LGPD – Lei Geral de Proteção de Dados e os ISPs
Wallace Rodrigues Wanderley e Wlademir Andrade, especialistas em proteção de dados
Certamente você já teve acesso à LGPD – Lei Geral de Proteção de Dados e deve ter pensado “o que eu e minha empresa temos a ver com isso?”. Você e sua empresa, seja ela um açougue, supermercado, hospital ou provedor de acesso à Internet, têm muito a ver com a LGPD.
Para você, a LGPD, em vigor desde 18 de setembro de 2020, empodera seu controle sobre qualquer utilização e processamento de seus dados pessoais. Ou seja, você como titular dos dados tem poder sobre trânsito e uso das informações pessoais, você permite ou não que sejam usadas.
Para sua empresa, é a chance de mostrar ao seu cliente que seu negócio é transparente no sentido do tratamento e armazenamento dos dados, gerando credibilidade e respeito com as informações coletadas.
É claro que um tema complexo e tão amplamente divulgado gera dúvidas para quem está tentando entender por onde começar, afinal o volume de informações sobre o tema é enorme. Neste artigo vamos abordar temas específicos para que os ISPs – provedores de serviços de Internet possam dar os seus primeiros passos em direção à conformidade na Lei 13.853 (LGPD).
ISP – Quais dados são coletados? Onde armazenam?
Grandes responsáveis pelo avanço do acesso à Internet e pela popularização das redes de fibras ópticas no país, com taxas de crescimento da base de clientes acima de 10% ao mês, os ISPs basicamente armazenam dados de clientes para compor contratos e efetuar cobranças, e utilizam log de conexões para mitigar incidentes de redes.
Como o foco do negócio é, basicamente, expandir a carteira de clientes da rede de acesso, normalmente, tais informações são integradas e armazenadas em sistemas cloud based de empresas especializadas em sistemas de gestão de pequenos ISPs. Todo o armazenamento de dados acaba sendo terceirizado neste caso, à exceção dos logs.
Para ISPs com estrutura maior e serviços como streaming, voz e celular, o armazenamento de dados pode utilizar servidores em data centers locais.
Em seus sites, eles utilizam ferramentas como cookies para armazenar preferências de pessoas que navegam, ou mesmo para atender a alguma campanha de marketing no intuito de promover produtos e serviços, bem como melhorar a experiência do cliente.
Alguns provedores estão em modelos de negócios de “franquia” com algumas operadoras de grande porte, sendo que realizam a entrega do serviço dessa operadora por meio de sua estrutura local de cabos ópticos e equipamentos para chegar aos clientes.
ISP – Fases para adequação à LGPD
Em linhas gerais, o tema LGPD não é novidade para os ISPs, dado que o Marco Civil da Internet (Lei nº 12.965/14) regulamentou o uso da Internet no Brasil, estabelecendo princípios, garantias, direitos e deveres a serem observados por provedores e usuários dos serviços de Internet.
A LGPD veio para consolidar, legitimar e complementar o Marco Civil da Internet no âmbito dos direitos e garantias para a privacidade e proteção de dados do indivíduo.
Para ter o correto diagnóstico de seu caso, é necessário realizar todo o mapeamento dos dados, desde a sua entrada até o seu descarte, passando por um programa de conscientização em toda a empresa seguindo para o diagnóstico, planejamento e execução.
LGPD não se trata somente de consentimento, aprovação de cookies e aceitar as políticas de privacidade do site. LGPD estabelece as regras de como devem ser tratados os dados pessoais desde a coleta até o seu descarte. (Sim, dados pessoais têm prazo de validade).
A Conscientização é deixar claro para todos na empresa os objetivos da LGPD. Nessa fase, discute-se bastante sobre privacidade, segurança de dados e outros aspectos legais que podem impactar no negócio da empresa.
Já o Diagnóstico, um dos pontos principais do processo, trata do mapeamento dos dados coletados, elencando aí a finalidade da coleta e tratamento: quais dados são coletados, onde são armazenados, como e quando são descartados. Essa fase é documentada por meio da geração de um fluxograma de tratamento dos dados.
