Dados

Como a LGPD afeta o departamento financeiro?

Confira quais serão os maiores impactos da nova lei de proteção de dados pessoais para o departamento financeiro nas empresas

A nova Lei Geral de Proteção de Dados (LGPD) entra em vigor, oficialmente, em fevereiro de 2020 no Brasil. Durante esse tempo que foi estipulado para que as empresas e órgãos se adaptem, estaremos produzindo diversos conteúdos para auxiliar as organizações durante esse processo. Para não perder as novas atualizações e dicas sobre o tema, confira a página específica que criamos para a LGPD e cadastre-se para receber todos os conteúdos diretamente no seu e-mail!

Já pudemos ver anteriormente um pouco mais sobre o que é a nova lei e como ela irá garantir a segurança dos dados pessoais dos usuários, o que pode ser feito para as empresas se adaptarem, como por exemplo o destaque para a importância de um órgão regulador responsável pela organização e controle dessa regulamentação, e também os principais impactos da lei nas empresas (http://www.reamp.com.br/blog/2018/08/quais-sao-os-impactos-e-beneficios-da-lgpd-para-as-empresas/) que trabalham com dados dos consumidores, como no departamento de marketing.

No entanto, sabemos que não é o único setor que será afetado por ela – toda e qualquer empresa que trabalhe com dados de consumidores será impactada. E é por isso que, hoje, nosso tema será sobre os principais impactos da nova lei no setor financeiro!

 

Seu departamento de finanças está preparado para o LGPD?

A Lei Geral de Proteção de Dados Pessoais, inspirada no GDPR da União Europeia – que já entrou em vigor – terá como maior objetivo proteger dados pessoais dos consumidores online, garantindo que o usuário esteja totalmente de acordo com o uso de suas informações por parte das empresas. Instituições financeiras e prestadores de serviços para o setor financeiro, por sua vez, processam uma enorme quantidade de dados pessoais diariamente, e muitos deles são confidenciais e sensíveis.

Isso significa, portanto, que existe o aumento dos riscos e uma probabilidade de foco nesse setor pelas autoridades de supervisão, que terão novos direitos de auditar e impor multas a quem descumprir a lei, podendo chegar à até 2% do faturamento anual global de uma empresa.

Mas o que, afinal, a introdução da LGPD realmente significa para as instituições financeiras e em quais áreas elas deveriam se concentrar para entrarem em conformidade o mais rápido possível com ela? Se o departamento sofresse uma violação, provavelmente existiriam informações o suficiente para que um criminoso assumisse as contas dos clientes, roubasse fundos e potencialmente cometesse fraudes de identidade. Por isso, listamos alguns dos principais termos da lei em que o setor financeiro deverá ficar atento:

1. Consentimento do cliente

Sob os termos da nova lei, os dados pessoais referem-se a qualquer informação que possa ser usada para identificar um indivíduo, como nome, endereço de e-mail, endereço IP, perfis de mídia social ou números de seguridade social. Ao obrigar explicitamente as empresas a obterem consentimento (sem opção de adesão automática) dos clientes sobre os dados pessoais coletados, os indivíduos sabem quais informações as organizações estão mantendo. Além disso, no sistema de consentimento, as empresas devem definir claramente a finalidade para qual os dados foram coletados, e buscar consentimento adicional se as empresas quiserem compartilhar informações com terceiros. Em suma, o objetivo da lei é garantir que os clientes mantenham os direitos sobre seus próprios dados.

2. Direito ao apagamento de dados e direito de ser esquecido

A lei permitirá a todos os cidadãos, o direito à privacidade dos dados. De acordo com os termos, os indivíduos podem solicitar o acesso ou a remoção de seus próprios dados pessoais dos bancos de informação sem a necessidade de qualquer autorização externa. Isso é conhecido como portabilidade de dados. As instituições financeiras podem manter alguns dados para garantir a conformidade com outros regulamentos, mas em todas as outras circunstâncias em que não há justificativa válida, o direito do indivíduo de ser esquecido se aplica.

3. Consequências de uma violação

Anteriormente, as empresas podiam adotar seus próprios protocolos no caso de uma violação de dados. Agora, no entanto, a LGPD determina as empresas devem relatar qualquer violação de dados à autoridade supervisora o mais rápido possível. A notificação da violação, os resultados prováveis ​​e a remediação também devem ser enviados ao cliente impactado “sem atrasos indevidos”.

