A Lei Geral de Proteção de Dados (LGPD) é a lei de nº 13.709, promulgada em agosto de 2018 e que entrou em vigência a partir do dia 18 de setembro de 2020. A lei é inspirada na regulamentação europeia de proteção a dados pessoais, a GDPR, também promulgada em 2018.
Dentre seus muitos objetivos que visam assegurar a proteção de dados de pessoas físicas nas mais distintas circunstâncias – da violação de dados por conta de um ciberataque ao uso não-consentido, por parte das empresas -, a legislação elenca, como compromissos principais:
- Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários;
- Estabelecer regras claras sobre o tratamento de dados pessoais, bem como práticas transparentes e seguras;
- Fortalecer a segurança dos titulares dos dados no tratamento de dados pessoais, garantindo a livre-iniciativa, a livre-concorrência e a defesa das relações comerciais e de consumo;
- Promover a concorrência e a livre atividade econômica, inclusive com a portabilidade de dados – isto é, a possibilidade de o usuário decidir quem e como seus dados serão tratados;
Mas, embora a lei já esteja em vigor no Brasil desde 2020, ainda há um longo caminho a ser percorrido para que se cumpra em sua totalidade. Muitas empresas ainda têm dificuldade em compreender as orientações da lei e mobilizar os esforços necessários para operar em conformidade.
LGPD veio para mudar a forma como pensamos a cibersegurança
A melhor forma de entender o que muda com a Lei Geral de Proteção de Dados é indo além da atuação prática; isso porque a LGPD nos urge a pensar a cibersegurança de forma mais integrada e mais focada no usuário, e não apenas mudar a atuação a fim de .
É uma diferença sutil, mas que, se tida como norte, elucida sobre as medidas a serem adotadas e o que priorizar, a fim de agir nos conformes da lei.
A corrida pela adequação
Naturalmente, após ser divulgada, a LGPD preocupou líderes de negócios em todo o Brasil, sobretudo devido à notícia de que a fiscalização seria conduzida por uma nova agência, criada especialmente para esse fim – a Agência Nacional de Proteção de Dados, ou ANPD. Saídos de uma cultura mundial em que dados pessoais eram trocados e manipulados sem muita preocupação, as novas práticas elencadas pela lei, e construídas de modo a ter o titular dos dados no centro das operações, refletiram quão atrasados, globalmente, estamos quando o assunto é proteção aos dados pessoais.
Somam-se a isso notícias crescentes de ciberataques, violações e vazamentos de informações confidenciais de pessoas físicas e jurídicas e temos a sensação de estarmos segurando uma bomba-relógio nas mãos.
O movimento inicial na maior parte dos negócios, portanto, foi montar uma operação “de emergência”, para atender às normas da lei. Equipes de TI se viram sobrecarregadas com novos e urgentes afazeres, mas sem a infraestrutura necessária para, de fato, montar um sistema de segurança integrado. E, além disso, em março de 2020, a pandemia do novo coronavírus forçou a maior parte das empresas a operarem em modelo híbrido, ou totalmente em home office: dispositivos pessoais viraram dispositivos de trabalho; arquivos confidenciais eram compartilhados em redes sem medidas básicas de segurança; aplicativos de conversa viraram ferramentas de colaboração – e os times de TI, erroneamente, lidavam com toda a responsabilidade de “proteger os dados dos clientes e colaboradores”.
Foi uma corrida pensada para atender a critérios operacionais, quando, na verdade, a LGPD é muito mais uma mudança de gestão do que uma mudança de ação. Não à toa, ainda estamos distantes de ter empresas operando em total conformidade com a lei.
Pensar a segurança como prioridade
Há um elemento-chave no texto da LGPD para entender como empresas de todos os portes podem começar a se adequar: o foco em gestão de segurança.
A administração de riscos e falhas de segurança é um dos pontos principais destacados pela Lei Geral de Proteção de Dados. Na prática, isso quer dizer que quem gere base de dados pessoais – isto é, as empresas – terá que desenvolver e implementar normas de governança, adotar medidas preventivas de proteção de dados, indicar um representante legal para tratar com a Agência Nacional de Proteção de Dados, bem como estudar e replicar boas práticas e contemplar as certificações de segurança existentes no mercado.
É preciso, ainda, elaborar planos de contingência, conduzir auditorias e se preparar resolver incidentes com agilidade. Na ocorrência de um vazamento de dados, por exemplo, a ANPD e os indivíduos afetados devem ser imediatamente avisados.
A princípio, muitas dessas responsabilidades foram atribuídas a duas figuras que ganham prevalência na lei: o Data Protection Officer (DPO) e o agente de tratamento de dados, que pode ganhar a forma de uma empresa terceirizada para esse fim. Embora não sejam atribuições equivocadas, o que está pesando na maioria dos negócios é que não se trata, apenas, de criar novos cargos e contratar profissionais ou fornecedores para preenchê-los. É preciso construir uma nova cultura de segurança, ou de compliance.
A governança na LGPD
Da mesma forma que empresas ESG precisam de um comitê de sustentabilidade e uma gestão que permeie os distintos processos da organização a fim de que se cumpram as diretrizes que classificam um negócio como ESG, algo similar ocorre com a LGPD.
Trazer a segurança como uma estratégia paralela ao negócio não é o caminho. A cultura do direito à privacidade e à proteção dos dados pessoais deve perpassar processos, investimentos e tomadas de decisão.
É por isso que uma equipe de compliance, com profissionais preparados para orientar sobre o melhor caminho a ser seguido pensando nos interesses do negócio e na segurança de usuários e colaboradores, é essencial para a conformidade com a LGPD.
Essa equipe, formada por especialistas de diferentes áreas – do Jurídico à Tecnologia – combinará esforços e conhecimento para dar o norte às organizações, a fim de que sejam mobilizados os esforços necessários, no ritmo adequado, considerando a estrutura e os recursos de cada negócio.
Na Compugraf, nós reunimos um time de especialistas dedicado a estudar e nos orientar sobre as diretrizes da nova lei. Nós entendemos que essa é a melhor forma de assegurar que a proteção de dados e a segurança de nossos parceiros, clientes e colaboradores permeia todas as decisões do negócio.
É preciso cuidar para que a preocupação com o compliance não se transforme em uma corrida desenfreada por medidas paliativas.
As falhas de segurança podem gerar multas de até 2% do faturamento anual da empresa no Brasil, com um limite de R$ 50 milhões por infração; a ANPD fixou níveis de penalidade segundo a gravidade das falhas de segurança e emite alertas e orientações antes de aplicar sanções às organizações, mas permitir que isso vire um jogo de gato e rato – indo atrás de corrigir problemas após uma notificação, em vez de preveni-los -, é insustentável.
Websérie: Squad LGPD Compugraf
Quer saber como implementamos a Lei Geral de Proteção de Dados na nossa empresa?
Aqui na Compugraf, nos atualizamos diariamente para ficar por dentro de tudo que envolve a LGPD e, pensando nisso, preparamos uma websérie para que você possa acompanhar um pouco do trabalho da nossa equipe de especialistas e entender melhor as diretrizes da nova lei!
Basta acessar a Websérie: Squad LGPD Compugraf e se cadastrar para não perder nenhum episódio! Acompanhe!
