A Lei Geral de Proteção da Dados (LGPD), lei 13.709/18, estabelece diretrizes para proteger dados pessoais dos consumidores. Entre os principais aspectos é exigido que empresas tenham o consentimento do consumidor para utilizar dados compartilhados, sendo assegurado o direito de revogação deste consentimento. Além disso, é garantido também o direito ao conhecimento: seja da quantidade de dados armazenados pela empresa, entidade ou governo, ou ainda se eles foram compartilhados com terceiros.
A LGPD também determina que empresas reportem à Autoridade Nacional de Proteção de Dados (ANPD) incidentes de segurança que possam colocar em risco dados dos consumidores, além de uma série de outras regulamentações exigindo conformidades e especificando sanções administrativas – incluindo multas.
O fato é que muitas empresas, entidades e o próprio governo não estão preparadas para a mudança cultural que a nova legislação exigirá: atualmente os dados podem estar espalhados por vários sistemas, podem estar em poder de parceiros ou ainda sendo tratados para várias finalidades distintas dentro da mesma organização. Por isso, a partir da LGPD, há alguns aspectos importantes que precisam ser:
(I) É preciso indicar explicitamente um Data Privacy Officer (encarregado pelo tratamento de dados pessoais);
(II) É preciso ter um inventário, uma política de retenção e backup de dados dos cidadãos e consumidores;
(III) É necessária uma revisão ou ajustes de contratos com terceiros e a redação de um código de conduta para funcionários e terceiros para proteger a privacidade dos consumidores;
(IV) É preciso fazer gestão de consentimentos, definir políticas e emitir avisos de privacidade;
(V) É necessário ter um time de respostas a incidentes com dados ou violações de privacidade;
(VI) É preciso ter ferramentas para gerenciamento de conformidade com a LGPD;
Para as empresas, incluindo o governo, claramente se observa que a LGPD implicará em um processo lento, custoso e contínuo, envolvendo mais aspectos de gestão de processos e pessoas do que a compra de pacotes de software de cibersegurança para proteção de informações pessoais – mas é preciso considerar que o mercado carece de profissionais qualificados nas áreas de segurança e privacidade.
Já para a sociedade o processo de implementação da LGPD é repleto de desafios: se em um primeiro momento passaremos pela adaptação, que envolve novas práticas e tecnologias a serem implementadas para respeitar os direitos de privacidade do cidadão consumidor, há também questões referentes à fiscalização da lei, ainda cercada por dúvidas e questões em aberto para toda a população.
________________
*Altair Olivo Santin é cientista, doutor na área de cibersegurança e professor da Pontifícia Universidade Católica do Paraná (PUCPR).