Quatro medidas para sua empresa se adequar à Lei Geral de Proteção de Dados

*Por Maurício Fiss

O plenário do Senado aprovou há duas semanas, a Lei Geral de Proteção de Dados pessoais, que tramitava como Projeto de Lei da Câmara 53/2018. A lei disciplina a forma como informações são coletadas e tratadas, especialmente em meios digitais, como dados pessoais de cadastro ou até mesmo textos e fotos publicados em redes sociais.
O projeto abrange as operações de tratamento realizadas no Brasil ou a partir de coleta de dados feita no país por empresas brasileiras ou estrangeiras. A norma também vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui. Também é permitida a transferência internacional de dados, desde que o país de destino tenha nível de proteção compatível ou quando a empresa comprovar que garante as mesmas condições exigidas pela Lei, como por exemplo, por meio de contrato.
Com a aprovação da lei, para coletar e tratar um dado, uma empresa ou ente precisa solicitar o consentimento do titular de forma clara, em cláusula específica. A permissão dada por alguém, entretanto, pode ser revogada se o titular assim desejar. Outra obrigação é a garantia da segurança dos dados, de modo a impedir acessos não autorizados e vazamentos.
Dada a complexidade das organizações, de seus sistemas e de seus ecossistemas de parceiros e de terceiros, a correta proteção de dados exigirá das organizações brasileiras que trabalham com dados pessoais a adequação em diferentes aspectos e níveis, que vão desde a cultura, políticas e procedimentos à implementação de tecnologias de ponta, para garantir a segurança e evitar multas e sanções.
Caso seja constatada alguma irregularidade, a empresa pode receber uma série de sanções, entre as quais está prevista a multa diária de até 2% do faturamento, com limite de R$ 50 milhões, assim como o bloqueio ou eliminação de dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento.
Assim como ocorreu a partir da promulgação da lei europeia de proteção de dados, a GDPR (do inglês, General Data Protection Regulation), que impulsionou a aprovação da lei brasileira, espera-se uma grande demanda por parte dos usuários por privacidade, exigindo que as empresas tenham capacidade para responder e se adequar rapidamente.
Será necessário o investimento em novas soluções como sistemas de avaliação de riscos de terceiros, gestão de dados, mascaramento de dados, portais seguros de transferência de dados, bancos de dados seguros e de alta volumetria, gestão de identidade de consumidores e clientes, além da adoção de práticas e arquiteturas tecnológicas que considerem a proteção de dados por padrão (“security by design”) como, por exemplo, a encriptação nativa de dados pessoais quando forem coletados, a guarda segura destes dados em ambientes controlados e seguros, e o acesso controlado dos dados por meios seguros.
Para atender a estes desafios e atuar em conformidade na proteção de dados, é recomendável que as empresas sigam quatro etapas fundamentais: (I) Descubra: identifique e realize o inventário de dados pessoais, incluindo sua classificação, quem controla, quem a processa e como são transferidas;
(II) Gerencie: avalie o nível de proteção de dados em todos os envolvidos, sejam próprios ou terceiros;
(III) Proteja: defina e implante soluções, políticas e governança de dados em toda a organização;
(IV) Monitore: controle e audite continuamente o nível de proteção, assim como avalie constantemente possíveis vazamentos internamente e externamente.
Diante da atual força da economia digital, o projeto, que agora vai para a sanção do presidente Michel Temer, é um passo evoluído do Brasil no tratamento, confidencialidade e segurança de dados, juntamente com outros países que já possuem legislação sobre o tema. A hora é de adequação nas empresas brasileiras, afinal, é sempre melhor prevenir do que remediar.

* Mauricio Fiss é sócio-diretor da área de tecnologia da Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna.

Sobre a Protiviti (www.protiviti.com)

A Protiviti é uma empresa global de consultoria que ajuda empresas a resolverem problemas em finanças, tecnologia, operações, governança, risco e auditoria interna. A companhia presta serviços para mais de 60% das empresas da Fortune 1000® e 35% da Fortune Global 500®.

A Protiviti e suas firmas membro independentes prestam serviços aos clientes por meio de uma rede de mais de 70 escritórios em mais de 20 países, contando com mais de 4.500 profissionais em todo o mundo. No Brasil ela está presente desde 2006. A empresa também trabalha para agências governamentais e empresas de menor porte e/ou em fase de crescimento, incluindo aquelas que têm por objetivo fazer a abertura de capital.

Presente na classificação 57 da lista de 2016 da Fortune – 100 Melhores Empresas para Trabalhar®, a Protiviti é reconhecida em seu segmento entre as “Melhores Empresas para Trabalhar”. A empresa é uma subsidiária integral da Robert Half (NYSE: RHI). Fundada em 1948, a Robert Half é membro do índice S&P 500 e foi nomeada para Fortune® na lista “Empresas Mais Admiradas do Mundo” da revista entre 1998-2016.