Conforme o texto da LPGD:
…
CAPÍTULO VII
DA SEGURANÇA E DAS BOAS PRÁTICAS
Seção I
Da Segurança e do Sigilo de Dados
II – medidas para reverter ou mitigar os efeitos do incidente.
§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
…
Se consultarmos no dicionário:
Significado de ininteligível: adjetivo incompreensível; de difícil ou impossível compreensão: texto ininteligível.
Agora sabemos o que quer dizer essa palavras rsrsr…
Mas como aplicamos esse requisito da LGPD com os dados da empresa?
Se você pensou em criptografia, pensou bem.
Por que devemos dar atenção para criptografia?
Por que criptografia funciona, isso é fato.
Então, se você é responsável por um banco de dados da empresa e caso ocorra um vazamento, você deve provar perante a Lei que tomou medidas técnicas para tornar os dados ininteligíveis
E uma dessas medidas como fala na LPGD é dificultar a legibilidade dos dados vazados, ou seja, aplicar criptografia.
A maioria pensa em criptografia, e vem na mente a conexão HTTPS/SSL ao site ou aplicação.
Isso está correto, mas essa criptografia atua somente no acesso web e na transmissão dos dados.
Mas a criptografia necessária para deve ser implementada no armazenamento do dado no banco ou arquivos.
É claro que isso envolve mais recursos, mais processamento e até contratação de profissional de cyber segurança.
Sabemos que nenhum software é 100% seguro, mas o que importa aplicar e comprovar que medidas técnicas realmente adequadas, foram aplicadas para proteger os dados da empresa.
Bom trabalho.
Nota: esse post é uma interpretação livre dos artigos da LGPD. Não deve ser tomada como uma consulta legal e/ou recomendação legal e/ou consultoria jurídica. Sempre consulte a área jurídica da sua empresa, advogado ou consultor jurídico para adequar a LPDG à sua empresa.
PS: Se você é Gerente de TI ou analista e está envolvido com Cyber Segurança na sua empresa, temos uma lista exclusiva com Boas Práticas e Procedimentos que NÃO publicamos no blog. Se quiser receber esse material exclusivo por favor deixe seu email abaixo: