Proteção de dados para todos
A partir desse mês, todas as empresas que usam dados de brasileiros precisarão se adaptar a Lei Geral de Proteção de Dados (LGPD), que foi aprovada com antecipação pelo Senado e que, agora, aguarda a sanção presidencial para entrar em vigor. A necessidade de ampliar a segurança digital cresceu de modo muito sensível nos últimos meses, quando o distanciamento social forçou a ampliação do uso da internet para diversas transações comerciais.
Se por um lado a lei representa um avanço na garantia de direitos dos cidadãos e aponta para um crescimento econômico e tecnológico, por outro, coloca as organizações e empresas pressionadas à investirem no processo de segurança, afinal, quem não obedecer as normas poderá ser penalizadas com multas que variam de 2% até R$ 50 milhões do faturamento total da empresa.
Apesar da penalidade ser alta, 85% das empresas brasileiras afirmam ainda não estar preparadas para garantir os direitos e deveres em relação ao tratamento de dados pessoais exigidos pela LGPD, segundo da Serasa Experian.
A professora de Compliance, Riscos e Governança, Privacidade de Dados e Direito Digital, a advogada Maria Clara Seixas ressalta que a LGPD cria um novo e exigente regramento para o uso de dados pessoais no país, abrangendo atividades tanto no âmbito online quanto offline e impacta vários setores da sociedade, sejam privados ou públicos. “ Do e-commerce a shoppings centers, de clínicas a hospitais, hotéis, petshops, sites, agências de publicidade, aplicativos, indústrias, condomínios, órgãos públicos, todos deverão se adequar à LGPD”, reforça, destacando que toda informação que torne uma pessoa física identificada ou identificável – seja esta pessoa um cliente, um empregado, um parceiro de negócio, um visitante, um prestador de serviços ou qualquer terceiro – deverá ser tratada pela organização de acordo com as exigências da nova lei.
A gerente linhas financeiras da Willis Towers Watson Ana Albuquerque salienta que a nova lei se aplica às relações trabalhistas, relações de consumo (inclusive negócios offline), relação entre usuário e negócios de internet, negócios no comércio eletrônico Business to Business(B2B) que utilizam dados pessoais de parceiros ou representantes comerciais, entre outros.
Ana Albuquerque chama atenção para o fato de que a área de Compliance atuará internamente com políticas específicas de tratamento de informações (Foto: Divulgação) |
A LGPD
Ana Albuquerque faz questão de ressaltar que a LGPD prevê ainda a figura do Data Protection Officer(DPO): que poderá ser pessoa física ou jurídica e será responsável perante a Autoridade Reguladora pelo tratamento de dados dentro da Organização. “O DPO precisa ter conhecimento jurídico-regulatório e aptidão a prestação de serviços de proteção de dados e, por isso mesmo, as empresas deverão rever todos os processos e procedimentos relacionados aos dados que transitam dentro da Organização e devem trazer diretrizes de tratamento para as informações pessoais”, esclarece. A gerente destaca que a área de Compliance deverá atuar internamente, especialmente com políticas específicas de tratamento de informações. “Outro ponto importante é estabelecer a figura do DPO que deverá ser o foco inicial para este tratamento de dados”, diz.
Além do conceito e classificação dos dados pessoais, a lei também elenca quais são as bases legais que autorizam o tratamento das informações, proibindo qualquer uso que não esteja amparado nela. “O consentimento do uso dos dados passa a ser apenas uma das bases legais e ainda se torna qualificado,devendo ser obtido de forma livre, informada, inequívoca e apenas para finalidades específicas. Isso significa que aquelas autorizações genéricas de uso de dados pessoais que costumamos ver nos sites e aplicativos não serão mais aceita”, esclarece a advogada Maria Clara Seixas.
