Por Gustavo Valente (*)
Em vigor desde o dia 18 de setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) ainda é uma ilustre desconhecida para a maioria das organizações – privadas ou públicas. Cerca de 60% das organizações admitem não estar preparadas.
Alguns podem se apoiar no fato de as sanções administrativas somente entrarem em vigor em agosto de 2021, o que é um erro.
Em linha com o art. 18 da Lei e reforçados por regulamentações, como o Código de Defesa do Consumidor, a justiça e entidades como o MPU, Procon, Anatel, entre outros, já fiscalizam, acolhem denúncias e aplicam penalidades associadas ao vazamento ou mau uso dos dados pessoais.
Empresas já foram autuadas por descumprimento da LPGD
Em 21 de setembro de 2020, 3 dias após a entrada em vigor da Lei, o Ministério Público do Distrito Federal e Territórios ofereceu a primeira ação civil pública baseada na Lei Geral de Proteção de Dados Pessoais. A ação foi movida contra uma empresa que comercializava pela Internet dados de centenas de milhares de pessoas. Os dados incluíam nome, celular, e-mails e endereço completo. Somente da cidade de São Paulo, cerca de 500 mil pessoas foram expostas.
Em 29 de setembro, foi a vez da construtora Cyrela, multada em R$ 10 mil por compartilhar inadvertidamente dados de um cliente com instituições financeiras, consórcios, empresas de arquitetura e construção e de fornecimento de mobiliário planejado.
Ambos os casos foram motivados por denúncia.
Cabe ressaltar que, no caso da Cyrela, uma multa de R$ 10 mil é simbólica, impacto zero nas finanças. O impacto causado pela exposição negativa com a repercussão do caso é muito maior, e esse sim, deve ser motivo de preocupação da alta gestão.
Ações coletivas
Escritórios de advocacia, em parceria com empresas de tecnologia, têm hoje a possibilidade de monitorar a web e deep web em busca de vazamentos ocorridos e abordar as vítimas, oferecendo assessoria jurídica para ingressar com ação de reparo de danos. Pessoas que, muitas vezes, nem sabem que tiveram seus dados vazados, veem nessas abordagens a possibilidade de ganho financeiro e acabam por contratar o serviço. Para a empresa que sofreu um vazamento pode representar uma ação coletiva de milhares de requerentes, com potencial de grande perda financeira e impacto na imagem.
Não são apenas dados de clientes
É importante que se entenda que dados de colaboradores e candidatos devem ser tratados com o mesmo zelo que os dados de clientes. Princípios como o consentimento, finalidade, acesso aos dados armazenados, tempo de armazenamento e proteção dos dados armazenados devem ser considerados.
A coisa vai além do trivial: banco de currículos, exames admissionais/demissionais, dados compartilhados com empresas de recrutamento e seleção, operadoras de planos de saúde, seguradoras, empresas de benefícios, folha de pagamento (se terceirizado), sindicatos e órgãos públicos são todos pontos a se considerar.
Dados pessoais públicos
Dados pessoais públicos são todos aqueles disponibilizados em sites ligados à justiça, receita federal ou portais do governo ou ainda aqueles tornados manifestamente públicos pelo titular (p.ex. nas redes sociais). A Lei não exige o consentimento para utilização desses dados pelas empresas, normalmente em ações de marketing. No entanto, todos os demais direitos do titular (p.ex. direito ao esquecimento, acesso, revisão ou portabilidade dos dados) devem ser respeitados. Além disso, o compartilhamento dos dados públicos coletados com outras entidades demandará da empresa a obtenção de novo consentimento por parte do titular.
Cuidado com fornecedores e parceiros
Em todo modelo de negócio, em maior ou menor escala, o compartilhamento de dados está presente. Seja na terceirização ou ampliação de serviços, fusões, aquisições ou joint ventures, o cuidado com os dados pessoais deve ser mantido. Nesse sentido, é de fundamental importância possuir cláusulas contratuais que protejam a empresa e compartilhem a responsabilidade de proteção dos dados pessoais com terceiros. Um item que deve estar presente nesse tipo de relação comercial é a possibilidade de se auditar o ambiente de controle do terceiro com o objetivo de verificar a conformidade das suas práticas com os princípios da LGPD.
