É cada vez mais importante cuidar da segurança dos dados da sua empresa, sejam informações referentes ao seu negócio ou aos seus clientes. O aumento dos casos de vazamento de dados nos últimos anos fez com que governos, empresas e sociedade se preocupassem em criar mecanismos para evitar a invasão de privacidade. Outro fator relevante é a perda financeira causada por ataques cibernéticos. No Brasil, segundo levantamento mais recente da União Internacional de Telecomunicações (ITU, na sigla em inglês), órgão da Organização das Nações Unidas (ONU), a perda foi de R$ 80 bilhões, em 2019.
A Lei Geral de Proteção de Dados Pessoais (LGPD) chega com o objetivo de proteger a liberdade e a privacidade de consumidores e cidadãos. Criada em 2018, ela demanda que empresas e órgãos públicos mudem a forma de coletar, armazenar e usar os dados das pessoas. Ou seja, terá impactos significativos nas áreas jurídica, administrativa e de segurança da informação das companhias.
Mas, o que realmente muda para as empresas com a implementação da LGPD? A mais importante é que a nova lei prevê o consentimento expresso dos clientes para o uso das informações. Isso significa que as companhias precisarão deixar claro, e da forma mais transparente possível, como os dados são usados.
Essas informações podem ser desde números de documentos como RG, CPF, PIS, endereço, até origem racial ou étnica, filiação a organizações políticas ou religiosas, informações genéticas e de biometria ou de orientação sexual. Isso pode ser coletado de diversas maneiras, como é o caso dos apps de celulares que pedem acesso às informações de usuários e os formulários preenchidos em sites de empresas para receber newsletters ou ofertas. Isso também acontece ao participar de promoções em redes sociais, e até ao preencher cupons de promoção no supermercado.
A adequação das empresas a todos os critérios previstos na lei não é tarefa fácil e não acontecerá da noite para o dia. É por isso que as companhias tiveram tanto tempo desde a criação da lei até a sua implementação para se preparar. Poucas empresas estão prontas. As que já nasceram digitais estão mais avançadas por surgirem em uma época em que o nível de conscientização sobre a sensibilidade de dados é naturalmente maior. Mas mesmo elas precisam se dedicar a operar análises para encontrar pontos de irregularidade e risco. Não estamos observando nem mesmo a metade das empresas brasileiras concretizarem os investimentos e mudanças internas para isso.
A maioria delas precisará passar por um processo completo de auditoria e replanejamento para rever os processos que envolvem a coleta e armazenamento de dados pessoais. É recomendável que a empresa faça um mapeamento e documentação dos dados que já possui e classifique essas informações. É importante, por exemplo, verificar se estão armazenados de maneira segura, se foram coletados mediante consentimento e para qual finalidade.
Além disso, os funcionários que lidam com dados de pessoas e clientes devem assegurar o sigilo das informações seguindo boas práticas de segurança da informação. Estabelecer procedimentos, normas de segurança e diminuir riscos no tratamento de dados pessoais são alguns dos primeiros passos para manter informações de funcionários e clientes seguras.
É fundamental determinar uma política de privacidade, na qual a empresa esclarece para seus clientes como seus dados serão utilizados e protegidos, bem como uma política de segurança, com processos para garantir a segurança da informação na companhia. O trabalho remoto, popularizado durante a pandemia, cria vulnerabilidade devido à exposição às ameaças cibernéticas. As empresas precisam se atentar a isso.
Outro ponto de atenção é em relação ao descarte de dados, pois é algo que representa risco e as empresas sequer visualizaram isto ainda, principalmente em seus setores de recursos humanos, em que transitam dados em currículos, recibos e documentos. É necessário iniciar imediatamente, embora já atrasados, para que, ao chegarem as fiscalizações para imposição de penalidades, as empresas tenham como se defender e se proteger.
O descumprimento da LGPD pode representar problemas sérios para a empresa. Isso porque as penalidades incluem a aplicação de multas isoladas ou diárias. O valor é limitado em R$ 50 milhões, ou 2% do faturamento bruto da empresa.
O susto acontecerá em poucos dias ao receber, de hoje em diante, um pedido de relatório detalhado de um titular e não adotar o prazo e procedimento de resposta correta; ou ser notificado por outros órgãos de fiscalização, além da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), ou por associações de titulares de dados.
A partir de agora, a defesa em qualquer situação que considere infração a direitos de titulares de dados, somente será consistente se baseada na prova de que a empresa tomou, ao menos, os cuidados mínimos estabelecidos na lei. Outros argumentos serão secundários ou ineficientes. As empresas precisam estar minimamente prontas para receber e atender esses questionamentos.
________