Há muito estamos falando sobre a necessidade de adequação à Lei Geral de Proteção de Dados de toda a cadeia produtiva.
Mas qual é a cadeia produtiva?
Todas as empresas ou profissionais autônomos que prestam serviço para o Controlador, ou seja, para a empresa principal que tem o poder de decisão sobre o modo, finalidade e hipóteses de tratamento dos dados pessoais de seu banco de dados.
Recentemente tivemos um caso concreto que trouxe à realidade o que já vínhamos alertando a tempos: a necessidade da adequação de toda a cadeia produtiva.
O Mc Donald´s no dia 17 de abril de 2022, comunicou aos seus titulares e ao grande público a ocorrência de um incidente com dados pessoais, de sua base de dados.
O problema é que o incidente comunicado não aconteceu dentro do próprio Mc Donald´s, mas sim no ambiente de um de seus operadores, ou seja, uma das empresas que prestam serviços ao Mc Donald´s, especificamente permitindo acesso não autorizado à dados pessoais de titulares, incluindo dados sensíveis.
Dados sensíveis de acordo com a Lei Geral de Proteção de Dados são todos os dados pessoais “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Esse incidente reforça a necessidade da adequação à LGPD de todos os operadores, ou seja, todas as empresas que fornecem produtos ou serviços à empresa principal.
Não adianta sua empresa estar em processo de adequação à LGPD e todos os seus prestadores, ou seja, a chamada cadeia produtiva, não estar no mesmo processo.
Caso haja um incidente com dados pessoais em alguma delas, como no caso específico do Mc Donald´s, o controlador, ou seja, a empresa principal, responde solidariamente por todos os dados sofridos pelos titulares.
Há um detalhe específico na lei em relação aos direitos dos titulares.
Toda e qualquer demanda que for feita pelos titulares serão sempre contra o controlador, de acordo com a Lei Geral de Proteção de Dados, conforme o parágrafo 1°, do artigo 18, da Lei 13.709/2018 abaixo transcrito:
“O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.”
Além disso, toda e qualquer ação judicial também será sempre contra a empresa principal ou controlador, isso porque o titular entregou seus dados pessoais para essa empresa e desconhece os fornecedores da cadeia produtiva.
Por isso é tão importante essa conscientização que todo esforço de adequação à LGPD pode cair por terra caso os demais envolvidos não estejam no mesmo processo.
E para que tenha certeza de que sua empresa está no caminho certo, confira
algumas dicas práticas de segurança da informação para ajudar as empresas que estão em processo de adequação:
- Política de segurança da informação é fundamental
Nós sempre pensamos que as pessoas terão bom senso e responsabilidade ao usar os computadores da empresa, mas ter uma política de TI deve ser prioridade.
Todos devem ter uma compreensão das regras em relação a tudo, desde senhas até privacidade do cliente, da proteção física e digital.
Certifique-se de que todo os funcionários leram e assinaram a política da Informação da empresa.
- Dados e backup
Não basta se proteger de hackers, malwares e ataques, é fundamental fazer backups de dados de forma segura e regular, com níveis de acessos seguros para uma restauração rápida e eficiente se precisar.
- Segurança da informação
Todas as empresas, são alvo dos cibercriminosos. E as pequenas e médias ainda mais.
O motivo principal é que elas representam uma porta de entrada para seus clientes e parceiros, já que tem acesso a portais, rede e uma relação de confiança muito grande.
Mas fique tranquilos, os criminosos vão preferir atacar as PMEs que não priorizam a segurança da informação.
- Mantenha seus sistemas operacionais e softwares atualizados
Alguns sistemas operacionais não são tão inseguros assim, a maioria dos ataques ou propagação de vírus ocorrem devido a algumas falhas de segurança, pequenas vulnerabilidades que os hackers e criminosos costumam explorar.
Por isso é muito importante manter os sistemas atualizados, de preferência de forma automática.
E lembre-se softwares piratas, além de ser crime, esses softwares infelizmente podem não ter acesso as atualizações deixando sua empresa vulnerável.
- Conscientização dos funcionários
Todos devem entender os elementos de segurança da informação e privacidade para o seu negócio e levá-los a sério.
Revise as políticas e as práticas de segurança da informação algumas vezes por ano.
Estabelecer políticas rígidas e segui-las à risca.
- Checklist de medidas de segurança
Por fim, tenha um Checklist com as medidas de segurança necessária para uma adequação a LGPD e solicite aos seus operadores que apresentem documentação comprobatório de que estão com todas elas aplicadas e com continuidade.
Aproveitamos a oportunidade para convidá-los a aprender mais sobre o Processo de Adequação à LGPD: Se inscreva para participar da Maratona de Adequação à Lei Geral de Proteção de Dados na Prática. Serão mais de 27 horas de conteúdo gratuito e online com certificado para você se sentir seguro para adequar qualquer empresa, de qualquer porte, à Lei Geral de Proteção de dados. Para participar acesse o link a seguir: https://bit.ly/3vvVcHk
Se ficou com alguma dúvida, estamos à disposição, mande-nos um e-mail: dalva@usetecnologias.com.br
Dalva Azevedo Neiva é Cofundadora e Sócia da USE Tecnologias®, Coordenadora da ANPPD@ Regional DF, Membra do Comitê de Segurança da ANPPD®, DPO e Consultora de Privacidade de Dados Gestora de Riscos de Segurança e Privacidade
Dra. Silvia Brunelli do Lago, DPO e Relações Governamentais da ANPPD, Membro Efetivo do Comitê de Privacidade e Proteção de Dados da OAB/DF, Advogada especializada em Relações Governamentais e Entidades Associativas. Com mais de 28 anos de atuação.