Cultura de Segurança da Informação
As organizações devem implementar práticas de segurança da informação que assegurem a proteção dos dados pessoais. Essas práticas devem ser discutidas com representantes do Jurídico, Compliance e Segurança da Informação, e devem idealmente se basear em frameworks conhecidos, como Cobit e ISO 27001. Minimamente, deve se considerar:
Ameaças internas
Usuários mal intencionados ou mal orientados podem permitir o vazamento ou compartilhar dados pessoais inadvertidamente com entidades externas. Formas de reduzir esse risco incluem:
- Implementar um controle de acesso robusto, que envolva revisão periódica, segregação de funções, autenticação com senha forte e múltiplos fatores
- Implementar política de uso aceitável de recursos de tecnologia (o que pode e o que não pode fazer), bem como penas aplicáveis
- Ter um processo de monitoramento dos acessos e atividades realizadas no ambiente
- Promover a conscientização em Segurança da Informação (Security Awareness) para os colaboradores, por meio de treinamentos, workshops e material didático
Fortalecer o perímetro de segurança
O que já era crítico ganhou ainda mais importância. Servidores que se comuniquem com o meio externo devem ser adequadamente protegidos contra acesso não autorizado, por meio da implementação de ferramentas de segurança e processos de gestão e atualização dos sistemas.
Em tempos de home office, a comunicação dos colaboradores com a rede corporativa da empresa deve ocorrer de forma segura (p.ex. implementação de VPN, ou rede virtual privada), e os equipamentos utilizados devem estar adequadamente configurados com as ferramentas de segurança e seguir um processo de atualização periódica.
A segurança física deve ser preservada, de modo que pessoal não autorizado não tenha acesso às dependências da empresa.
Resposta a incidentes de segurança
Por melhores que sejam as medidas de prevenção, elas podem falhar. E é aí que entram os processos de resposta a incidentes, que devem incluir a identificação, entendimento, resposta e investigação dos incidentes de segurança. A LGPD demanda que vazamentos sejam comunicados tempestivamente à ANPD (Agência Nacional de Proteção de Dados) e aos titulares que tiveram os seus dados vazados. O prazo exato ainda será definido pela ANPD, que está em fase final de criação pelo governo federal. Mas, a critério de referência, a GDPR (General Data Protection Regulation), lei europeia equivalente à LGPD, estabelece 72 horas.
Demonstre que está em conformidade
Além de vazamentos em grande escala, as organizações estão sujeitas à fiscalização pela ANPD e a denúncias pontuais de vazamento ou mau uso dos dados pessoais. Ao demonstrar que possui políticas e processos de segurança e proteção de dados, adequadamente implementados, as sanções podem ser reduzidas e, consequentemente, o impacto negativo à imagem da organização. Portanto, além do conjunto de políticas e procedimentos, os registros de consentimento para o tratamento dos dados, ações de conscientização junto aos colaboradores e demais documentos e comunicações relevantes com parceiros e titulares de dados, devem estar adequadamente armazenados e disponíveis para consulta caso necessário.
Finalmente, deve ser elaborado o Relatório de Impacto à Proteção de Dados (RIPD), que deve contemplar todos os dados pessoais armazenados, a descrição dos tratamentos realizados, os riscos associados e os controles que mitigam esses riscos.
Veja aqui outros conteúdos já publicados sobre LGPD
(*) Gustavo Valente é consultor especializado em LGPD.
- “Sequestro de dados é crise da vez”, alerta CEO da CoSafe - 14/09/2021
- Sua comunicação de crise vai continuar no WhatsApp? - 28/01/2021
- O gerenciamento de crises e o malabarismo com pratos - 19/01/2021
[…] Leia mais […]