Facebook
Google
Twitter
Após muitas discussões e algumas reviravoltas, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 18 de setembro. Aprovada em 2018, depois de uma batalha de anos, a LGPD coloca o Brasil ao lado de mais de 100 países onde há normas específicas para definir limites e condições para coleta, guarda e tratamento de informações pessoais. Apesar de as penalidades começarem a ser aplicadas apenas a partir de 2021, é preciso que todas as organizações estejam preparadas para mudanças.
A LGPD (Lei nº 13.709) disciplina um conjunto de aspectos: define categorias de dados, circunscreve para quem valem seus ditames, fixa as hipóteses de coleta e tratamento de dados e traz os direitos dos titulares de dados. Também detalha condições especiais para dados sensíveis e segmentos (como crianças), estabelece obrigações às empresas, institui um regime diferenciado para o Poder Público, coloca sanções em caso de violações e prevê a criação de uma autoridade nacional.
Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada a categoria "dado sensível", com informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação.
Todas as atividades realizadas ou pessoas que estão no Brasil ficam sujeitas à lei. A norma vale para coletas operadas em outro país, desde que estejam relacionadas a bens ou serviços ofertados a brasileiros, ou que tenham sido realizada no país.
Mas há exceções. É o caso da obtenção de informações pelo Estado para segurança pública, defesa nacional e investigação e repressão de infrações penais. Essa temática deverá ser objeto de uma legislação específica. A lei também não se aplica a coletas para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos e acadêmicos.
O representante do Senado Federal nomeado para o Conselho Nacional de Proteção de Dados, Fabrício da Mota Alves, adiantou, durante um webinar realizado pelo Instituto de Auditores Independentes (Ibracon), que "proteção de dados não é apenas uma discussão pura e simples do tratamento de dados pessoais em si, mas também de aspectos procedimentais, formais, com um olhar público".
Alves concordou que "há muita incerteza pela frente" e que preocupa o fato de a composição da Autoridade Nacional de Proteção de Dados, vista como algo de extrema importância por especialistas, seguir em aberto. "Temos uma preocupação muito grande sobre o perfil desses servidores que vão assumir essa missão e essa é uma preocupação de todos nós, cidadãos", admitiu Alves.
O especialista em Qualidade e DPO (Data Protection Officer) da Câmara dos Dirigentes Lojistas de Porto Alegre (CDL POA), Ricardo Ribeiro, ressalta que o aumento no cuidado com os dados pessoais geridos pelas empresas é um caminho sem volta. "Esse é um dos propósitos da lei, dar o empoderamento dos titulares de dados com relação a seus dados pessoais, fazendo com que as empresas cuidem melhor dos dados dos titulares".
Além disso, diz Ribeiro, "as empresas entrarão em uma cultura de políticas e procedimentos para os processos de trabalho, pois a LGPD exige que essa documentação seja criada e cumprida, trazendo assim melhoria e padronização das atividades". Para o especialista, a LGPD é um processo cíclico e todas as organizações terão de seguir melhorando os processos ao longo do tempo.
Organizações de todos os setores devem priorizar a segurança de seus sistemas
Brasil entra na lista junto a mais de 100 países onde há normas específicas para definir limites quanto aos dados pessoais
/MARCELLO CASAL JR /ABR/JC
Com a vigência da Lei Geral de Proteção de Dados (LGPD), as organizações voltaram sua atenção para o tema. Há aquelas que já estão adequadas ou bem próximas disso, algumas com o diagnóstico pronto, mas sem qualquer programa de privacidade implementado, e as que ainda estão tentando entender a lei e seu impacto.
Independentemente da situação, há um caminho padrão a ser percorrido, que poderá ser mais longo ou complexo dependendo das características do negócio e do uso efetivo dos dados pessoais.
O diretor da prática de compliance na ICTS Protiviti, Jefferson Kiyohara, diz que, sob a ótica de gestão de riscos, há cinco camadas que precisam ser tratadas. "Avaliando inicialmente as quatro camadas que tipicamente recebem mais atenção, temos na camada Processo a preocupação com a definição de controles, formalização de políticas e regras claras e disseminadas.
Já na camada Sistemas é preciso pensar na segurança cibernética, na segregação de funções e nas travas sistêmicas, por exemplo. Em "Gestão" está a capacidade de monitorar com indicadores e dashboards e saber se está de acordo ou não com o planejado. E, por fim, na camada de "Infraestrutura", os acessos físicos aos data centers e aos servidores", defende Kiyohara .
Essas quatro esferas têm recebido a atenção das organizações, mas, infelizmente, são insuficientes para mitigar os riscos de forma otimizada se a "camada pessoas" não receber a devida atenção.
"Vale lembrar que a exposição de um programa se dá pelo seu elo mais fraco, e isso também se aplica ao Programa de Privacidade e Proteção de Dados Pessoais. Por exemplo, controles falhos na proteção do caixa da empresa permitem pagamentos indevidos, favorecimentos e subornos. Controles falhos na proteção de dados da empresa permitem vazamentos e sequestro de informações, entre outros", destaca o especialista.
Nos casos de cargos críticos à luz do tratamento de dados, as organizações devem considerar o processo de compliance individual ou de avaliação de perfil ético como opção para mitigar os riscos nessa "camada". "Não se trata de um teste de ética, mas de buscar meios de entender a flexibilidade moral do indivíduo e de como suas crenças e seus valores afetam a interação com os dados pessoais, que se tornou um importante ativo sob responsabilidade da empresa", explica.
