O que é a LGPD?
A LGPD (13.709/18 e 13.853/19) deverá entrar em vigor em maio de 2021 e vai regularizar as atividades de processamento de dados pessoais por cidadãos, empresas e órgãos públicos no Brasil, estabelecendo direitos, exigências e procedimentos relacionados à coleta e ao processamento de dados pessoais.
Esta nova legislação prevê uma série de bases legais para o tratamento de dados pessoais, como consentimento e interesse legítimo, segundo os quais o processamento de dados pessoais é permitido.
O artigo 33 da LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior. Se ocorre processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida.
O LGPD determina também uma série de advertimentos que podem ir desde uma advertência multa simples ou diária de até 02% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, a R$ 50 milhões por infração.
Qual impacto da lei LGPD em ambiente CLOUD COMPUTING?
Grande parte das organizações que têm serviços em CLOUD, como e-mails, repositório de arquivos, sistemas de gestão, como o ERP Datasul da Totvs, dentre outros tantos e não tem a completa ciência em qual localização do Data Center estão armazenados os seus dados e nem se o provedor já está seguindo todos os pré-requisitos necessários para atender as novas normas.
Existem diversos provedores de CLOUD no Brasil, mas grandes players desses serviços são de origem estrangeira, muitas vezes, essas informações estão armazenadas em outros países que não se enquadram na norma brasileira de proteção de dados.
Para as organizações que têm serviços contratados em Cloud é necessário analisar junto com o seu profissional DPO (Data Protection Officer – Responsável pela proteção de dados) as políticas de segurança e normas da proteção de dados para identificar se a organização enquadra em todos os termos exigidos pela nova lei da proteção de dados LGPD.
Outro fator importante das organizações que têm serviços em CLOUD é o relatório de impacto à proteção de dados pessoais (RIPD).
O que é o RIPD?
O artigo 38 da LGPD estabelece que autoridade nacional poderá solicitar a organização um relatório de impacto à proteção de dados pessoais.
O relatório deverá ser elaborado pela organização de forma prévia sempre que houver o intuito de se tratar dados pessoais. Nele deve ser apresentado a descrição sobre os tipos de dados coletados, assim como, a metodologia utilizada para obtê-los a fim de garantir a segurança das informações.
Além disso, em seu parágrafo único, o artigo diz que o relatório deverá conter, no mínimo:
- Tipos de dados armazenados;
- Apresentar medidas técnicas de proteção dos dados pessoais;
- Identificar qual a finalidade da obtenção dos dados;
- Prevenção a danos aos dados em função do tratamento realizado.
Por que é interessante para as empresas elaborarem o relatório de impacto à proteção de dados pessoais?
O Ideal é que o relatório apresente um panorama geral de todo o processo para que organização consiga identificar quais as principais ameaças em relação a proteção de dados dos usuários envolvidos.
De modo geral, o relatório de impacto à proteção de dados precisa ser elaborado juntamente ao seu provedor de serviços em CLOUD.
Portanto é fundamental que a organização que possui serviços contratados em CLOUD esteja em conformidade com a nova lei de proteção de dados.
Está sem tempo ou sem força de trabalho? Não sabe direito por onde começar ou como adequar a sua empresa? Está com receio de ser surpreendido por uma possível multa? A ConTI Consultoria pode ajudar sua empresa nas adequações da nova Lei Geral de Proteção de Dados. Entre em contato com nosso time.
