A classificação de dados na LGPD é um importante processo para garantir a conformidade com a lei e ter maior poder de gerenciamento sobre os dados
A classificação de dados na LGPD funciona como um processo focado na garantia do nível de adequação de proteção de dados. Isso é baseado na ISO 27001 e com isso traz o valor, criticidade e todos os requisitos legais que envolvem essas informações.
Neste artigo falamos principalmente sobre classificação de dados na LGPD, mas caso você queira saber mais sobre o assunto, não deixe de conferir nosso artigo mais completo sobre o tema.
A princípio, essa classificação de informação tinha o objetivo de mitigar o vazamento de dados, ou impedir o acesso inadequado pela falta de informação sobre os tipos de dados que estariam disponíveis.
Mas a classificação de dados pode na verdade ser essencial para ajudar as empresas a manterem-se alinhadas a Lei Geral de Proteção de Dados, que define dentre outras coisas as práticas corretas de coleta, tratamento, proteção e publicação de dados e sensíveis de pessoas físicas.
Quanto mais organizada e madura estiver a classificação de dados de uma empresa, melhor será o tratamento da informação e menor são as chances de sofrerem com algum tipo de crise envolvendo a LGPD.
Um guia de implementação da LGPD
Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.
Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.
A classificação de dados na LGPD
A classificação de dados pode ser feita pelo setor de TI da empresa, por estar muito ligada a segurança de dados, mas é recomendável que seja feita em conjunto com o setor jurídico ou o próprio DPO.
Por via de regra, o profissional que cria e manipula uma informação é o responsável por sua classificação, podendo alterar os níveis a qualquer momento. Essas boas práticas permite que o dado seja classificado e rotulado antes mesmo de ser manipulado, acessado e distribuído.
Como deve ser feita essa classificação?
A política de segurança da informação de uma empresa serve como documento para definir os níveis da classificação das informações e como elas devem ser utilizadas pelos colaboradores.
De maneira geral, não existe uma regra específica para essa classificação, sendo algo totalmente personalizado de acordo com as necessidades de cada gestor, que pode considerar determinadas informações como relevantes. Mas quando não existe nada em específico que o profissional responsável queira detalhar, é possível começar com a seguinte referência:
- Público — Informações que podem ser disponibilizadas e acessíveis a qualquer pessoa.
- Interno — Informações que podem ser acessadas apenas por colaboradores da empresa.
- Confidencial — Informações acessíveis a apenas um grupo de pessoas autorizadas.
- Restrito — Dados acessíveis apenas por pessoas pré-definidas.
Como vimos no post, a classificação da informação e a LGPD andam lado a lado, enquanto a lei define como deve ser feito a manipulação dos dados, o sistema de classificação limita o acesso a eles, garantindo mais segurança e ajudando a empresa a permanecer dentro da legislação.
A classificação de dados na LGPD e o impacto nas sanções e penalidades
Em nosso mais recente “Cybertalks”, conversamos com o José Anastácio, engenheiro de produto da Compugraf, sobre as principais sanções e penalidades que chegam com a vigência da LGPD.
Para aprofundar a imersão, separamos 5 artigos pra você:
- Como entender a jornada da LGPD
- ANPD: Como funcionará a gestão da LGPD
- LGPD e os primeiros passos para entrar em compliance
- Como criar uma cultura de privacidade de dados corporativos
- Como funcionará o tratamento de dados com a LGPD?
A classificação de dados na LGPD e o direito à explicação
Dentro da LGPD existe o direito à explicação.
Isso significa que durante um processo contra uma empresa envolvendo o desrespeito a Lei Geral de Proteção de Dados, uma empresa terá o direito de explicar as razões antes de ser multada.
Esse direito de explicação é uma derivação do princípio de transparência, algo previsto na maioria das Leis de proteção de dados no mundo – assim como a própria GDPR, que também garante aos titulares dos dados as informações de maneira precisa e acessível em relação a como determinada empresa realizou o tratamento dessas informações de acordo com seus agentes de tratamento.
Junto aos critérios de legitimidade e justiça, algumas das leis internacionais, como GDPR, Selbst e Powles defendem a importância da existência desse direito, ainda que não exista formalmente.
Pois os especialistas acreditam que o fato da GDPR já estabelecer os direitos de informação sobre a logística de processos de decisões automatizadas, já deveria ser interpretado como um direito implícito de explicação ao permitir que o titular dos dados exerça seus direitos no ordenamento jurídico.
O direito à explicação no contexto brasileiro
É claro que na medida em que a ANPD se aproxima do processo de multas, algumas explicações podem não ser mais aceitas por não fazerem sentido, como dizer a eles que a empresa “Não teve tempo” para se adequar, mesmo após aproximadamente 3 anos de preparo.
Foi quase uma década de discussões, consultas públicas, mais de 2500 contribuições, audiências públicas no Congresso Nacional e interações com os mais diversos atores nacionais e internacionais para que a Lei Geral de Proteção de Dados (Lei 13.709/2018) fosse aprovada no dia 14 de agosto de 2018.
Essa nova Lei foi elaborada de maneira transversal e multissetorial, contemplando direitos que já podiam ser encontrados em conjuntos de leis nacionais anteriores, como o direito à explicação e à transparência.
No entanto, antes da LGPD, esses direitos só poderiam ser garantidos em decisões automatizadas e relativas à concessão de crédito, modelagem e cálculo de risco de crédito, logo nenhum caso coberto pela LGPD hoje poderia ser defendido com base na legislação nacional até então.
Para entender o funcionamento da evolução da Lei, basta voltar a nossa linha do tempo.
A Lei Geral de Proteção de Dados evoluiu de uma proteção setorial para tornar-se uma proteção geral, capaz de englobar os discursos de tratamento do Código de Defesa do Consumidor e a Lei do Cadastro Positivo.
Outro fator decisivo sobre a Lei foi a decisão paradigmática do Superior Tribunal de Justiça, que permitiu a atual interpretação do texto da lei. Sem muita resistência a LGPD rapidamente tornou-se um assunto recorrente dentro da corte superior.
Também se analisa a decisão paradigmática do Superior Tribunal de Justiça (STJ), que conferiu a atual interpretação ao texto desta lei. Em seguida, verifica-se como a LGPD consolidou o entendimento da corte superior.
A Compugraf te ajuda a colocar a empresa em conformidade com a LGPD
Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para a conformidade com a LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.