Ela salienta que são igualmente previstos diversos direitos para os titulares dos dados e, consequentemente, diversas obrigações surgem para quem utiliza os seus dados. É assim, por exemplo, que a partir do direito do titular de ter acesso facilitado às informações sobre o tratamento de seus dados, surge a obrigação da empresa em fornecer este acesso de forma facilitada por meio de um canal específico para isso. “As pessoas poderão solicitar a correção de dados incompletos, inexatos ou desatualizados, pedir a revogação do seu consentimento e também a eliminação dos seus dados tratados com base em consentimento anteriormente dado”, explica.
Como fazer?
Para garantir o cumprimento da lei, as especialistas são unânimes em orientar a correta gestão dos dados que a instituição possui. Dessa forma, o primeiro passo é estabelecer uma estrutura de governança, prestação de contas e planejamento do projeto de adequação, o que inclui a nomeação de um Encarregado de Proteção de Dados ou “DPO” e as definições do escopo, capacitação, prazos e recursos. “Em razão das peculiaridades e riscos relativos ao tema, recomenda-se o apoio de uma consultoria especializada desde o momento inicial de adequação, evitando retrabalho, desperdício de recursos e ineficiência”, salienta Maria Clara Seixas.
Maria Clara Seixas salienta que as medidas de adoção da nova lei não precisam ser custosas, mas cuidadosas para evitar problemas (foto: Divulgação) |
Os passos seguintes são fazer um mapeamento do uso de dados pessoais tratados pela empresa, identificando os tipos (sensíveis, de geolocalização, cadastrais, de consumo etc.), quem são os titulares (clientes, funcionários, prestadores de serviços ou terceiros), as formas de coleta, as finalidades de tratamento, as áreas que tratam cada tipo de dado e entendendo todo o processo de ciclo de vida dos dados dentro da empresa.
Com o inventário feito e a classificação com indicação das bases legais de tratamento, a orientação é que as empresas identifiquem possíveis riscos e elabore um plano de ação. “Esse plano pode envolver, por exemplo, a criação de um canal de atendimento aos titulares, treinamentos das equipes, adequações dos contratos de trabalho, criação de políticas de privacidade, elaboração de relatório de impacto, revisão dos contratos com clientes e fornecedores, implementação de mecanismos de segurança, criação de políticas de gestão de documentos”, finaliza a advogada.
PASSO A PASSO DA SEGURANÇA DIGITAL
1. Segurança digital não necessariamente está associada à altos custos e ferramentas complexas de proteção. As medidas de adequação devem ser aplicadas de forma compatível com a capacidade de cada organização;
2. Antes de começar a orçar tecnologias caras e complexas, a empresa deve entender bem como a LGPD é aplicável ao seu negócio e estabelecer um planejamento que seja sustentável;
3. A educação digital, com treinamentos, regras de conduta, boas práticas e procedimentos, é muitas vezes o caminho mais eficiente para a mitigação dos riscos;
4. Minimização da coleta de dados e da eliminação de dados desnecessários são medidas pouco custosas e muito eficientes;
5. Caso seja detectado tal vazamento a Empresa deverá fazer a comunicação à Autoridade Nacional de Proteção de Dados que deve ser realizada em prazo razoável e deverá conter as seguintes informações: (i) natureza dos dados pessoais afetados; (ii) informações sobre os titulares envolvidos; (iii) indicação de medidas mitigadoras e de segurança utilizadas para a proteção dos dados; (iv) os riscos envolvidos nesse vazamento de dados; (v) e caso a comunicação não seja imediata, as razões da demora.
6. A Empresa poderá buscar parceiros especializados que possam auxiliar na elaboração de medidas de adequação à LGPD e outro investimento seria a contratação do próprio Seguro de Cyber, que poderá auxiliar a mitigar eventuais prejuízos decorrentes de vazamento de dados.
7. A contratação do Seguro de Cyber também é visto como melhorias de governança dentro da Organização, o que traz benefícios comerciais, mas não é garantia para a falta de responsabilidade por parte da empresa.