Empresas precisam estabelecer governança de dados
A Lei Geral de Proteção de Dados Pessoais estabelece responsabilidades e multas em caso de vazamento
Sancionada em agosto deste ano, a Lei Geral de Proteção de Dados Pessoais (LGPDP) entrará em vigor a partir de fevereiro de 2020 e exigirá de todas as empresas, privadas e públicas, a elaboração de um plano de governança de dados. As organizações devem estabelecer um planejamento de como essas informações pessoais serão gerenciadas, com procedimentos, normas de segurança, treinamentos, mitigação de riscos e responsabilidades durante todo o período que esses dados estiverem de posse da empresa.
Um dos pilares da lei é o consentimento. O uso de qualquer dado pessoal deve ser autorizado pelo usuário, desde a coleta até o armazenamento e tratamento para qualquer finalidade - incluindo o compartilhamento com terceiros. O usuário pode pedir retificação, cancelamento ou exclusão desses dados a qualquer momento. “Muitos modelos de negócio deverão ser revistos ou se adequar quando a lei entrar em vigor”, alerta Leonardo Palhares, advogado e presidente da Câmara Brasileira de Comércio Eletrônico durante webinar, realizado em 10 de dezembro pelo IBGC.
A notificação sobre qualquer incidente passa a ser obrigatória, especialmente em vazamentos de informações. Esses casos são rotina na imprensa. No final de novembro, a rede de hotéis Marriot informou que dados de até 500 milhões de clientes podem ter sido comprometidos por ação de hackers. “Ao que parece, o vazamento teve origem por questão de governança”, comenta Palhares. Segundo sua análise, informações vazadas não precisariam estar nos bancos de dados da companhia, pois já poderiam ter sido deletados. “Se houver um controle efetivo de eliminação de dados os riscos diminuem”, afirma.
De acordo com Palhares, pesquisas realizadas por empresas de segurança cibernética revelam que 80% dos vazamentos não tem origem em problemas tecnológicos, mas são consequências de falhas comportamentais. “Isso reforça a necessidade de regras de governança, treinamento e políticas de privacidade bem estabelecidas”, explica.
A LGPDP estabelece advertências e multas que variam de 2% do faturamento da empresa, podendo chegar a R$ 50 milhões por infração, com possibilidade de multas diárias. A fiscalização é feita pela entidade reguladora, a Agência Nacional de Proteção de Dados Pessoais (ANPD).
“A questão humana é primordial e preponderante para sucesso de implementação da governança de dados”, diz Isis Oliveira, advogada e membro da comissão jurídica do IBGC. Ela destaca a importância da cultura organizacional para que toda a companhia esteja alinhada e saiba o que fazer em uma crise.
Isis ressalta quatro fatores fundamentais na gestão de dados pelas empresas: comprometimento da alta direção e criação de cultura; sistemas de proteção de dados pessoais e segurança cibernética; revisão de procedimentos e treinamentos contínuos de pessoas; e plano de gestão de crise. “Mesmo fazendo tudo certo, algo pode acontecer. É preciso estar preparado”, recomenda a advogada.
Outro ponto é a definição das funções do Data Protection Officer (DPO), cargo estabelecido pela LGPDP. Esse profissional será responsável pela proteção dos dados, pelo cumprimento da nova lei e contato com a autoridade reguladora. “Empresas menores não deverão ter áreas específicas para proteção de dados, talvez aloquem o comitê de segurança da informação no departamento jurídico ou no compliance. Porém, a pessoa precisa estar identificada”, diz Isis.
A Lei de Proteção de Dados Pessoais não faz distinção do tamanho da organização. Toda empresa que tem operações no território nacional está sujeita às regras da nova lei, incluindo terceiro setor e governos. Empresas multinacionais que fazem transferência de dados para fora do Brasil também terão que ter consentimento do titular da informação para fazer essa operação. A lei só permite a transferência internacional de dados apenas para países que possuem nível adequado de proteção.
Leonardo Leite, advogado e membro da comissão jurídica do IBGC, ressalta que tudo é dado. Além de nome, RG, CPF e informações do seu perfil nas redes sociais, trajetos monitorados por aplicativos e programas de fidelidade que mapeiam hábitos de consumo também são considerados dados pessoais. “Muitas vezes não percebemos que estamos fornecendo dados”, alerta Leite.
