Em 14 de agosto de 2018 foi publicada a Lei 13.709/2018 – LGPD – Lei Geral de Proteção de Dados, que dispõe sobre o tratamento de dados pessoais. Muito já foi escrito (verdades, meias verdades e não verdades) e gostaria de comunicar seis verdades objetivas para os CEOs que eles obrigatoriamente devem saber.
- Existe uma Lei
Existe uma lei com todas as implicações e responsabilidades e portanto o CEO é o primeiro responsável por garantir o seu cumprimento. Sem choro nem vela!
Muitos procedimentos que antes eram antiéticos mas não eram ilegais, agora são ilegais.
- É uma lei globalizada
Em um mundo globalizado, onde pequenas empresas ou startups já fazem parte da cadeia operacional de negócios de grandes corporações de vários países, se a organização pretende sobreviver e ter clientes e parceiros no mundo, deve cumprir a lei.
- O Dado Pessoal pertence ao Titular – Não pertence à organização
O sentimento e a prática histórica que os dados são da organização passou. O Dado Pessoal é da Pessoa Titular.
- Para tratar o Dado Pessoal a Organização tem que ter uma Referência (Base) Legal.
Não basta querer utilizar honestamente o Dado Pessoal. Tem que explicitar qual Base Legal permite o uso do mesmo. São Dez tipos de Base Legal:
4.1. Consentimento do Titular.
4.2. Cumprimento de obrigação legal.
4.3. Execução de Política Pública.
4.4. Execução de contrato
4.5. Exercício regular do direito
4.6. Proteção da vida.
4.7. Tutela de saúde
4.8. Atividade acadêmica
4.9. Proteção do crédito
4.10. Legítimo interesse
- Princípio da Finalidade
Se um dado pessoal foi definido para uma finalidade de tratamento, não pode ser utilizado para outra finalidade.
- Responsabilidade solidária
Ao interagir com parceiros, fornecendo ou recebendo, dados pessoais a empresa será solidária na responsabilização sobre a coleta e uso de dados pessoais. Não adianta terceirizar o trabalho sujo.
- Crescimento de exigências de Comunicação de Incidentes
Praticamente todo tipo de empresa ou clientes da empresa, está subordinada a uma regulamentação legal ou setorial que exige comunicação ao Conselho de Administração e/ou Relatórios de Conformidade, quando de situações de incidentes no tratamento de dados pessoais.
- Para sua segurança tenha um Gestor de Segurança da Informação
A conformidade com a LGPD é multidisciplinar. Para suportar o tratamento seguro de dados pessoais é fundamental uma Gestão de Segurança da Informação, que somente tem chances de acontecer na sua plenitude com um Gestor de Segurança da Informação com autonomia e subordinação direta ao CEO.
CONCLUSÃO
O CEO precisa determinar a existência da Gestão da Segurança da Informação e Proteção da Privacidade. Deve aprovar recursos adequados com a organização e deve receber relatórios formais de como está a Maturidade da organização nestes aspectos.
Desde há poucos anos, segurança da informação e proteção de dados pessoais é assunto que chegou à mesa do Corpo Diretivo.
Edison Fontes, CISM, CISA, CRISC, Ms.
