avaliação do estado atual da organização em relação a todas as exigências da LGDP. Algumas questões que devem ser investigadas: Sua organização tem estratégia de privacidade? Tem uma estrutura de governança? Tem processos de privacy by design para que todos os novos produtos, sistemas e processos não violem os princípios de privacidade previstos pela lei? É capaz de identificar incidentes de segurança e de privacidade para comunicar a autoridade nacional no futuro?

Só com uma análise profunda, você consegue responder a essas e outras questões para identificar as falhas e priorizar na sua jornada de adequação.

Para finalizar, outro ponto importante a ser destacado é a importância das organizações criarem uma cultura de privacidade internamente para manter os riscos gerenciados. Sabemos que este tema é novo para as corporações. Por outro lado, o risco de proteção aos dados pode surgir em qualquer área. Por exemplo, se um novo produto lançado no mercado requer a coleta de um dado pessoal desnecessário para o negócio, já é o bastante para a empresa violar um dos princípios da privacidade.

Logo, a falta de conhecimento interno é uma exposição ao risco que deve ser levada em consideração em qualquer programa de adequação.

Anteriores

Fale com a Aon

Nossos especialistas estão prontos para ouvi-los e conversar sobre os Riscos Cibernéticos
e as possíveis soluções que o mercado de seguros pode oferecer.

A Aon e outras empresas do grupo usarão suas informações pessoais para contatá-lo eventualmente sobre produtos, serviços e eventos que acreditamos ser de seu interesse. Toda informação coletada é usada de acordo com nossa Política de Privacidade.

Ao preencher os dados, você autoriza expressamente a Aon a coletar, usar, armazenar, transferir e processar seus dados pessoais conforme previsto em tal Política de Privacidade. Por favor assinale este campo caso NÃO deseje receber estes comunicados.