Por Michelle Santos Nascimento
Quanto maior é o volume de dados que uma empresa coleta de seus clientes, colaboradores e leads, maior também deve ser sua preocupação em relação à proteção e privacidade destas informações.
Foi pensando nessa realidade que, em 2018, a União Europeia aprovou a GDPR (sigla para General Data Protection Regulation, ou Regulação Geral de Proteção de Dados em português). A lei surgiu para unificar e reforçar medidas relacionadas à segurança dos dados da população.
Aqui no Brasil, contamos com a Lei Geral de Proteção de Dados Pessoais, a LGPD, que, após um complicado processo de aprovação marcado por várias mudanças de data, as sanções e multas previstas já estarão valendo a partir de agosto de 2021. Considerando que temos menos de 2 meses até lá, é indispensável dar início à jornada de compliance na sua empresa o mais breve possível, independentemente de porte ou setor.
Já executando alguns ajustes internos e nos preparando para amparar nossos clientes em projetos e no uso de plataformas que armazenam e gerenciam dados de clientes, sentimos aqui na Bizapp uma vontade de abordar o assunto com uma linguagem simples de aspectos introdutórios, mas que são fundamentais para empresas que utilizam o Microsoft Dynamics 365 e querem se adequar.
Mas o que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (nº 13.709/18, alterada pela Lei nº 13.853/18, comumente indicada pela Sigla LGPD) tem por objetivo parametrizar e regulamentar a forma como pessoas físicas ou jurídicas lidam com os dados pessoais de terceiros, a fim de que a segurança, privacidade e dignidade dos mesmos sejam preservadas. A seguir, uma breve descrição dos tipos de dados mencionados na Lei.
- Dado pessoal: é a informação relacionada ao indivíduo, podendo ser um dado de pessoa identificada ou identificável. Dado identificado é quando se refere, expressamente, a uma pessoa específica. Já dado identificável é aquele que não identifica expressamente alguém, mas permite uma identificação de pessoa ao ser colocado em conjunto com outros dados.
- Dados Pessoal sensível: trata-se de informações que podem ser utilizadas de forma discriminatórias e, deste modo, necessitam de proteção especial. A lei define como dados sensíveis àqueles que implicam sobre: “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
- Dado pessoal anonimizado: é o dado relativo a titular que não possa ser identificado, e geralmente são essenciais para o funcionamento de tecnologias no campo da Internet of Things, Artificial Intelligence, machine learning, e análise de grandes contextos comportamentais.
- Dados pessoais de crianças e adolescentes: neste caso, o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico por pelo menos um dos pais ou pelo responsável legal. Cabe ao controlador realizar todos os procedimentos razoáveis para verificar se o consentimento foi dado expressamente pelo responsável pela criança, consideradas as tecnologias disponíveis pelo mesmo.
Quais os impactos às empresas?
De acordo com a LGPD, nenhuma empresa poderá manter informações consideradas sensíveis do cliente ou usuário, como nome e e-mail, sem o prévio consentimento. Mesmo tento a autorização, as empresas terão responsabilidades judiciais sobre essas informações. Caso a lei não seja cumprida, as instituições poderão pagar multas que chegam às cifras de R$ 50.000.000,00
Todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança e implementar sistemas de compliance efetivos para prevenir, detectar e remediar violações de dados pessoais.
Com a LGPD as empresas deverão ser mais transparentes com os seus clientes e/ou usuários, e passarão a informar mais aos consumidores sobre como os dados são coletados e onde eles serão utilizados.
O que fazer para evitar vazamento de dados?
Colaborador:
- Manter a máquina atualizada (Sistema Operacional, navegador);
- Não acessar sites suspeitos;
- Não baixar arquivos executáveis (principalmente advindos de e-mails, técnica conhecida como phishing);
- Utilizar senhas fortes, tais como: letras maiúsculas e minúsculas, caracteres especiais (desde que permitido pelo aplicativo, solução, site);
- Nunca utilizar senhas costumeiramente utilizadas: admin, 1234, senha e afins;
- Contratar um bom antivírus (opte por soluções pagas e com suporte ativo).
