Responda rápido. Que fatores aumentam a competitividade de sua empresa? Provavelmente, a resposta incluirá gestão de custos, qualidade do produto ou serviço, monitoramento do mercado, inovação, marketing. E, se ainda não o fez, acrescente a forma como protege a privacidade dos clientes. Trata-se de grande diferencial competitivo na era em que dados pessoais são coletados e usados como nunca pelas organizações.
Como fazer isso? Vamos ao início. A Lei Geral de Proteção de Dados Pessoais (LGPD) está vigente desde setembro de 2020 e tem como objetivo proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da pessoa natural. Para isso, regulamenta o tratamento de dados que permitem identificar ou tornar identificável um indivíduo, bem como os dados que possam causar discriminação ou implicar situação de risco, fragilidade ou danos.
A LGPD se fez necessária diante do avanço tecnológico, principalmente pelo uso massivo de dados na compilação de informações de análise comportamental e formação de perfil para a oferta e venda de produtos e serviços.
Cada clique em uma página na internet, o preenchimento de um cadastro ou mesmo a captura de imagens dentro de uma loja são informações que podem ser usadas para a formação de um perfil de compra ou preferência.
A proteção dessas informações garante a privacidade dos titulares dos dados e o tratamento correto, de acordo com as regras da LGDP, permitindo à empresa ganhar espaço no mercado, tanto pelo viés reputacional como pelo organizacional.
A lei brasileira de proteção de dados determina que o agente de tratamento comunique à autoridade nacional e ao titular a ocorrência de incidente de segurança que lhe possa acarretar risco ou danos. De acordo com a gravidade do incidente, a empresa poderá ser solicitada a divulgar amplamente o fato ocorrido nos meios de comunicação. Tal sanção poderá causar um considerável dano reputacional perante fornecedores, parceiros de negócios e, especialmente, diante do cliente que compartilha o que ama, o que odeia e, mais ainda, o que o afeta diretamente de forma negativa.
Do ponto de vista da empresa, a LGPD é benéfica, ao passo que propõe aos controladores e operadores a formulação de regras de boas práticas e de governança que estabeleçam condições de organização, regime de funcionamento, normas de segurança, ações educativas, mecanismos internos de supervisão e de mitigação de riscos, além de outros aspectos relacionados ao tratamento de dados pessoais.
Quanto ao estabelecimento e à manutenção das relações comerciais, as empresas de grande porte, que já contam com uma estrutura dedicada à proteção de dados, estão optando por fechar negócios apenas com outras que mantenham um programa de conformidade com a LGPD. O mesmo ocorre com as empresas públicas, cujos editais licitatórios exigem adequação à legislação de privacidade e proteção de dados como requisito de participação, evidenciando a vantagem competitiva gerada pela observância aos mandamentos de privacidade.
Para obter essa vantagem, não basta apenas comunicar que está em conformidade, é preciso adotar regras de boas práticas e de governança efetivas que permitam definição de responsabilidades e deveres, organização financeira, redução de despesas, bem como o desenho dos processos internos que possibilitam à empresa conhecer a realidade do bem ou serviço ofertado, de modo a direcionar esforços para corrigir falhas e investir no crescimento e na atuação diferenciada perante os concorrentes.
A LGPD não faz menção específica a qualquer outra norma que possa servir de orientação à adoção de boas práticas. Contudo, a ABNT NBR ISO/IEC, da família 27000, serve como generosa base para um sistema de gerenciamento da segurança da informação (SGSI) que atenda a vários requisitos de privacidade.
Em especial, a ABNT NBR ISO/IEC 27002 estabelece diretrizes para a segurança da informação, servindo como um código de prática recentemente atualizado para considerar novos controles de segurança, inclusive com o acréscimo de um tópico destinado à privacidade e à proteção de dados pessoais.
A norma propõe que a organização identifique e atenda aos requisitos relativos à preservação da privacidade e proteção de dados de acordo com as leis e regulamentos aplicáveis. Para isso, convenciona-se que o compliance desses procedimentos e o cumprimento da legislação pertinente exige papéis, responsabilidades e controles adequados, cujo resultado é melhor obtido com a nomeação de um responsável, como um encarregado de proteção de dados.
Também trata de questões específicas, como a abordagem da segurança da informação nos contratos de fornecedores, resposta e aprendizado com incidentes de segurança da informação, exclusão de informações, mascaramento de dados e prevenção de vazamento de dados.