A Lei Geral de Proteção de Dados (LGPD), aprovada em 2018, entrou em vigor em agosto de 2020, com o intuito de normatizar a proteção e privacidade dos dados pessoais no Brasil, exigindo que as empresas garantam a segurança dos dados de seus clientes.
Atualmente, os dados são vistos como bens que merecem proteção, uma vez que carregam informações pessoais, muitas vezes relacionadas à saúde, raça, religião, entre outros dados chamados de sensíveis. Por este motivo e visando garantir uma maior segurança aos usuários dos mais variados serviços, os dados precisam ser protegidos de fraudes, vazamentos e do uso indevidos.
Contudo, para que o fim seja alcançado é importante que as empresas se adequem à LGPD, com uma verdadeira mudança de cultura que objetive preservar a privacidade dos titulares, sem atrapalhar os processos negociais, adotando políticas e medidas de segurança.
A LGPD trouxe uma série de mudanças na forma como os dados pessoais devem ser tratados. No entanto, muitas organizações ainda não sabem como proceder na adequação e, tampouco, conhecem os impactos que podem sofrer por não se adequarem. É preciso lembrar que a Lei Geral de Proteção de Dados trouxe a possibilidade de imposição de sanções para aquelas empresas que não estiverem em conformidade com a lei, tais como: advertências, multas, bloqueio dos dados até a regularização, ou mesmo proibição parcial ou total das atividades.
Com o intuito de contribuir com quem ainda não está por dentro das alterações impostas pela LGPD, destacamos os pontos mais importantes que as empresas precisam observar para o pontapé inicial em um processo de adequação:
- Realizar um mapeamento dos dados, analisando quais dados precisam ser coletados, quais já estão com a empresa, excluindo aqueles que não são necessários; identificar como os dados estão sendo tratados, verificando as políticas, procedimentos e ferramentas utilizadas, a fim de analisar os riscos existentes. Só podem ser coletados dados de uma pessoa se ela consentir com o fornecimento, ou seja, o titular dos dados decide se entrega, ou não, estes para sua empresa. O consentimento é dispensável se os dados já forem manifestados publicamente pelo titular;
- Utilizar os dados para finalidades claras e específicas para o qual foi coletado. Estas finalidades devem estar claras ao titular, reformulando contratos se for preciso. Se houver mudança na finalidade, o titular deve estar avisado e deve consentir novamente;
- O titular dos dados deve ter acesso fácil aos seus dados. Ainda, deve poder corrigir e até excluir seus dados, se assim desejar;
- A empresa deve adotar medidas de segurança para evitar incidentes como: usar ferramentas de segurança de sistema atualizado; utilizar barreiras físicas e virtuais, como chaves, senhas; atualizar senhas, antivírus e softwares periodicamente; fazer backups periódicos;
- Nomear um encarregado para, além de preparar e organizar os procedimentos necessários para a proteção de dados, comunicar a Autoridade Nacional de Dados, se porventura, ocorrer um incidente.
Entretanto, talvez o ponto mais importante seja o investimento nas equipes. A equipe precisa estar consciente e incentivada quanto à necessidade da adequação da empresa à estas normas. O comprometimento e colaboração de todos é essencial para a segurança dos dados, pois a equipe é quem vai conseguir identificar a eficácia das medidas adotadas, apontando a necessidade de ajustes, se for o caso.
Além disso, para evitar, ou pelo menos amenizar, os transtornos e incidentes decorrentes dos ataques cibernéticos, o uso de suporte profissional de profissionais especializados no processo de adequação, aliados às áreas de TI e Jurídica, trazem muitos benefícios, pois garantem uma atuação rápida, priorizando a contenção das perdas, considerando os aspectos legais e burocráticos deste tipo de incidente.
Assim, independentemente do tamanho da sua empresa ou da sua atuação externa, ela precisa estar em conformidade com a Lei Geral de Proteção de Dados, oportunizando aos seus clientes uma relação mais transparente e segura, protegendo os direitos fundamentais de liberdade e de privacidade do titular do dado.
Karina Busnello Andreoli
OAB/RS 113.527