4. Gestão de fornecedores

Os sistemas de TI formam a espinha dorsal de todas as empresas financeiras, com os dados dos clientes passando continuamente por vários aplicativos de TI. Como a LGPD está associada a dados pessoais de clientes, as empresas precisam entender todos os fluxos de dados em seus vários sistemas. A tendência crescente para o desenvolvimento de terceirização e funções de suporte significa que os dados pessoais do cliente são frequentemente acessados ​​por fornecedores externos, aumentando significativamente a exposição líquida dos dados. Sob a nova lei, os fornecedores não podem se desassociar das obrigações em relação ao acesso a dados. A lei, de fato, impõe a prestação de contas de ponta a ponta para garantir que os dados do cliente permaneçam bem protegidos, aplicando não apenas o banco, mas todas as funções envolvidas.

5. Pseudonimização

A LGPD se aplica a todos os dados potenciais do cliente onde quer que ele seja encontrado, seja em um ambiente de produção ao vivo, durante o processo de desenvolvimento ou no meio de um programa de teste. É bastante comum a máscara de dados em ambientes de não produção para ocultar dados confidenciais do cliente. Sob a lei, os dados também devem ser pseudonimizados em identificadores artificiais no ambiente de produção ao vivo. Essas regras de mascaramento de dados ou pseudonimização visam assegurar que o acesso aos dados permaneça dentro dos domínios das obrigações de “necessidade de saber”.

 

Como o departamento financeiro pode tentar evitar os riscos?

Cada instituição financeira que processa dados pessoais ainda precisará de uma base legítima para processamento. De acordo com a nova lei, esse processamento só é legal se e na medida em que: o titular dos dados deu o seu consentimento; o processamento for necessário para a execução de um contrato com o titular dos dados; for necessário para o cumprimento de uma obrigação legal ou de uma tarefa realizada no interesse público; é necessário proteger interesses vitais de um indivíduo; ou for necessário para os fins de interesses legítimos do responsável pelo tratamento ou de outro terceiro, desde que eles não contradigam os direitos fundamentais do titular dos dados.

Frequentemente, as instituições financeiras processam dados pessoais para cumprir as suas obrigações ao abrigo de um contrato com o titular dos dados, como um contrato de conta, contrato de empréstimo ou apólice de seguro, ou porque têm a obrigação legal de o fazer. Desde que o processamento seja necessário para este propósito, não é necessária mais legitimação.

Para operações de processamento que não são necessárias para a execução de um contrato, as instituições precisam de outra base legítima, como o consentimento do titular dos dados. Tal consentimento deve ser “dado livremente, específico, informado e não ambíguo”. Isto requer que seja fornecida informação adequada, em particular no que diz respeito ao direito de retirar o consentimento. O consentimento também deve ser específico para cada operação de processamento. Portanto, as instituições não podem confiar em termos e condições gerais ou declarações de consentimento geral, mas terão que solicitar o consentimento do indivíduo para cada tipo específico de operação financeira. Além disso, os serviços não devem ser condicionados ao consentimento, a menos que o processamento dos dados seja essencial para o serviço.

Para instituições financeiras, isso significa avaliar a base legítima para suas operações de processamento de dados, envolvendo uma verificação de contratos, termos e condições existentes, avisos e modelos de contratos. Por exemplo, se o consentimento já foi dado, este consentimento pode não ser mais suficiente sob a LGPD e pode ter que ser obtido novamente.

Para departamentos financeiros, as seguintes responsabilidades específicas entrarão em jogo:

  • Arquivamento: as organizações devem manter um arquivo de faturas bem gerenciado. Embora este seja um princípio simples, os registros em papel podem ser mantidos em locais diferentes, e os registros eletrônicos podem ser salvos em vários lugares diferentes. Enquanto isso, as organizações precisarão certificar-se de que os registros arquivados permaneçam inalterados e não afetados, e que sejam destruídos após um período de retenção definido;
  • Data de acesso: as organizações devem fornecer aos clientes ou fornecedores, registros de seus dados pessoais mediante solicitação. Isso deve ser fornecido rapidamente e apresentado em um formato que o cliente possa ler e reutilizar;
  • Manutenção de registros: as organizações serão obrigadas a manter registros internos de processamento de dados, e os sistemas de gerenciamento de registros devem ser capazes de extrair dados brutos e fornecer um histórico completo de auditoria dos registros mantidos;
  • Remoção de registros: é importante que removam os dados mantidos em um cliente ou fornecedor antes de seu consentimento explícito. Garantir que todos os dados sejam removidos de uma maneira que não afete os outros registros, pode ser o principal desafio aqui;
  • Geração, recebimento, processamento e aprovação de documentos: qualquer que seja o estágio em que o documento financeiro passe, é preciso ter cuidado para garantir a segurança de dados pessoais;
  • Direito do cliente de acesso: os clientes (e outras pessoas, como funcionários, contratados e fornecedores) têm o direito de solicitar cópias de quaisquer documentos e quaisquer dados contidos neles. Quando solicitado, as organizações devem recuperar esses dados do arquivo e fornecê-los ao solicitante;
  • Direito de remoção: os indivíduos também podem solicitar que todos e quaisquer dados e documentos contidos neles ou sobre eles sejam destruídos. Em qualquer caso, todos esses dados devem ter uma política de privacidade acessível, que determina por quanto tempo os dados serão mantidos, após o que serão destruídos;
  • Registros de transação: as organizações devem manter registros de quais dados eles processam, como eles são processados ​​e podem gerar relatórios sobre todo esse procedimento.

