LGPD: Desafios e oportunidades – Por Leonardo Moraes

24

OUTUBRO, 2019

Notícias

A Lei Geral de Proteção de Dados Pessoais, popularmente conhecida como LGPD, estabelece princípios e bases legais para o tratamento de dados pessoais pelas organizações, além de garantir diversos direitos aos titulares dessas informações.

O conceito de dados pessoais está definido na Lei como “informação relacionada a pessoa natural identificada ou identificável”. Assim, qualquer solicitação para realização de um cadastrado ou simplesmente a solicitação de seu CPF no momento de uma compra, deverá estar suportada de uma informação clara e não viciada em relação a finalidade de uso dos dados suportada por uma base legal que suporte o tratamento dessa informação. Logo, as empresas precisarão ter cuidado redobrado com a coleta, o tratamento, o armazenamento e o compartilhamento de qualquer natureza de dados pessoais, a exemplo de dados de clientes.

Em caso de algum incidente, as empresas deverão comunicar ao órgão regulador chamado Autoridade Nacional de Proteção de Dados Pessoais (ANPD), devendo a ANPD apurar e aplicar sanções administrativas definidas na Lei, se confirmada a infração.

A ANPD será responsável por conceder diretrizes por meio de normas e procedimentos sobre proteção de dados pessoais, fiscalizar a aplicação de sanções e promover ações articuladas com o Sistema Nacional de Defesa do Consumidor, Agências Reguladoras e com os demais órgãos e entidades estatais cujas competências sejam relacionadas ao tema.

Numa economia baseada em dados, as empresas que conseguirem demonstrar para todo o ecossistema de negócios o uso dos dados de forma transparente e ética considerando boas práticas de proteção e privacidade, poderão ter uma vantagem competitiva reconhecida no mercado, seja pelo aumento do grau de confiança de seus clientes ou até mesmo pela atração de profissionais que desejam trabalhar em sua empresa.

Por outro lado, a pressão regulatória trazida pela Lei exigirá esforços consideráveis para o controle de qualidade quanto ao tratamento dos dados pessoais e aumento da responsabilidade nas medidas organizacionais para gestão do risco cibernético na proteção desses dados.

Como especialista na área de risco cibernético, não poderia deixar de mencionar uma demanda crescente por parte das empresas para entender os benefícios e desafios que a Lei trará e os aprimoramentos técnicos que deverão ser implementados interna e externamente, a exemplo de um programa sustentável de inteligência e segurança da informação.

Boas práticas de segurança da informação podem ser implementadas por empresas de qualquer porte, pois ações como avaliação e restrição de acesso a sistemas que armazenam dados pessoais, uso de softwares antivírus sempre atualizados e disseminação de uma cultura de segurança para seus colaboradores são alguns exemplos de atividades que contribuirão positivamente para a redução do nível de exposição ao risco de vazamento de informações.

Com o aumento significativo do volume de informações digitais, a área de segurança cibernética se tornou indispensável para as empresas e estas precisam estar preparadas a fim de evitar as ameaças cibernéticas que evoluem também em grande velocidade, colocando em risco a reputação de organizações.

Os primeiros passos que empresas de qualquer porte deve seguir para início de uma jornada para implementação de um programa de privacidade são: i) levantamento dos dados pessoais e entendimentos dos fluxos de informação; ii) entendimento dos impactos da Lei no negócio; iii) disseminação do conceito de privacidade na empresa, com iniciativas de treinamento e conscientização; e iv) avaliação de conformidade com a Lei e avaliação das bases legais que suportam o tratamento de dados pessoais e desenvolvimento de um plano de implementação prático. Essas atividades devem ser detalhadas e customizadas dependendo do contexto e negócio das organizações e do nível de maturidade nas práticas de compliance.

Nesse contexto, sabemos da complexidade e esforço envolvido. O maior desafio das organizações é entender como conseguir se aproveitar do que já fazem para atender às demandas. O ponto principal é a confiança do cliente e a prioridade em obter um sistema transparente. Espelhados nas lições aprendidas com a GDPR (Regulamento Geral sobre Proteção de Dados para a união europeia), já em funcionamento na Europa, o primeiro passo é garantir uma melhoria da segurança cibernética, seguida do aprimoramento das capacidades de gerenciamento de dados, disponibilização dos direitos dos titulares e remediação de processos e sistemas e direcionamento de comunicação clara aos titulares dos dados, que certamente serão responsáveis pela manutenção ou construção da confiança dos clientes.

A mensagem é que todos precisam se movimentar e iniciar as iniciativas de implementação de um programa de privacidade. As organizações com maior chance de sucesso para se adequar à LGPD serão aquelas que conseguirem organizar a dinâmica de trabalho e priorizar os passos citados acima. Não deixar para depois significa, não apenas demonstrar um diferencial competitiva ratificado por conformidade regulatória e consequente sucesso com a LGPD.

__________________________________________________________
Leonardo Queiroz Moraes
Diretor da Risk Advisory
Deloitte Consultores

 

Veja também: