Adequação à LGPD – Por onde começar?

Cultura de Segurança, Entrevistas| Views: 261

Neste mês de agosto, após praticamente um ano da entrada em vigor da Lei Geral de Proteção de Dados (LGPD) muitas empresas não sabem ainda o que fazer para estar em compliance com a lei.

No dia 10/08 a CoSafe realizou um evento ao vivo com o objetivo de discutir, de forma prática, por onde as empresas devem começar para estarem em conformidade com a Lei Geral de Proteção de Dados (LGPD). 

A LGPD surge em um contexto global de valorização da privacidade e segurança dos cidadãos na era digital. Um conceito muito importante por trás destas normas é o de que o usuário é dono de seus dados e, por isso, tem poder sobre eles, resguardando direitos como a privacidade e a liberdade. Às empresas cabe adotar medidas para usar as informações de modo responsável e protegê-las de usos indevidos, vazamentos e outras ameaças.

Essa conversa teve como palestrantes: Ana Flavia Bello – CEO da CoSafe LATAM, Rafael Cruz – Sócio do escritório Andersen Ballão Advocacia, responsável pela área de tecnologia e startups, e Camila Camargo – Advogada na Andersen Ballão Advocacia, responsável pelas áreas de propriedade intelectual e proteção de dados.


Veja como foi a LIVE em 10/08

Privacidade nas empresas

Rafael abriu a conversa comentando que a LGPD é um assunto essencial que envolve todos os departamentos das empresas, porque a mentalidade de privacidade não está restrita a apenas um ou outro setor. Dependendo da posição que cada um ocupa dentro da organização na cadeia de dados, os riscos, obrigações e expectativas são diferentes. 

Nas organizações, a coleta de dados é comum para se executar um trabalho mais segmentado e atender ao interesse do consumidor. E o que tem sido feito com os nossos dados? A origem da lei de proteção de dados vem dessa questão. A regulamentação não proíbe nenhum modelo de negócios, mas funciona como base de estruturação das empresas. Veio para organizar e distribuir melhor as informações, prossegue Rafael.

Camila complementa afirmando que um vazamento de dados que expõe informações dos clientes pede medidas específicas para conter os danos, como: avaliar o impacto do vazamento – quantos indivíduos foram afetados, quais são os tipos de dados, quais as medidas técnicas para contenção – analisar se houve falha no sistema ou falha organizacional. E, dependendo do caso, deve haver a necessidade de comunicar as autoridades, titulares e mercado.

“O impacto da lei não está só nas multas, mas nas parcerias com clientes, ou em investimentos para startups, em prestação de serviços, e com fornecedores”, esclarece Rafael. 

Dados Sensíveis e Informações

Informação é o que se obtém a partir de dados. Já os dados são referentes à pessoa física, elementos isolados à princípio, como nome ou CPF. Um dado público ou não sigiloso, ainda é um dado pessoal porque pode tornar uma pessoa identificável, esclarece Camila.

A LGPD traz um rol taxativo em relação aos dados pessoais sensíveis – dados que podem criar algum problema na liberdade ou nos direitos individuais da pessoa. “Dados relacionados à orientação sexual, filiação sindical, religião, dados biométricos, tem um potencial discriminatório e por conta disso, são considerados sensíveis”, apresenta Camila.

Vazamento de Dados e Reputação

Uma renomada rede de laboratórios de diagnóstico médico sofreu um ataque de ransomware em junho de 2021. O ataque foi reivindicado pelo grupo hacker REvil em publicação na deep web. Na ocasião do incidente, pacientes que passaram por exames nos laboratórios do grupo reportaram dificuldade para obter seus resultados.

Esta organização, que possui uma excelente reputação, preocupada com o consumidor e seus dados, amenizou o impacto do ataque, demonstrando com transparência as ações que a empresa tomou para salvaguardar os dados dos seus clientes, lembrou Ana Flavia.

“Não adianta ter uma política de privacidade ideal, sem ter nenhuma evidência de que ela é aplicada, tanto para parceiros como para autoridades”, Camila reitera.

Ana Flavia complementa que a mudança de perspectiva em relação à proteção de dados se dá em função das empresas obterem um ganho reputacional, utilizando os processos de adequação da LGPD de maneira a agregar valor para o seu cliente.

“As empresas que criam um ‘colchão reputacional’ a partir de ações positivas que agregam à sua marca uma boa reputação, que tem processos, que cuida do seu consumidor, do colaborador, com políticas de diversidade e ambientais, conseguem se recuperar mais rápido e facilmente, e minimizar os impactos negativos de uma crise”, afirma Ana Flávia.

Camila lembra que não estar em conformidade com a lei, além da ser um potencial risco para a reputação da empresa, estão previstas algumas sanções administrativas e penalidades, como: multa, publicação da infração, bloqueio da base de dados, eliminação dos dados que são objeto da infração.

Papel do DPO

Não há dúvidas de que ter uma pessoa responsável por apoiar práticas de proteção de dados é algo fundamental para toda organização. O que muitas pequenas e médias empresas e startups que estão iniciando se questionam é a real necessidade de se ter um encarregado pelo tratamento de dados pessoais. 

Atualmente, toda empresa que realiza tratamento de dados pessoais conforme descrito na LGPD precisa apontar um encarregado. O papel do Data Protection Officer (DPO) é apoiar a organização, servindo tanto como canal de comunicação com a Autoridade Nacional de Proteção de Dados (ANPD) e titulares, quanto evitando a ocorrência de violações de dados pessoais, algo que pode ter um impacto tão severo ao ponto de inviabilizar todo um negócio. 

Uma saída é ter alguém com autonomia técnica, que saiba identificar uma necessidade de ação e seja isenta de qualquer conflito de interesses dentro da empresa. Também é preciso estar atento sobre a preocupação trabalhista de um possível acúmulo de funções de um funcionário, alerta Camila.

Passos para a adequação à LGPD

Um primeiro passo essencial na jornada rumo à adequação à LGPD é conhecer os dados pessoais com os quais a empresa trabalha, afinal, não é possível proteger aquilo que sequer sabemos que existe. Dentre as várias opções, realizar o mapeamento dos dados pessoais é a que se mostra inicialmente mais adequada, já que permite ter uma visão completa de como as múltiplas áreas e processos da organização lidam com dados pessoais no dia a dia. Essa ação ajuda no entendimento de pontos críticos que incluem desde possíveis fragilidades de segurança, até outros que podem inviabilizar o atendimento aos direitos dos titulares.

A ANPD tem uma regulamentação específica com processo simplificado de compliance com a proteção de dados para pequenas e médias empresas. Porém, independente do porte da empresa, o importante é conscientizar, mapear seus processos e dar treinamento sobre o tema em todos os departamentos, complementa Camila.

“É importante levar a LGPD em consideração porque ela pode inviabilizar um business, se ele for baseado na exploração de dados do cliente. Muito melhor estar preparado para um risco que não acontece, do que deparar-se com um sem esperar por ele”, encerra Rafael. 


Leia mais

Ana Flavia Bello Rodrigues

Comments are closed.