4 medidas para sua empresa se adequar à Lei Geral de Proteção de Dados

Por Robert Half 12 de setembro de 2018

*Por Maurício Fiss

Após dois anos de trabalho da Comissão Especial de Tratamento e Proteção de Dados Pessoais, o presidente Michel Temer sancionou, no início de agosto, a Lei Geral de Proteção de Dados. Agora, empresas e instituições públicas deverão seguir regras para coletar e tratar dados pessoais de cadastro, ou até mesmo textos e fotos publicados em redes sociais. A nova regulamentação entrará em vigor somente depois de um período de transição de 18 meses, mas empresas e usuários, desde já, passam a ser impactados.

Entenda a LGPD

As medidas valem para organizações que realizam operações de tratamento no Brasil ou a partir de coleta de dados feita no país por companhias brasileiras ou estrangeiras. A norma também abrange empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui. Todavia, é permitida a transferência internacional de dados, desde que o país de destino tenha nível de proteção compatível ou quando for possível comprovar, como, por exemplo, por meio de contrato, a efetividade da segurança nas mesmas condições exigidas pela lei brasileira.

Com as mudanças, para coletar e tratar um dado pessoal, qualquer empresa ou ente precisará solicitar o consentimento do titular de forma clara, em cláusula específica. A permissão dada por alguém, entretanto, pode ser revogada se o titular assim desejar. Outra obrigação é a garantia da segurança das informações, de modo a impedir acessos não autorizados e vazamentos.

Dada a complexidade das organizações, sistemas e ecossistemas de parceiros e terceiros, a correta proteção de dados exigirá das empresas brasileiras que trabalham com dados pessoais a adequação em diferentes aspectos e níveis, que vão desde a cultura, políticas e procedimentos à implementação de tecnologias de ponta, para garantir a segurança e evitar problemas de ordem jurídica e financeira.

Caso seja constatada alguma irregularidade, a companhia pode vir a receber uma série de sanções, entre as quais está prevista a multa diária de até 2% do faturamento, com limite de R$ 50 milhões, assim como o bloqueio ou eliminação de dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento.

Assim como ocorreu a partir da promulgação da lei europeia de proteção de dados, a GDPR (do inglês, General Data Protection Regulation), que impulsionou a aprovação da lei brasileira, espera-se uma grande demanda por parte dos usuários por privacidade, exigindo que as empresas tenham capacidade para responder e se adequar rapidamente.

Como se preparar para a LGPD

Para tanto, é fundamental o investimento em novas soluções, como sistemas de avaliação de riscos de terceiros, gestão de dados, mascaramento de dados, portais seguros de transferência de dados, bancos de dados seguros e de alta volumetria, gestão de identidade de consumidores e clientes, além da adoção de práticas e arquiteturas tecnológicas que considerem a proteção de dados por padrão (“security by design”), por exemplo, a encriptação nativa de dados pessoais quando forem coletados, a guarda segura destes dados em ambientes controlados e seguros, e o acesso controlado dos dados por meios seguros.

4 etapas fundamentais que as empresas devem seguir

Para atender a estes desafios e atuar em conformidade na proteção de dados, é recomendável que as empresas sigam quatro etapas fundamentais:

  1. Descubra: identifique e realize o inventário de dados pessoais, incluindo sua classificação, quem controla, quem processa e como são transferidas;

  1. Gerencie: avalie o nível de proteção de dados em todos os envolvidos, sejam próprios ou terceiros;

  1. Proteja: defina e implante soluções, políticas e governança de dados em toda a organização;

  1. Monitore: controle e audite continuamente o nível de proteção, assim como avalie constantemente possíveis vazamentos internamente e externamente.

Diante da atual força da economia digital, a Lei Geral de Proteção de Dados é um passo evoluído do Brasil no tratamento, confidencialidade e segurança de dados. O país se iguala a mais de 100 que já possuem normas sobre o assunto, alterando o cotidiano de usuários, empresas e Poder Público. O momento agora é de adequação por parte das empresas brasileiras, afinal, é sempre melhor prevenir do que remediar.

*Mauricio Fiss é sócio-diretor da área de tecnologia da Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna.

Veja também: O guia C-suite para GDPR: o que você precisa saber (em inglês)

Quer receber mais conteúdos como este?

Se você gostou deste post, assine nossa Newsletter para receber mensalmente artigos relacionados à dicas de carreira, recrutamento e mercado de trabalho.

More From the Blog...