2019: como se adequar à Lei Geral de Proteção de Dados
Com a Lei Geral de Proteção de Dados (LGPD), promulgada em agosto deste ano, temos um marco fundamental nas regras para utilização de dados pessoais no Brasil, nos setores públicos e privados, que se soma a uma série de outros instrumentos legais, desde a Declaração Universal dos Direitos Humanos (DUDH/1948), passando pelo Marco Civil da Internet brasileira (Lei nº 12.965/2014), até a Regra Geral de Proteção de Dados Europeia (Diretiva 2016/680 & 2016/281). Com isso, há um cenário completamente novo para as empresas que operam com dados – basicamente todas, atualmente.
Algumas práticas já eram comuns e existiam regras esparsas, no entanto, o LGPD consolida este cenário criando leis específicas, mecanismos de controle e punições severas. Partindo desta constatação, as regras entrarão em vigor em fevereiro de 2020 e as empresas precisam estar adequadas até lá para evitar correr riscos financeiros, jurídicos e para sua imagem. É possível também que com uma estrutura bem adaptada a esta nova realidade possa gerar uma vantagem competitiva, especialmente no relacionamento com o consumidor. Os novos instrumentos legais trouxeram apreensão, mas é preciso ficar claro que a Lei não impõe a confidencialidade ou impossibilidade total de manipulação dos dados. O que é necessário é uma estrita proteção e a necessidade de se pedir o consentimento de pessoas físicas.
Dentre os pontos de atenção para as empresas, vale se atentar para seis pontos cruciais. O primeiro é o já mencionado consentimento explícito do consumidor. Esse processo precisa ser realizado de forma simples, mas efetivo e que possa ser rastreada em caso de necessidade. O segundo ponto – um dos mais descobertos no momento – é a criação de mecanismos de resposta rápida quando o consumidor retira sua autorização para a utilização de dados. O terceiro ponto é relativo à manipulação de dados sensíveis (financeiros, políticos, religiosos) e de menores de idade, que devem ter cuidados ainda mais estritos.
Uma inovação introduzida pelo LGPD (quarto ponto) é a obrigação de informar à Sociedade e às Autoridades em caso de vazamento de dados – um risco real, mesmo com todos os investimentos em segurança digital que estão sendo realizados atualmente. Esse, talvez, seja o principal ponto de atenção da nova lei. As empresas precisam criar políticas e procedimentos a fim de viabilizar o atendimento desta norma, até para minimizar impactos em sua imagem.
Todos esses elementos trazem à tona novamente a importância de práticas sólidas de segurança da informação (quinto ponto). Para dar conta deste grande desafio, as empresas devem ter um olhar amplo, considerando esta questão não apenas uma atribuição de TI, mas incluindo todos os departamentos, como RH, Jurídico, Vendas, Controladoria, etc. Recomenda-se, portanto, a criação de regulamentos internos específicos, com prazos, responsabilidade e sanções. Os próprios dados dos colaboradores merecem atenção, ainda mais em empresas de maior porte (sexto ponto).
Por fim, vale entender que a mudança deve ser tão grande que é necessário que o atendimento à LGPD faça parte do plano de negócios da empresa.
*Por Antonio Cipriano e Mario Hime, vice-presidentes da Cosin Consulting.