Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados Pessoais, ou LGPD (Lei nº 13.709), que versa sobre o tratamento e proteção de dados pessoais, já completou dois anos em vigor. Aplicada a qualquer pessoa física ou jurídica de direito público ou privado que realize qualquer tipo de operação com dados de pessoa natural, como coleta, produção, recepção, arquivamento, armazenamento, entre outros, esta lei prevê sanções que vão desde advertências até a aplicação de multas – que podem ir de 2% do faturamento a até R$ 50 milhões, no caso do não cumprimento da norma.
A baixa adesão de empresas que cumprem o regulamento, no entanto, mostra que esse é um tema que ainda precisa ser mais disseminado. Segundo a pesquisa divulgada pelo Comitê Gestor da Internet no Brasil (CGI.br), apenas 32% delas desenvolveram uma política de privacidade que informa como os dados pessoais são tratados; 29% criaram política de uso de dados pessoais de funcionários e apenas 28% fizeram alterações em contratos vigentes para adequação à LGPD. Na área pública, o cenário não é muito diferente: entre os órgãos federais e estaduais, 41% não têm pessoa ou área responsável pela implementação da Lei.
Algumas empresas têm maior dificuldade de implementar a LGPD pela própria complexidade de seu fluxo de tratamento de dados pessoais. Para resolver isso, é interessante contar com um assessoramento adequado na área de tecnologia da informação (TI). Não basta encarar o cumprimento da norma como uma imposição para a proteção dos dados pessoais, é preciso pensar em segurança digital como um todo, de forma que as informações da empresa não fiquem vulneráveis a ciberataques, garantindo, assim, a proteção do negócio.
Entre os tipos de empresas em que a LGPD é mais difícil de ser atendida, acredito que estão as empresas de call center, as corretoras de seguros e os cartórios. Em comum, elas manipulam um grande fluxo de dados pessoais. Considero que a LGPD impacta na gestão de dados pessoais da seguinte forma nestes tipos de organizações:
Call Centers: Estas empresas coletam os dados dos consumidores, realizam ou atualizam cadastros e oferecem serviços por meio de contatos telefônicos. Todo call center deve garantir, através da LGPD, que os dados pessoais de terceiros não serão expostos no atendimento ou durante as diversas etapas dos serviços prestados. Durante o processo, uma das principais exigências da norma é que a empresa seja transparente sobre qual a finalidade do uso dos dados pessoais durante o atendimento.
Corretoras de Seguros: Parceiras das seguradoras, as corretoras de seguros trabalham de forma pessoal com as suas carteiras de clientes, e precisam manipular e/ou armazenar os dados pessoais de forma segura, sem permitir que eles fiquem 'jogados no sistema'. Com a adesão do Open Finance, instituído pelo Banco Central do Brasil, que autoriza o compartilhamento padronizado de dados e serviços por meio de abertura e integração de sistemas entre instituições financeiras e de pagamentos, o acesso às informações cadastrais dos clientes devem atender às regras da LGPD. As regras para o compartilhamento das informações, neste caso, exigem o consentimento dos titulares, que devem concordar com o tratamento de seus dados pessoais para finalidades determinadas.
Cartórios: O Provimento n.134/2022 da Corregedoria Nacional de Justiça definiu os critérios técnicos e procedimentos que devem ser adotados no que se refere à gestão de dados pessoais, estabelecendo que os cartórios de todo o país têm 180 dias após a publicação (feita em 24 de agosto) para se adequarem à Lei Geral de Proteção de Dados Pessoais. O provimento fala sobre uma série de ações imediatas que os cartórios precisam adotar para consolidar a cultura de proteção de dados pessoais, como o mapeamento das atividades de tratamento, a adoção de medidas de transparência aos usuários sobre o tratamento de dados pessoais, a criação de procedimentos eficazes para atendimento aos direitos dos titulares, entre outros.
Como se adaptar à Lei?
Antes mesmo de adotar boas práticas e medidas técnicas para proteger os dados pessoais de acessos não autorizados, perdas ilícitas ou tratamentos inadequados, é fundamental descobrir qual caminho cada empresa deve seguir para garantir a segurança das informações.
Não existe uma solução fechada. O que recomendamos é entender qual a situação da empresa no momento, conhecer o fluxo que os dados percorrem, descobrir quais ficam expostos, por exemplo, na Internet, mapear as soluções que a empresa oferece, e através do diagnóstico da TI, propor uma solução personalizada para cada cliente.
Pra se adaptar à norma, o ponto estratégico é promover uma mudança de cultura interna para tratar a cibersegurança dentro da companhia. Nesse sentido, investir em segurança da informação, além de garantir que a empresa atenda às regras estabelecidas pela LGPD e outras normas similares, assegura que a companhia não fique vulnerável aos ataques de ransomware, por exemplo, impedindo o sequestro de informações.
A migração para a nuvem oferece para as empresas uma opção mais flexível para o tratamento de dados pessoais, com camadas de segurança além daquelas que uma infraestrutura interna é capaz de oferecer. A implementação de software como o CRM ajuda a empresa a lidar melhor com a gestão das informações dos seus clientes internos e externos, e a conferir a segurança dos dados. Em todo caso, o mais importante é estabelecer um plano estratégico para alcançar a segurança das informações e, assim, evitar prejuízos ao negócio.
Walter Ezequiel Troncoso, CEO da Inove Solutions.