Pietro Gugelmin - Checklist Básico LGPD
Mesmo que para o colaborador pareça que as regras da LGPD foram flexibilizadas, vale destacar que, muito pelo contrário, a Lei segue cada vez mais representativa na administração das empresas.
A Lei 13.709/2018, ou Lei Geral de Proteção de Dados (LGPD), aprovada em agosto de 2018, se encontra em vigor desde setembro de 2020, mas somente após o dia 1º de agosto de 2021 é que suas sanções administrativas começaram a valer. A LGPD é, em termos básicos, uma Lei para regulamentar os dados que são captados pelo grupo Top Car e como estes dados são usados e armazenados.
A Lei prevê um rol variado de sanções para as empresas que não estiverem adequadas às suas diretrizes, que vão desde sanções administrativas, pecuniárias (multa), até medidas restritivas de atividades. As multas previstas vão de 2% do faturamento e podem chegar até 50 milhões de reais, dependendo do nível do incidente e o comprometimento dos titulares envolvidos.
Dois pontos são de relevância para todos os profissionais, o primeiro é a ciência e concordância do cliente com o fornecimento de dados, e segundo, evitar a todo o custo vazamento desses dados.
“Mesmo antes da implantação da Lei, iniciamos um trabalho de consultoria para adequar posturas e sistemas. Realizamos um mapeamento de risco, elaboramos um projeto de adequação, fizemos entrevistas com todos os departamentos, principalmente, onde são coletadas as informações e focamos na segurança para administrar o processo”, comenta Pietro Gugelmin, DPO do Grupo Top Car.
Para garantir a ciência do usuário sobre o fornecimento de dados, foi necessário ter uma política de privacidade que esclareça quais dados são captados e para qual finalidade.
“Trabalhamos com um público muito bem informado e não foram raros os questionamentos de clientes sobre o porquê do fornecimento de determinadas informações. Pensar em privacidade sem pensar em segurança é praticamente impossível, fizemos investimentos na substituição de sistemas de firewall, mudamos nosso sistema de antivírus comum para uma solução baseada em inteligência artificial, e o projeto mais recente é a implantação de uma ferramenta de gerenciamento de privacidade voltada para o controle dos dados dos clientes e colaboradores, mas nada disso funcionará de forma perfeita se todos os envolvidos não estejam dedicados ao processo”, acrescenta Pietro que atualmente é membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados).
Em se tratando da Top Car, ainda temos várias marcas no mesmo Grupo e caso algum dado da base seja compartilhado com outro CNPJ, essa informação também deve constar nos termos de uso. No caso de descumprimento desses termos, a empresa pode ser multada pelos parâmetros da LGPD, ou até ser alvo de processo pelos usuários que se sentirem prejudicados.
“Muitas vezes a troca de informações entre os vendedores ou do cliente com o vendedor em ambiente pessoal pode gerar um sanção administrativa ou até mesmo um processo judicial. Além das questões internas também precisamos ficar atentos ao vazamento de dados por ataques cibernéticos, a exemplo de Phishing ou Ransomware”, lembra.
Durante todo o ano de 2021, foram registradas 88,5 bilhões de tentativas de ataques cibernéticos no Brasil, de acordo com a empresa de cibersegurança Fortinet. As invasões podem ser feitas de várias maneiras. Mas a maioria acontece devido a erros de funcionários. O relatório Global Risks Report de 2022, desenvolvido pelo World Economic Forum, relata que 95% dos problemas de segurança cibernética podem ser atribuídos a erro humano. Por isso é importante orientar os colaboradores sobre quais os cuidados na hora de abrir e-mails, arquivos, links, etc.
O phishing acontece quando um indivíduo obtém acesso ao sistema por um meio fraudulento. Isso pode ocorrer através de e-mails falsos, com links e arquivos maliciosos, ou páginas falsas, que capturam os dados de login do usuário. Geralmente, o phishing irá simular uma interface oficial, como site da empresa, internet banking ou outra tela de login ligada à empresa. No caso dos emails, podem ser falsas faturas de pagamento, mensagens falsas de prêmios ou alertas para troca de senha.
Nos casos de ransomware, o “sequestro” pode ser de uma base de dados, copiada e deletada do banco de dados da empresa, ou das máquinas e sistemas, que ficam inoperantes até o resgate. Ao ser vítima de ransomware, é comum que empresas acabem pagando o resgate solicitado pelos cibercriminosos. Porém, nada garante que os dados serão de fato devolvidos, ou devolvidos sem nenhum corrompimento ou realmente um vazamento público.
Atente aos pontos a seguir:
- Caso algum cliente questione o uso dos dados? Se isso acontecer você deve indicar para que ele acesse o nosso site e na página de política de privacidade entrar na área de solicitação de serviços clicando aqui
- Estamos coletando dados “desnecessários”? O excesso de informações que não serão utilizadas para as suas métricas pode ser prejudicial à segurança dessas informações. Utilize da minimização (Art. 6, III) colete somente o que for indispensável;
- Utiliza Sistemas da empresa? Use e-mail e sistema da empresa, eles estão melhor protegidos e restringe o acesso às informações sensíveis mitigando vazamentos de dados;
- Atenção ao Phishing? Observar recebimento de mensagens duvidosas, observe e contate o departamento de TI caso tenha dúvidas;
- Trata as informações como se fosse sua? É preciso respeito e atenção com as informações do cliente, assim como na Regra de Outro, quando tratamos esses dados como gostaríamos que tratassem os nossos.
- Onde você armazena os dados de clientes? Nunca armazene documentos e dados de clientes em seus dispositivos pessoais.