A LGPD corresponde à Lei Geral de Proteção de Dados. Ela entrou em vigor recentemente e exige que as empresa adaptem seus processos, ferramentas, sistemas e atividades às normas que regem a proteção de informações que são geradas e compartilhadas de forma online ao longo da jornada de trabalho.
Note que não são apenas as empresas que atuam como operadoras de telecomunicação que devem se preocupar e sim todas, independentemente da natureza de suas atividades.
Isso se deve ao fato de que a Lei de Proteção de Dados estabelece a proteção das informações que as empresas obtêm. Esses dados se referem tanto à clientela quanto aos próprios colaboradores da instituição empresarial.
É por isso que é preciso traçar estratégias que permitam à sua empresa proteger dados de vazamentos, compartilhamento indevido e até mesmo de ataques cibernéticos promovidos por hackers.
Pensando nisso traçamos algumas estratégias e dicas de como é possível manter os dados em segurança e a sua empresa em acordo com a nova lei.
Boas práticas de RH para garantir respeito à LGPD
Antes de vermos a lei em si e como ela deve ser aplicada dentro das empresas para que não haja prejuízo à organização empresarial é preciso esclarecer alguns termos que a própria norma utiliza.
Adote criptografia
A primeira dica é o uso de sistemas de criptografia que permitam que os conteúdos de documentos e dados da empresa não sejam legíveis em um primeiro momento. Essa é uma estratégia que é essencial para as empresas poderem manter as informações devidamente protegidas.
Faça uso de termos de confidencialidade
Não deixe de desenvolver termos de confidencialidade para que todos os seus colaboradores os assinem. Esse tipo de documentação declara a obrigação de que haja sigilo em relação aos dados, ao uso deles e ao acesso a eles.
Em relação ao acesso, tem-se que a empresa pode determinar em quais situações há justificativa para que certos documentos ou informações sejam acessados por um colaborador.
Outro ponto importante é que quando há determinação de um termo de confidencialidade o colaborador assume parte da responsabilidade pelo vazamento de dados ou por fragilizar um sistema, tornando-o passível de invasões.
Uso de senhas fortes de acordo com as regras da LGPD
É importante que todos os colaboradores sejam instruídos para o uso de senhas fortes que impeçam o acesso aos dados internos da empresa.
Isso inclui os sistemas e o e-mail, bem como outros formatos de acessos e trocas de informações. Uma boa idéia é estabelecer que todas as senhas sejam formadas por 08 caracteres, sendo pelo menos um deles em letra maiúscula, um numeral e um símbolo (@, #, %, &, *).
Limitação de acessos
Para manter a proteção sobre os dados dos seus clientes, colaboradores e atividades sob sigilo e de acordo com a LGPD é importante que sua empresa estabeleça limitações de acessos a certos tipos de informações.
Cada colaborador deve ter acesso a parte do sistema de acordo com suas atividades. Não é indicado que todas as pastas e sistemas permitam acesso de colaboradores que sequer prestam atividades internas relacionadas aos dados ali presentes.
Uso de VPN (Redes Privadas Virtuais)
Outro ponto que deve ser considerado pelas empresas para atuarem de acordo com a LGPD é optar por redes privadas virtuais, chamadas de VPN.
Ela é uma rede particular que só pode ser liberada para acesso por pessoas autenticadas. A partir disso o acesso é feito apenas com senha e login, havendo um controle de quem tem acesso aos sistemas e às nuvens com dados online.
LGPD: Conheça a lei
É obrigação dos colaboradores do RH e do setor jurídico da empresa conhecer a nova lei e como ela deve ser colocada em prática e seguida.
Veja as previsões legais da LGPD (Lei nº 13.709):
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
(…)
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
(…)
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
(…)
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.