Empresa:
- Adquirir sistemas e soluções voltados à segurança da informação;
- Treinar os colaboradores sobre a importância da segurança da informação, e as obrigações acessórias (jurídicas) de responsabilidade solidária ou não;
- Manter registros de logs e documentação atualizada, referente aos processos que envolvam dados pessoais de seus clientes;
- Restringir o acesso às informações e dados sensíveis, para garantir que somente pessoas autorizadas e autenticadas as acessem.
E em relação ao Dynamics 365, como aplicar políticas de segurança e acesso a dados armazenados na plataforma?
O Dynamics 365 (como outras ferramentas da Microsoft) utiliza o dataverse para armazenar de forma segura os dados usados pelos aplicativos. Assim como em um ambiente on-premises é possível utilizar o Active Directory e definir quais usuários e equipes devem ter acesso a uma área e/ou documento específico. No Dataverse você também pode configurar níveis de acessos para manter a segurança, baseados em:
- Tarefas: definem tarefas especificas que um usuário pode executar, como por exemplo: publicar artigos, enviar e-mail, disparar um calendário.
- Registros: definem quais tarefas um usuário com acesso ao registro pode executar, como ler/consultar, criar, excluir, gravar, atribuir, compartilhar, acrescentar (significa anexar outro registro, como uma atividade ou uma anotação, em um registro). Neste caso, é possível restringir o acesso total ao registro.
- Funções: definem funções com acessos já pré-configurados (nativos) ou criados pelo usuário com privilégio de acesso de Administrador de Sistema, por exemplo, você pode criar uma função do tipo “Representante” e todos usuários ou equipes os quais essa função for atribuída terão o mesmo nível de acesso, o que reduz o tempo de configurar novas permissões.
A restrição de acesso pode ser feita a nível de campo ou formulário, por exemplo: pode-se permitir que um funcionário do departamento comercial tenha acesso à Entidade de Conta (Empresa/Cliente), podendo acessar, por exemplo, informações de um registro de Conta, como: razão social, CNPJ, e endereço, mas não poderá visualizar outras informações como valores do contrato, histórico de cotações, contatos da empresa, tudo isso, definido por perfis de acesso de cada usuário.
Conseguiu ter uma breve ideia de como é possível configurar um ambiente de trabalho seguro usando o Dynamics 365? Aqui na Bizapp, com o know-how adquirido em grandes projetos de Microsoft Dynamics 365, podemos ajudar sua empresa a configurar e utilizar essas e outras ferramentas Microsoft Business Applications. Fale com um de nossos especialistas através do e-mail contato@bizapp.com.br.
Para ter acesso a mais informações sobre como os serviços de nuvem da Microsoft protegem seus dados e como você pode gerenciar a segurança e conformidade de dados em nuvem na sua organização, acesse o portal de Recursos de Proteção de dados da Microsoft.
Referências
BRASIL. Lei nº 13.853, de 8 de julho de 2019. Altera a Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm – Acesso em: 20 a 24 mar 2021.
GOBIRA, João. O que é e como a LGPD vai impactar empresas?. Disponível em:
https://www.startse.com/noticia/startups/o-que-e-e-como-a-lgpd-vai-impactar-empresas – Acesso em: 22 mar 2021.
GOMES, Waldo. Segurança da informação e a reviravolta da LGPD. Disponível em: https://computerworld.com.br/2019/01/22/seguranca-da-informacao-e-a-reviravolta-da-lgpd/ Acesso em: 23 mar 2021
LGPD, Brasil. O que muda com a nova lei de dados pessoais. [s.d.]. Disponível em: https://www.lgpdbrasil.com.br/o-que-muda-com-a-lei/ – Acesso em: 24 mar 2021.
MICROSOFT. Conceitos de Segurança. [s.d]. Disponível em: https://docs.microsoft.com/pt-br/dynamics365/customerengagement/on-premises/admin/security-concepts – Acesso em 28 mai 2021.