Além disso, existem outros fatores essenciais de se atentar no momento de estar entrando em conformidade com a lei no setor financeiro:

1. Responsabilidade e transparência

Todas as empresas que trabalham com dados terão novas obrigações para manter registros de operações de processamento, além da responsabilidade de fiscalizarem se todos os aspectos da lei estão em conformidade. Além disso, as organizações também terão que garantir que seus contratos e avisos contenham as informações que precisam ser comunicadas aos indivíduos sobre a lei, e que essas informações sejam apresentadas de maneira clara e concisa, garantindo a transparência.

Quando as atividades principais de uma organização envolvem processamento ou monitoramento em larga escala, como será o caso da maioria das instituições financeiras, uma das alternativas sugeridas é que nomeiem um diretor de proteção de dados (DPO), assim como já acontece em obrigatoriedade no GDPR da União Europeia.

2.  Novos direitos dos titulares dos dados

As instituições financeiras também devem implementar medidas técnicas e organizacionais necessárias para responder de forma adequada e oportuna às solicitações dos titulares de dados, com base em seus direitos estendidos no âmbito da lei. O “direito ao esquecimento” permite que um indivíduo solicite o apagamento de seus dados, quando os dados não são mais necessários para os fins de processamento para os quais foram coletados ou quando o processamento não é legítimo – devido à retirada do consentimento anteriormente dado, por exemplo.

O direito à “portabilidade de dados” permitirá que os indivíduos solicitem uma cópia legível por máquina de seus dados pessoais armazenados por um provedor de serviços, desde que o processamento seja baseado no consentimento ou na execução de um contrato. Quando tecnicamente viável, os indivíduos podem até solicitar uma transferência direta dos dados de um provedor para outro. No entanto, o pedido não pode impor esforços desproporcionais ao responsável pelo tratamento nem levantar questões de confidencialidade.

3. Avaliação de impacto de proteção de dados e notificações de violação de dados

As avaliações de impacto da proteção de dados, previstas para o processamento potencial de ‘alto risco’, se tornarão essenciais para as instituições financeiras, já que elas trabalham com grandes quantidades de dados confidenciais de clientes. Quando o processamento pode resultar em um alto risco, a autoridade supervisora ​​deve ser consultada antes do que ele seja feito.

As notificações de violação de dados à autoridade supervisora ​​”sem demora indevida” se tornarão obrigatórias, a menos que a violação “não seja suscetível de resultar em risco para os direitos e liberdades das pessoas”. As instituições financeiras terão de simplificar estas obrigações com outras obrigações de notificação de violação de dados, e devem ter as medidas técnicas e organizacionais adequadas para detectar, tratar e reportar uma violação.

4. Profiling

A definição de perfil, ou mais precisamente, a tomada de decisões automatizada baseada apenas em atividades de criação de perfil, está sujeita a regras estritas no âmbito da LGPD. Será, no entanto, autorizada quando o titular dos dados consentir explicitamente, ou quando necessário para celebrar ou executar um contrato.

Quando baseado no consentimento do titular dos dados ou quando necessário para a celebração ou execução de um contrato, o regulamento exigirá que as instituições financeiras implementem medidas adequadas para salvaguardar os direitos e liberdades da pessoa em causa e interesses legítimos, pelo menos o direito de obter intervenção humana por parte do responsável pelo tratamento, para expressar o seu ponto de vista e contestar a decisão.

As novas regras, portanto, afetam quase todos os departamentos do negócio. As equipes de finanças devem tomar medidas para manter documentos financeiros confidenciais e seguros, e manter um registro de transações. Essa equipe lida com dados importantes, não apenas de vendas e lucros, mas também de salários de funcionários e detalhes bancários, detalhes de pagamento de fornecedores e detalhes bancários de clientes.

Por isso, A proteção desses dados altamente sensíveis exige novas políticas e procedimentos, além de novos níveis de vigilância pessoal e responsabilidade por parte da equipe. É particularmente importante que muitos desses dados sejam mantidos em diferentes formas, como servidores locais, PCs, na nuvem e em arquivos de papel – mesmo em bandejas de papel de mesa.

Com a LGPD, os processos que geram e processam esses dados em suas várias formas precisam ser examinados e aprimorados.

 

Clique para comentar

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Início