Esse documento permite identificar algum dado que esteja sendo solicitado sem necessidade, além da identificação de problemas no fluxo de coleta e tratamento de dados. Esses desvios ou problemas encontrados, incluindo aí brechas no sistema de cibersegurança, são elencados no gap analysis.
O planejamento nada mais é do que planejar a execução das soluções identificadas no gap analysis. Partindo daí para a execução e o acompanhamento do processo.
Fique atento com as bases legais
A LGPD traz em sua composição 10 bases legais para permitir o tratamento de dados. São elas: Consentimento; Obrigação legal; Exercício regular do direito; Execução de contratos; Tutela da saúde; Proteção da vida; Políticas públicas; Proteção ao crédito; e Legítimo interesse.
Durante as fase de diagnóstico, é necessário enquadrar cada coleta/tratamento em uma, e somente uma, dessas bases legais. Nem tudo em LGPD se resume na Base legal do consentimento.
DPO – Data Protection Officer
A lei determina a obrigatoriedade da empresa ter um profissional interno ou externo (via consultoria) que seja o encarregado de dados. Sua principal função é propagar internamente a importância ao cumprimento da legislação, bem como ser o interlocutor com a ANPD – Agência Nacional de Proteção de Dados.
Controlador e operador
Pode ser que alguns ISPs ainda não estejam muito atentos com a adequação à lei neste momento. Uma vez que somente coletam os dados e servem de meio de transporte, por meio de sua estrutura, onde os dados são armazenados remotamente, eles entendem que não há necessidade da adequação à LGPD, o que é um equívoco.
É necessário tomar cuidado e observar os aspectos da LGPD no que tange às responsabilidades do operador e do controlador.
O controlador é o responsável pelas decisões referentes ao tratamento dos dados e o operador realiza o tratamento dos dados de acordo com a determinação do controlador. Porém, ambos devem manter registro das operações realizadas, e segundo o ART.42 Inciso I (LGPD) – O Operador responde solidariamente pelos danos causados aos titulares.
Segurança dos dados
Uma vez que a empresa que coleta e trata os dados deve, segundo a LGPD, zelar pelo armazenamento correto e seguro das informações, é necessário que exista uma política de segurança de dados robusta. Pois, no caso de algum vazamento de dados, a responsabilidade é da empresa que pode sofrer sanções.
Importante atentar para os dados de RH ou de prestadores de serviços que também devem ser levados em consideração pois estão sob tutela da LGPD.
LGPD – Boas práticas para seu negócio
Ao contrário do que possa parecer, a LGPD é mais uma forma de tratar com transparência e ética os dados dos seus clientes, demonstrando seriedade e comprometimento com os titulares dos dados.
Sem dúvida, é uma nova legislação que traz boas práticas de planejamento, possibilita o lançamento de novos produtos com os componentes de segurança da informação e proteção de dados, já aderentes às normas LGPD (privacy by design).
É sempre importante lembrar que um processo de adequação a LGPD passa por uma metodologia de execução sendo primordial conhecer o negócio da empresa. Isso leva tempo, pois cada produto, dado, tecnologia de armazenamento e proteção do dado deve ser devidamente mapeado e ajustado.
Apesar das sanções entrarem em vigor somente em agosto de 2021, já existem processos sendo judicializados. As sanções podem variar de 2% do faturamento até R%$ 50 milhões por infração.
Entenda, a LGPD não é uma opção, é uma obrigação legal e atinge a todas as empresas. Informe-se, obtenha orientação de profissionais com credibilidade, adeque-se. Até a próxima!
Wlademir Andrade
Executivo em gestão de negócios de tecnologia com mais de 25 anos de experiência. Atualmente exerce a função de executivo sênior em negócios ligados à LGPD e proteção de dados com cursos de especialização no segmento. Membro da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD®) e da Comunidade Brasileira de Tecnologia e Segurança da Informação (CBTSi).
Wallace Rodrigues
Engenheiro de telecom pelo INATEL há 25 anos, gerente de negócios senior, desenvolvendo negócios no mercado TI e telecom. Tem especialização em segurança da informação e proteção de dados e é membro da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD®).
