Nova lei europeia de proteção de dados terá reflexos em auditorias

Ventos europeus foram bem recebidos em Brasília. Bastou o Parlamento do velho continente efetivar o novo regulamento europeu de proteção de dados, General Data Protection Regulation (GDPR), no último mês de maio, para que o Congresso Nacional resolvesse destravar as discussões sobre a criação do projeto de lei de Proteção de Dados Pessoais no Brasil, que já durava oito anos. O Senado acaba de aprovar o texto final, que já está nas mãos do presidente Michel Temer, o qual pode vetá-lo ou sancioná-lo.

É urgente a definição de parâmetros que regulem o tema. Vivemos na era do Big Data e da Internet das Coisas, que permitem que os dados sejam coletados e tratados em uma escala sem precedentes. Essas informações podem significar tanto um valor como um risco.

Mas, além da adequação à lei brasileira, as empresas precisarão estar atentas aos parâmetros da GDPR europeia, que prevê novas obrigações às companhias que coletam ou processam dados pessoais, estejam ou não em território europeu. Fica proibida a transferência de dados entre sociedades europeias e estrangeiras - salvo se atendidas condições da nova regulamentação. O alcance internacional foi uma das diretrizes fundamentais na elaboração da lei europeia.

O tema deverá entrar no planejamento anual das auditorias, devido ao inerente aumento dos riscos. Caso a empresa auditada se enquadre no escopo da GDPR, a matéria sugere caráter de urgência. Vazamento de dados pode trazer consequências financeiras, como danos de imagem, às vezes, imensuráveis.

Caso ainda precise de argumentos para convencer o auditado ou seus stakeholders da importância da GDPR, mantenha-os cientes de que penalidades poderão ser aplicadas, esteja o infrator dentro ou fora da Europa, e podem chegar a 4% do volume de negócios anual mundial da empresa, ou € 20 milhões, o que for maior.

Algumas dicas práticas para quem esteja auditando o tema pela primeira vez são: primeiro, verificar se o negócio auditado está dentro do escopo da GDPR, por meio de uma análise de compliance completa. Se a operação estiver sujeita a nova lei europeia, um Data Protection Officer (DPO) deve estar nomeado no Brasil e ser o contato da auditoria interna para muitas questões. Além disso, é necessário que a empresa tenha um procedimento para regrar princípios básicos de dados pessoais, como proporcionalidade e transparência.

A anonimização dos dados deve fazer parte de toda essa rotina. A cultura de proteção de dados requer tempo, portanto campanhas de conscientização e treinamentos são fundamentais.

Vale lembrar que dados secretos, como de saúde, biometria, bem como dados de menores de idade requerem proteção extra.

Os auditores certamente devem possuir conhecimento do Privacy Impact Assessment (PIA), ferramenta que permite a identificação e mitigação dos riscos de privacidade em processos, políticas e até mesmo em novos projetos.

Por fim, é recomendável algum canal para que os empregados possam esclarecer dúvidas e informar vazamentos.

Cabe notar que o Ministério Público está cada vez mais atuante. Diversos escândalos de tratamento indevido de dados pessoais já são destaques na mídia e as empresas que não investirem em medidas de controle não deverão ter suas penalidades atenuadas.

A expectativa é de que os efeitos da lei brasileira passe a ter efeito em 2020. Suas exigências tendem a ser muito semelhantes com as da GDPR e demandarão investimentos em controles e capacitação de profissionais - que devem ser acompanhados de perto pelos departamentos de auditoria interna.

Presidente do Comitê de Ética do Instituto dos Auditores Internos do Brasil (IIA Brasil) e Data Protection Officer (DPO) da Volkswagen do Brasil