A Lei Geral de Proteção de Dados segue gerando dúvidas para gestores de negócio, tecnologia e segurança da informação do Brasil em especial quanto à sua efetiva vigência.
A Medida Provisória 959/2020 editada em abril definiu que a LGPD entra em vigor em 3 de maio de 2021. Apesar disso, recentemente, o Senado aprovou um outro Projeto de Lei 1.179/20 que prorroga a aplicação de sanções decorrentes da lei para agosto de 2021.
Antes de ser acatado, esse PL ainda precisa passar pela avaliação presidencial. Ou seja, ainda não se sabe se a aplicação das penalidades passará a valer em maio, agosto de 2021 ou se em uma possível reviravolta, a MP cai, a lei não é aprovada, retomando tudo ao status anterior.
Apesar da incerteza da situação, é certo que, cedo ou tarde, a LGPD vai entrar em vigor.
Por isso, o conselho é para que as empresas deem sequência aos seus processos de adequação às boas práticas de segurança da informação e privacidade dos dados. Essa é uma necessidade do negócio, uma tendência mundial.
O perfil dos clientes, consumidores e parceiros comerciais vêm mudando a cada dia e cada vez menos pessoas e empresas estão dispostas a compartilhar dados com quem não confiam. O respeito pela privacidade deve ser um valor para qualquer organização.
É importante considerar também que sempre é tempo de promover melhorias na operação, principalmente quando há a oportunidade de estar em compliance e ao mesmo tempo agregar valor ao negócio.
Enquanto o destino da lei não é definido, as empresas podem se preparar a partir de 4 perspectivas fundamentais:
1. Infraestrutura de segurança
Não adianta inserir uma cultura de privacidade na empresa sem ter medidas básicas de segurança da informação que impeçam incidentes e vazamentos.
O primeiro passo para alcançar esse objetivo é blindar os dados reavaliando a infraestrutura de TI e identificando onde estão os gaps de segurança. Nesse sentido, existe uma série de instrumentos que norteiam as empresas quanto a adoção de boas práticas.
2. Mapeamento das informações em poder da empresa
Com as chances de incidentes reduzidas, é hora de olhar para o detalhe das informações, identificando quais são os dados que estão em poder da companhia.
Nessa fase, minha recomendação é que seja utilizado um data mapping. Por meio dele, será possível entender quais dados sua empresa detém, quais são realmente necessários manter, onde eles estão alocados dentro da infraestrutura de TI e com quem essas informações são compartilhadas.
3. Governança dos dados
Com as informações mapeadas e protegidas, é hora de transportá-las para uma ferramenta de Governança de Privacidade.
Quando bem configurada e alimentada como parte da cultura do negócio, essa solução tem capacidade de mostrar todos os processos relacionados ao tratamento de dados.
Por exemplo, digamos que minha empresa utilize os dados dos colaboradores para rodar a folha de pagamento e compartilhe essas informações com o banco, o escritório contábil e a alguma empresa de benefícios.
A ferramenta de Governança mapeia todo esse fluxo, enviando para os terceiros um link com os acordos de confidencialidade, incluindo os relacionados a LGPD. É uma forma segura de ter visibilidade dos riscos relacionados ao processamento de dados e, assim, tomar as melhores decisões de mitigação ou aceitação.
4. Conscientização
Muito mais do que atender a uma lei, a proteção de dados deve fazer parte da cultura da empresa.
É fundamental dedicar tempo e esforço para um treinamento de conscientização dos profissionais de todos os níveis hierárquicos. Explique o cenário de privacidade no mundo, a evolução das leis, as expectativas dos titulares de dados, as diferenças entre dados pessoais e sensíveis e as permissões e proibições para tratar um dado, além das responsabilidades de cada um no todo do projeto. Cada colaborador deve se tornar um guardião dos dados pessoais em sua organização.
Penso que devemos adotar as boas práticas impostas pela LGPD por razões que vão muito além da aplicação de penalidades ou da preocupação de quando essa lei irá entrar em vigor.
As ações devem ser pautadas pela missão das companhias de atender a expectativa justa dos clientes, que desejam ter a sua privacidade respeitada imediatamente.
Simone Santinato, DPO da Etek NovaRed Brasil.