Parece algo hipotético, mas Kiyohara lembra que ainda no fim deste último mês de agosto um funcionário da Tesla sofreu a tentativa de suborno para instalar um ransomware na rede da companhia, o que facilitaria o vazamento, em troca de um milhão de dólares.
Nesse caso, o colaborador recusou a proposta e alertou a empresa, que prontamente envolveu autoridades. "Mas, no caso da sua empresa, há a tranquilidade de que aconteceria o mesmo?", ele completa.
"Com a LGPD, as organizações precisarão cuidar dos dados pessoais com a mesma atenção que cuidam do seu caixa e protegem suas finanças e demais ativos", defende o especialista da ICTS Protiviti. E, mais do que uma cultura de privacidade, será preciso fomentar a ética.
Não basta estar em compliance com a lei, é preciso comprovar a segurança dos dados, adverte especialista
Sampaio defende adoção de soluções tecnológicas
/Etek NovaRed/Divulgação/JC
Um ponto importante que precisa ser levado em consideração pelas organizações é que não basta estar em compliance com a lei, "agora, as empresas terão que comprovar isso". A afirmação é do country manager da Etek NovaRed, provedora de soluções integradas de segurança da informação da América Latina, Rafael Sampaio.
O especialista sustenta que não basta implementar tecnologias ou contratar consultorias para estar em conformidade com a LGPD. Muitas vezes, o resultado desse trabalho são várias planilhas que acabam indo para as gavetas ou ficando escondidas nos arquivos do computador.
"O assessment (método utilizado para oferecer maior precisão aos diferentes processos de escolha e seleção dentro de uma empresa) é importante, mas isolado ele não resolve o problema da operação", explica o especialista. De acordo com o executivo, o ideal é que as empresas contem com o apoio de soluções tecnológicas para atender a operação do dia a dia da lei.
O primeiro passo, orienta Sampaio, é investir em governança de privacidade. Em seguida vem a proteção a vazamento de dados. "Ainda hoje, muitas empresas não têm a real visibilidade de como um dado pessoal está transitando dentro de seu ambiente. E ter acesso a isso é fundamental para garantir a proteção a vazamento de dados", indica.
Por último, mas não menos importante, é preciso conhecer a gestão de risco de terceiros. "Há relações com diversas outras empresas: bancos, escritórios contábeis, empresas de seguros saúde etc. A todo momento são compartilhados dados pessoais com terceiros", lembra. É preciso saber: quem são estes terceiros, como trabalham, qual sua preocupação com a segurança da informação", indica.
Sampaio salienta que soluções de mercado atentam a tudo o que as empresas têm publicado online e mapeiam a situação de segurança da informação de cada uma, dando um score para cada parceiro. Quando o score é baixo, a empresa recebe a indicação do que fazer para melhorar sua pontuação e proteger os dados que recebe.
Empresas têm que encarar uma mudança cultural
Ao coletar dados, as empresas devem informar a finalidade, indicar um encarregado pelo tratamento dessas informações e adotar medidas para assegurar a segurança das informações e a notificação do titular em caso de um incidente de segurança.
A Lei Geral de Proteção de Dados (LGPD) lista os direitos dos titulares, dentre eles está o de requisitar a qualquer momento a confirmação da existência do tratamento, o acesso aos dados e a correção de registros errados ou incompletos.
"As empresas deverão trabalhar com a adoção de procedimentos que tenham a privacidade por padrão, o que pode alterar a forma de coleta dos dados de algumas empresas", explica a presidente do Instituto de Pesquisa em Direito e Tecnologia do Recife (IP.Rec) e integrante da Coalizão Direitos na Rede, Raquel Saraiva.
Antes da vigência da LGPD era comum que serviços de Internet, por exemplo, coletassem dados indiscriminadamente, para, posteriormente, tratá-los, sem finalidade específica. Agora, o objetivo deve estar bem claro e ser previamente informado ao titular dos dados pessoais, que pode concordar, ou não, em submeter ao procedimento.
A entrada em vigor da LGPD traz consigo uma mudança do "mindset" das empresas, ou seja, a cultura organizacional não será mais a mesma, defende o chefe de Qualidade, Segurança e Data Protection Officer (DPO) para América do Sul da Atos, Américo Alonso.
"A privacidade começa com uma mudança na forma de fazer negócios, constituindo uma jornada que vai atravessar toda a organização. Não é unicamente um assunto tecnológico, da área de TI ou Segurança. É fundamental que todas as áreas estejam alinhadas e que os altos executivos mostrem a importância da privacidade para a organização como um todo", ressalta Alonso.
O chefe da Atos pontua que embora todos sejam afetados de forma direta ou indireta, aqueles setores que lidam com uma imensidão de dados, "como telecom, bancos e varejo" serão os mais impactados. A legislação vale para todas as empresas que lidam com dados de seus clientes, até mesmo microempreendedores individuais (MEIs).
Todos os titulares dos dados têm direito a solicitar informação das empresas com as quais mantêm ou mantiveram contato, bem como solicitar sua exclusão da base dos registros. Vale destacar que a LGPD estabelece que os registros só podem ser utilizados para a finalidade que foi autorizada pelo titular.