Com a implementação da Lei Geral de Proteção de Dados (LGPD), o debate sobre a segurança de dados pessoais começou a ter uma maior importância para setores que lidam com informações sensíveis de usuários. Desde a aprovação das novas normas, tanto a legislação quanto a divulgação e a disponibilidade de serviços têm recebido maior destaque para a implementação dessas regras. Contudo, embora o assunto tenha sido emplacado na esfera pública, ainda há uma série de dúvidas a serem respondidas.
Pensando nisso, a CBL Tech reuniu alguns mitos sobre a segurança de dados para esclarecer e desmistificar noções do senso comum que permeiam a discussão. Além disso, o conteúdo também apresentará dicas pertinentes para as empresas adotarem em sua dinâmica de trabalho.
Afinal, o que pode ser considerado um dado?
Antes de tudo, vale questionar-se: o que são dados pessoais? A resposta nada mais é do que qualquer informação que permita identificar, direta ou indiretamente, um indivíduo. Isso inclui número de CPF, placa de carro, data de nascimento e até fotografias, número de IP e localização via GPS. O ponto é que a categoria se divide em mais duas: a de dados sensíveis e a de dados anonimizados.
Os dados sensíveis abarcam aspectos como origem racial ou étnica, convicção religiosa, opinião política, e informações referente à saúde, dados biométricos, ou relacionados à vida sexual. A segunda categoria, anônima, inclui dados que não podem identificar um indivíduo, por terem sido submetidas a algum meio técnico de tratamento para garantir a desvinculação a uma pessoa.
Aqui entra uma questão delicada, pois uma dessas categorias mencionadas acima não se atém à anonimização de informações, já que a prática abarca uma série de ações como coleta, utilização, transmissão, armazenamento e eliminação de informações em geral. Neste sentido, os cuidados que uma empresa deve ter em relação à conservação das informações são essenciais, considerando desde a extração até a exclusão dos dados.
Mitos sobre o tratamento de dados
Uma das formas de desmistificar o tema é contrapondo mitos que envolvem o universo dos dados e seus tratamentos. Confira a seguir quatro premissas equivocadas presentes no senso comum.
“Dados sensíveis e dados relevantes integram a mesma categoria”
Não procede, pois dados relevantes incluem números de vendas, registros de atendimento ao cliente ou dados de inventário. Já os dados sensíveis se referem a nome completo, endereço, CPF, informações bancárias, informações de saúde e mais.
“Dados coletados antes da LGPD não devem ter o mesmo tratamento que os atuais”
Falso, pois a LGPD se aplica a todos os dados pessoais, sejam eles fruto de coleta antes da implementação da lei ou não. Ainda que tenha sido sancionada em 2020, a norma garantiu um período de adaptação às empresas e passou a fiscalizar efetivamente a partir de 2021. Desde então, todos os órgãos que trabalham com dados tiveram que seguir as disposições da LGPD para garantir o tratamento adequado das informações.
“A LGPD é válida apenas para dados coletados na internet”
Inverídico, já que as determinações da Lei Geral de Proteção de Dados se aplicam a todos os tipos de dados pessoais, ou seja, independente do meio em que circulam. Isso faz com que informações pessoais coletadas, armazenadas e compartilhadas, tanto em meios digitais quanto em meios físicos, passem pelo escopo da LGPD.
“Tratamento de dados é só para grandes empresas”
Essa afirmação é falsa e, inclusive, pode trazer maiores complicações para quem segui-la – ainda que de forma equivocada. Trata-se de um mito, pois empresas de todos os tamanhos coletam e utilizam dados em suas operações, e o tratamento correto desses dados é importante para todas elas.
Cuidados para aderir na dinâmica da empresa
Além de atualizar-se sobre as demandas da LGPD, gestores precisam redobrar o cuidado com a manutenção dos dados. Ou seja, não basta trabalhar a política de privacidade de um site ou desenvolver um mecanismo que assegura o consentimento de usuários na partilha de dados. É preciso, ainda, garantir que a empresa trabalhe com uma rede segura e que mantenha hardwares atualizados e com o backup em dia. Veja alguns exemplos de medidas que podem ser adotadas na dinâmica dos negócios:
- Coletar apenas dados necessários para finalidades específicas;
- Adotar medidas de segurança para evitar vazamento e acesso de dados (investir em criptografia, firewalls, controles de acesso etc);
- Treinar a equipe para que ela fique a par da política de privacidade da empresa;
- Fazer backup em um sistema de nuvem e também em um hardware.
Por fim, vale mencionar ainda uma dica extra na segurança de dados pessoais, que envolve a destruição deles. Além de armazená-los de forma correta, é preciso excluí-los com a mesma segurança. Isso envolve, algumas vezes, mão de obra especializada.
Há algumas opções viáveis para isso, mas é preciso garantir que elas alcancem o objetivo final, que é o de eliminar totalmente as informações, sem deixar sequências de bits recuperáveis com dados reconhecíveis.
A chamada “destruição de dados” encerra o ciclo de tratamento dentro dos conformes da LGPD e de uma política cuidadosa que a empresa pode adotar em relação às informações coletadas.
Entre as especialidades da CBL Tech está a destruição de dados, serviço que garante a eliminação correta de informações. Saiba mais sobre o assunto e garanta a exclusão definitiva de dados.
Fonte(s):
Fialho Salles Advogados, Jornal Contábil, TJCE – Tribunal de Justiça do Estado do Ceará e Tribunal Regional Eleitoral do Paraná (TRE-PR).