As empresas brasileiras necessitam identificar e implementar os requisitos de privacidade e proteção de dados pessoais, ao mesmo tempo, que a complexidade e o avanço tecnológico só aumentam e exigem muito mais atenção aos projetos de adequação. E para que esse desafio seja superado os projetos de adequação a proteção de dados gira em torno de quatro pilares que são: Pessoas, Tecnologia, Processos internos e Jurídico.
Os modelos de negócios da era digital se baseiam em ganhar dinheiro com os dados de outras pessoas. Na última década, a privacidade e proteção de dados deixou de ser um assunto de interesse somente de profissionais de segurança da informação (SI) e passou a ser um assunto de Governança Corporativa. Exatamente por trata-se de um assunto de interesse geral, no decorrer desta discursão sobre os perigos do processamento inadequado de dados, foram criados diferentes regulamentações a nível internacional para melhor proteger os cidadãos contra o uso indevido de seus dados pessoais, na Europa é o Regulamento Geral de Proteção de Dados (GDPR), no Brasil é a Lei Geral de Proteção de Dados (LGPD), assim como diversos países ao redor do mundo criaram seus próprios regramentos sobre privacidade e proteção de dados pessoais.
Da mesma forma que as informações coletadas de cada Titular (Titular é a forma como a LGPD se refere a pessoa física) representam uma valiosa matéria-prima para empresas, seja na forma de relacionamento com os clientes, seja para mineração de dados. Os dados tornaram um ponto vital para decisões de negócios ou estratégicas. Mas como as empresas e em especial as pequenas e médias empresas, que sofrem particularmente com a falta de profissionais especializados para tratarem sobre o tema, gerenciam o equilíbrio entre o interesse em dados e a conformidade com a proteção de dados? Uma solução que vem sendo utilizada é a de buscar o apoio de consultorias externas em privacidade e proteção de dados sempre atuando nos quatro pilares da proteção de dados pessoais.
1. Pessoas
O primeiro pilar no qual se baseia o tratamento de dados pessoais em conformidade com a LGPD são as pessoas. Os funcionários que lidam com dados pessoais na empresa devem passar por capacitação de forma a conscientiza-los sobre a importância e os requisitos de proteção de dados que as empresas precisam adotar para realização das suas atividades, assim, como as penalidades que a empresa enfrenta em caso de não conformidade.
A depender do porte da empresa e a depender dos tratamentos envolvidos no processamento automatizado de dados pessoais, as empresas no Brasil também devem nomear um responsável pela proteção de dados pessoais, o chamado Encarregado ou DPO (data protection officer). Isso não apenas fornece aconselhamento direcionado, mas também monitora a conformidade com a LGPD na empresa e serve como contato para os Titulares e autoridades de supervisão responsáveis. O Encarregado atua como o primeiro ponto de contato para questões de proteção de dados pessoais, mas não precisa ser empregado na própria empresa.
2. Processos internos
O segundo pilar é adaptar os processos internos que envolvam processamento de dados pessoais aos requisitos da LGPD. A começar revisando a coleta de dados pessoais muitas vezes desnecessários para a realização de determinada atividade da empresa, ou mesmo, que os dados sejam acessados por pessoas que sequer tem relação com o processo realizado. A revisão dos processos internos passa a ser essencial para que a empresa tenha de fato uma boa gerencia sobre os dados coletados e a real necessidade do tratamento. A definição dos processos internos existentes, indicando atribuições e responsabilidades em relação ao tratamento de dados pessoais, política de acesso/autenticação a sistemas e à base de dados pessoais por parte de colaboradores da empresa são sem sombra de dúvidas uma etapa crucial no projeto de adequação.
3. Tecnologia
Embora a LGPD não trate somente de dados digitais, o terceiro pilar da proteção de dados é a tecnologia. Inclui o processamento adequado e seguro dos dados. A segurança do processamento exigido pela LGPD deve ser determinada, entre outras coisas, por uma avaliação objetiva dos dados e seus respectivos riscos. Por conseguinte, deve haver um equilíbrio entre os requisitos de proteção dos dados pessoais e as possíveis medidas de segurança aplicadas. À medida que novas ferramentas de tecnologias são implementadas ou atualizadas nas empresas, é muito importante que essas ferramentas sejam regularmente revisadas e ajustadas. Essa é a única maneira de garantir que a segurança aplicada ao tratamento dos dados permaneça adequada a longo prazo.
Resumindo, Segurança da Informação e LGPD estão entrelaçadas porque estão diretamente ligadas a temas como: gestão de incidentes, tecnologia, melhores práticas de desenvolvimento de softwares, governança de dados, riscos e compliance. Isso possibilita entender sobre criptografia de dados, controle de acessos, criação de camadas de segurança, análises de vulnerabilidade em ambientes, testes de penetração, confidencialidade, integridade e disponibilidade. Todas essas práticas, já presentes em muitas empresas, são reforçadas com a lei.
4. Jurídico
O quarto e último pilar da proteção de dados é o jurídico, esse tem papel fundamental nos projetos de adequação a LGPD, um dos papeis do jurídico é respaldar as atividades de tratamento do Controlador e garantir que estão em conformidade com a LGPD. A LGPD apresenta em seu Artigo 7º as bases legais que permitem o tratamento de dados por parte dos agentes de tratamento, de modo que cada processo envolvendo dados pessoais precisará estar atrelado a pelo menos uma dessas bases. Dessa forma, após o mapeamento dos dados, o jurídico deverá indicar a base legal que será usada para determinado tratamento, indicar o período de retenção recomendado ou a necessidade interromper um tratamento, caso não seja possível associa-lo a uma base legal.
Entre as atividades realizadas pelo jurídico, estão a de elaborar e incluir em novos contratos e aditivar os contratos existentes da empresa a clausulas e previsões a respeito da proteção de dados pessoais. Juntamente com o comitê de compliance da empresa, o jurídico deverá definir as medidas jurídicas exigidas para a contratação de um terceiro, estipular multa, em caso de descumprimento contratual, definir a posição como agente de tratamento de cada uma das partes envolvidas, bem como suas respectivas responsabilidades.
A revisão de contratos é a forma adequada das empresas ajustarem e estarem em conformidade com a Lei Geral de Proteção de Dados. Caso algum parceiro não adote os padrões impostos pela LGPD, poderá ser rediscutida a manutenção ou a extinção do acordo.
Comitê Interno
O comitê de compliance deverá envolver todas as áreas de negócios que realizem tratamento de dados pessoais. O comitê atuará integrando áreas, como TI, Jurídico, Comercial, RH, Finanças, Marketing, formando assim um time multidisciplinar para discutirem e aprovarem juntos as ações a serem implementadas. Esse comitê será responsável pelas avaliações de risco e definição de códigos de conduta conforme as diretrizes da LGPD, atuando de forma a garantir que a empresa esteja operando dentro dos requisitos legais e de modo a atender os princípios impostos pela lei.
Não há confiança sem proteção de dados
Quem quer conquistar e manter a confiança dos clientes em sua empresa tem que atuar fortemente com proteção de dados pessoais. Hoje é considerado um selo de qualidade. Os quatro pilares da proteção de dados, pessoas, processos, tecnologia e juridico, oferecem uma boa orientação para vencer esse desafio com sucesso. As empresas cujos recursos humanos próprios são limitados encontrarão o apoio certo de especialistas externos. Porque as penalidades não são apenas financeiras, mas também podem ser ruins principalmente para a imagem da empresa.
Por isso, deixo uma pergunta para os executivos e gestores: Qual é a prioridade da sua empresa em relação a privacidade e proteção e dados pessoais?
