Tema muito debatido ultimamente, mas ainda complexo para grande parte da população e das empresas, a Lei Geral de Proteção de Dados (Lei 13.708/18), mais conhecida como LGPD foi elaborada a partir do regulamento europeu General Data Protection Regulation (GDPR) e estabelece bases legais para o tratamento de dados pessoais pelas organizações, além de garantir diversos direitos aos titulares dessas informações. Em linhas gerais, as empresas precisarão ter cuidado redobrado com a coleta, o tratamento, o armazenamento e o compartilhamento de dados pessoais de seus clientes. Em caso de algum incidente, as empresas deverão comunicar ao órgão regulador chamado Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e o consumidor terá direito à indenização. As novas regras passam a valer a partir de agosto de 2020.
No início de julho deste ano, o presidente Jair Bolsonaro sancionou, com vetos, a LGPD. As principais alterações foram em trechos que tratam sobre a criação da ANPD, em que os vetos derrubaram as punições que a Agência poderia aplicar em caso de violação da LGPD; a necessidade de uma revisão de dados, anteriormente sendo realizada apenas por uma pessoa e que agora passa a ser feita por meio de um sistema automatizado, com base em algoritmos; a necessidade de conhecimento jurídico do Encarregado de Dados; e a inclusão do parágrafo que veda a utilização dos dados para indicar banco de riscos na contratação ou exclusão de benefícios de planos de saúde.
Ainda se discute até que ponto vai a regulação, quais são os critérios e cenários de maior exposição de negócios e todos os fatores que não são transparentes para as empresas, mas a verdade é que a Lei sancionada acabou eliminando pontos bem preocupantes para os líderes das empresas, e sua implementação tende a ser facilitada em meio a um prazo considerado curto.
O que essa nova legislação acarreta para as empresas? Os pensamentos se dividem em dois lados: de um, a oportunidade de crescimento que a LGPD pode representar para as organizações, uma vez que certa vantagem competitiva no uso desses dados de forma ética e considerando boas práticas de proteção e privacidade de seus titulares podem aumentara confiança dos atuais e potenciais clientes e colaboradores. E, por outro lado, a pressão regulatória que a Lei trará, já que exigirá esforços consideráveis para o controle de qualidade quanto ao tratamento dos dados pessoais e aumento da responsabilidade nas medidas organizacionais para gestão do risco cibernético na proteção desses dados.
Como especialista na área de risco cibernético, tenho notado uma demanda crescente por parte das empresas para entender os benefícios e desafios que a Lei trará e os aprimoramentos técnicos que deverão ser implementados interna e externamente, como processos eficientes de atendimento aos direitos dos titulares, um programa sustentável de inteligência e segurança da informação. A pouca atenção dada para a privacidade e segurança das informações ganhou destaque e a necessidade de um cuidado maior surgiu com o avanço tecnológico crescente. Com o aumento significativo do volume de informações digitais, a área de segurança cibernética se tornou indispensável para as empresas e estas precisam estar preparadas a fim de evitar as ameaças cibernéticas que evoluem também em grande velocidade, colocando em risco a reputação de organizações
As empresas já possuem inúmeras práticas de compliance, mas necessitam fazer uma jornada integrada, dessa vez, visando também a legislação e não só os negócios. Este momento está apresentando o "Desafio dos dados" para as organizações, que sempre existiu, mas agora ganha prioridade, por isso costumamos dividir esse desafio em quatro áreas de atuação, que se conectam em ciclo: a Governança de Dados, onde deve haver a precisão e integridade das entradas, análises e relatórios, assim como implicações legais da utilização dos dados e mapeamento dos mesmos; a Privacidade dos dados, que se resume na transparência do uso, no inventário, na governança regulatória e no gerenciamento de consentimento dessas informações pessoais; a Proteção de dados, que abrange a confidencialidade, a proteção em todo o seu ciclo de vida e o gerenciamento de riscos de terceiros quanto aos dados pessoais; e os Relatórios e a análise de dados, que consiste no uso das informações de forma ética e com fins puramente analíticos, assim como a apuração da confiabilidade dos dados e o formato de relatórios.
Entendida a primeira etapa, outros fatores são importantes para o sucesso na implementação das regras da LGPD aos negócios, tais como saber endereçar a Lei nas diversas camadas da empresa, utilizando um framework de privacidade, que tem como principal objetivo resolver as questões recorrentes do uso de dados com uma abordagem ampla, permitindo o foco na resolução do problema em si, se utilizando de tecnologia para manter a visibilidade necessária sobre os dados e opiniões jurídicas sobre os fluxos de tratamento de dados. E, complementando a linha de procedimentos, elaborar e manter um cronograma claro de organização do programa de privacidade (ações, esforços e prioridades a serem traçadas nas diversas camadas).
O esforço é grande, mas o maior desafio das organizações é entender como conseguir se aproveitar do que já fazem para atender às demandas. O ponto principal é a confiança do cliente e a prioridade em obter um sistema transparente. Espelhados nas lições aprendidas com a GDPR, já em funcionamento na Europa, o primeiro passo é garantir uma melhoria da segurança cibernética, seguida do aprimoramento das capacidades de gerenciamento de dados, disponibilização dos direitos dos titulares e remediação de processos e sistemas e direcionamento de comunicação clara aos titulares dos dados, ,que certamente serão responsáveis pela manutenção ou construção da confiança dos clientes.
As organizações com maior chance de sucesso para se adequar à LGPD serão aquelas que conseguirem organizar a dinâmica de trabalho e priorizar os passos citados acima. Não deixar para depois significa dominar o assunto e as estratégias que levarão as empresas ao êxito nas implementações regulatórias, técnicas e operacionais e garantirem sucesso com a LGPD.
José Pela Neto, sócio da prática de Cyber Risk da Deloitte.