A LGPD está em vigor. Sua empresa já está adequada?

Por Luiz Felipe Ferreira

Desde o mês passado, a Lei Geral de Proteção de Dados (LGPD) está em vigor. Trata-se de uma lei federal que regula o tratamento dos dados pessoais por empresas públicas e privadas, trazendo mudanças na coleta, no uso e no armazenamento dos dados, visando proteger a privacidade dos indivíduos.

O tema ganhou destaque nos últimos anos após diversas divulgações de vazamento de dados por empresas, onde milhares (em alguns casos milhões) de dados pessoais foram indevidamente disponibilizados na internet. Além dos casos no exterior, diversos casos também ocorreram no Brasil.

Os Dados Pessoais

A LGPD considera que um dado pessoal é qualquer informação ou conjunto de informações combinadas que permitem a identificação de uma pessoa natural. Portanto, informações como nome completo, CPF, RG, endereço e outros passam agora a estar sob o escopo da lei e precisam ser protegidas contra violações de dados, sejam elas intencionais ou não.

A lei ainda cita uma categoria especial, chamada dado pessoal sensível, referente a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Nesta categoria, além da identificação, há a possibilidade de haver discriminação do indivíduo.

Os Dados Biométricos

No mercado de segurança, o uso de dados biométricos vem aumentando a cada ano, principalmente pelas vantagens na autenticação de sistemas e também pela comodidade.

Sabemos que existem diversos tipos de biometria, sendo os mais comuns a facial, a impressão digital e a voz. E que são muito utilizados na monitoração de ambientes.

O artigo 11 da LGPD exige que o tratamento de dados pessoais sensíveis (como a biometria) somente poderá ocorrer quando houver o consentimento do titular dos dados ou o responsável legal.

Quando não houver o consentimento, poderá ocorrer em alguns casos como o cumprimento de obrigação legal ou regulatória, realização de estudos por órgão de pesquisa, proteção da vida, tutela da saúde, tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos e na garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Pode ser necessário rever os processos internos para garantir que o tratamento de dados pessoais está sendo realizado em conformidade com a lei.

Violação de Dados

A Lei Geral de Proteção de Dados visa proteger os indivíduos da exposição dos seus dados devido a uma violação dos mesmos, uma consequência de um incidente de segurança da informação, intencional ou não.

O Brasil aparece nas primeiras posições dos países que mais sofrem ataques cibernéticos. Os criminosos brasileiros são conhecidos por sua criatividade e tem a seu favor uma legislação frágil em termos de punição e muitas empresas com baixo nível de maturidade nos controles de segurança.

A lei exige a utilização de utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais, prevenir a ocorrência de danos em virtude do tratamento de dados pessoais e também a demonstração que tais medidas são eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. O descumprimento dessas medidas poderá resultar em sanções de até 50 milhões de reais, além do dano de imagem e perda da confiança dos clientes.

Como a empresa deve se adequar?

A adequação a LGPD é uma jornada com diversos passos. Dependendo do tamanho da empresa, talvez seja necessária a contratação de um profissional especializado, conhecido como Encarregado de Proteção de Dados que deve possuir conhecimentos do regulatório, tecnologia e segurança ou de uma consultoria externa para ajudar no que deve ser feito.

É fundamental identificar quais os dados pessoais que são coletados para os seus principais processos de negócio. Em seguida, mapear e classificar os dados pessoais na sua empresa, verificando a segurança aplicada especialmente no armazenamento e se há o consentimento atrelado. Em seguida, inicie uma análise de riscos de segurança e privacidade.

Com isso, trace um plano de ação (cronograma) para realizar as alterações necessárias. Cada processo de negócio deve possuir uma base legal que permita o tratamento de dados pessoais.

E não menos importante, esteja preparado para responder a uma violação de dados. Trata-se de um processo cíclico, de constante evolução.

Treinamento e Conscientização

A última dica é o treinamento e conscientização do tema em todos os níveis. Lembre-se que mesmo em pequenas empresas, há dados pessoais minimamente no setor de recursos humanos e em muitos casos, são os funcionários (e não sistemas) que manipulam dados pessoais, portanto eles devem conhecer a LGPD, boas práticas de segurança da informação e saber quais os riscos e impactos no caso de uma violação de dados.

Implementando uma cultura de privacidade e proteção de dados na sua empresa, os novos projetos nascerão com a preocupação de adequação com a lei, trazendo economia de tempo e dinheiro, além do aumento da confiança dos seus clientes.

Afinal, todos nós somos titulares de dados!

Luiz Felipe Ferreira
Data Protection Product Owner no Itaú Unibanco.