LGPD e serviços em nuvem: qual é a relação?

Cloud Computing

A Lei Geral de Proteção de Dados, conhecida como LGPD, não é necessariamente uma novidade: no Brasil, o projeto foi inspirado na versão europeia da norma, a GDPR, e tramitava nas instâncias governamentais desde 2018. A aprovação final do texto chegou em 2020, há pouco meses — e, agora, as organizações precisam se adaptar às exigências da nova legislação. 

Nas empresas, os impactos da LGPD precisam ser acompanhados de perto. Primeiro, você deve entender quais são os principais desdobramentos da lei na sua operação. Depois, é provável que seja necessário rever as ferramentas e atualizar os processos, garantindo a lisura das rotinas internas. Os recursos em nuvem, por exemplo, também merecem atenção especial. 

Parece complexo? Nada de pânico! No post, você vai encontrar boas respostas para as dúvidas mais comuns sobre LGPD e cloud computing. 

Boa leitura e bons insights! 

O que é LGPD, afinal? 

Desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) já está valendo no Brasil. Aprovada em 2018 e alterada no ano seguinte, a legislação entrou em vigor com algumas ressalvas. As punições, por exemplo, só poderão ser aplicadas a partir de agosto de 2021. 

Inspirada na versão europeia do dispositivo, a LGPD tem o objetivo de assegurar a transparência no uso de dados de pessoas físicas. Por aqui, a lei substituiu o Marco Civil da Internet, aprovado em 2014 e, até então, responsável por regular as tratativas digitais. 

A Lei Geral de Proteção de Dados é aplicável às organizações que, em qualquer etapa da operação, interagem (coletando, processando ou armazenando, para citar apenas algumas das possibilidades) com informações pessoais de fornecedores, clientes, colaboradores ou visitantes. Ou seja: dos cadastros comerciais aos relatórios gerenciais, é preciso estar atento às implicações da LGPD. 

No contexto empresarial, a nova lei é vista como uma grande catalisadora de mudanças. A partir de agora, ferramentas e processos — do RH ao Marketing, do Compras ao Financeiro — deverão ser revisados e atualizados, garantindo a segurança para manter a conformidade.  

Quais são as principais exigências da LGPD? 

De forma geral, o principal requisito da Lei Geral de Proteção de Dados é a transparência. É preciso, portanto, que as empresas esclareçam a finalidade do uso de dados pessoais (nome, RG, CPF, endereço e e-mail, para citar apenas alguns) e mantenham políticas adequadas de privacidade e de proteção.  

[VÍDEO] SAIBA COM O QUE A SUA EMPRESA DEVE SE PREOCUPAR > 

Para além dos processos, porém, as medidas pragmáticas também merecem atenção. “Não adianta ter políticas documentadas e, no dia a dia, pecar na aplicação de medidas efetivas para prevenir e remediar o desvio de dados”, enfatiza Bruno Giordano, Head de Cybersecurity da Ativy. Os crimes cibernéticos, por exemplo, são um risco ainda maior — e mais crítico à reputação das companhias — desde que a nova lei entrou em vigor no Brasil. 

Grosso modo, as exigências da LGPD pressupõem: 

  • a responsabilidade direta do processador de dados, que passam a responder por eventuais violações à legislação de acordo com o tipo de contrato firmado; 
  • os direitos ampliados dos cidadãos, que podem acionar as organizações a fim de questionar os dados armazenados (solicitando, inclusive, alteração ou exclusão; 
  • a denúncia de violações, obrigando as empresas a divulgar quaisquer incidentes relacionados à quebra de sigilo dos dados que armazenam. 

Na prática, a LGPD deve permear o fluxo de trabalho corporativo. Imagine, por exemplo, que você contrate uma empresa de telefonia para gerenciar as linhas da sua empresa. Com isso, uma série de informações sensíveis — como os nomes e os e-mails dos colaboradores que atendem a ramais determinados — permanecem em poder do fornecedor. A obrigação dele é garantir a integridade e a segurança das informações que envolvem o seu CNPJ. 

Se, em algum momento, a companhia terceirizada sofrer um ataque hacker e, como consequência, acabar tendo seu banco de dados roubado, será preciso lidar com as consequências: além de divulgar a ocorrência na imprensa, dilapidando a reputação da marca, multas pesadas podem ser aplicadas pelas instituições de controle. 

Parece uma realidade distante? Não se engano: o mesmo acontece no caso da sua empresa, que provavelmente também armazena informações sensíveis de clientes e funcionários. Por isso, é imprescindível que você estabeleça bases legais e mecanismos de controle, evitando punições tangíveis, no caso de multas financeiras, e intangíveis, no caso do valor de marca. 

Qual é a relação entre LGPD e cloud computing? 

Não é difícil explicar o paralelo entre a Lei Geral de Proteção de Dados e a computação em nuvem. Pense, por exemplo, na função primordial dos recursos de cloud computing: hospedar as aplicações corporativas armazenar os dados do negócio, conferindo agilidade e performance às rotinas operacionais. Bingo: onde há dados, há LGPD. 

“Com a nova lei, é comum que os gestores questionem o nível de controle que têm sobre os sistemas internos sobre os dados que transitam dentro da empresa. Neste caso, o primeiro passo para blindar a companhia é recorrer a um diagnóstico profundo de riscos, a fim de validar as camadas de segurança”, enfatiza o executivo da Ativy.  

A preocupação com a integridade das informações não é apenas válida, mas urgente. No caso da computação em nuvem, em especial, é importante que você possa contar com um fornecedor idôneo, alinhado às exigências da LGPD e capaz de fornecer serviços robustos. Agora e mais do que nunca, vale ficar atento a dois aspectos primordiais… 

1. Localização de data centers

A LGPD é uma normativa brasileira, assim como a GDPR na Europa. Logo, tanto as exigências quanto as punições dizem respeito a dados coletados em todo o território nacional, por empresas que operam no Brasil. Quando os dados são armazenados no exterior, não há garantias de que as diretrizes legais serão seguidas fielmente pelo fornecedor. 

“A localização dos data centers pode, de fato, ser um problema. Recentemente, um de nossos clientes acionou a Ativy para viabilizar a migração de dados que, até então, eram mantidos em nuvem pública nos Estados Unidos. Como a legislação americana não é tão rígida quanto a nossa, o risco de infringir a lei sempre existe e não pode ser ignorado”, comenta Bruno Giordano.

2. Soluções de Cybersecurity

Não é difícil perceber que a preocupação com a segurança digital tem tudo a ver com o cumprimento da LGPD. Agora, os esforços para preservar a integridade e a privacidade dos dados devem ser redobrados, evitando prejuízos financeiros e de reputação

É natural, portanto, que o aparato de cibersegurança ganhe força entre empresas de todos os portes e segmentos. Afinal, por mais que a infraestrutura já conte com recursos específicos de proteção, as aplicações ainda podem apresentar vulnerabilidades graves.  

O Brasil é, inclusive, um dos países mais visados para grandes ataques hackers. “Entre os gestores, a questão não é mais ‘e se eu for atacado’, mas ‘quando eu for atacado’. Buscar parceiros para endossar o combate ao cibercrime é fundamental para se adequar à LGPD, mas é ainda mais indispensável na missão de assegurar a continuidade dos negócios”, finaliza Bruno Giordano. 

A LGPD é uma realidade e, de certa forma, também uma escolha: a iniciativa de blindar a operação, minimizando os riscos de descumprimento, está nas suas mãos. A dica é: comece agora mesmo e conte com a gente!