3 elementos para considerar sobre a Lei Geral de Proteção de Dados

A recente promulgação da Lei 13.709/18, conhecida como Lei Geral de Proteção de Dados, traz um novo desafio para as organizações em termos de compliance. Muitas empresas, principalmente de setores com baixo ou médio nível de regulamentação, estruturaram programas de compliance após a Lei 12.846/13, conhecida popularmente como Lei Anticorrupção, com foco em normativos internos, como o código de ética e a prevenção da corrupção. Mais recentemente, temas como respeito às práticas concorrenciais e prevenção ao assédio moral e sexual entraram na pauta de uma forma mais ampla. E, em razão do GPDR, lei europeia recém-promulgada, o tema proteção de dados ganha força nos últimos meses.

Esta nova lei brasileira se tornará efetiva daqui a 18 meses, tempo este que deverá ser utilizado pelas empresas para fazer as adequações necessárias. E dada as sanções previstas, de multas até 2% do faturamento até o limite de R$ 50 milhões, não é recomendável deixar para a última hora. O tempo é aliado para uma atuação organizada, estruturada e faseada. Uma etapa inicial importante a ser realizada é a de diagnóstico, que deve contemplar três elementos complementares, que são Gestão e Processos, Sistemas e Tecnologia e Aspectos Legais.

A etapa de Gestão e Processos contempla o mapeamento de áreas, processos, sistemas e profissionais que atuam ou podem vir a atuarem com dados pessoais, que são aqueles que tratam do indivíduo e permitem a sua identificação. Podem ser dados obtidos diretamente pela organização, ou através de terceiros. Todo o fluxo de obtenção, uso, processamento, disponibilização para outro processo e armazenamento destes dados precisam ser mapeados, bem como compreendido como é feita a gestão e quem são os responsáveis. A nova lei prevê, por exemplo, o direito de a pessoa transferir ou excluir os seus dados. Logo, a empresa precisará definir um processo interno para que isto seja feito de forma ágil e segura nos casos aplicáveis. Também será importante estruturar um processo de gestão de crises adequado à realidade da empresa para responder a eventuais incidentes de segurança.

Na etapa de Sistemas e Tecnologias, o ambiente de TI da empresa precisa ser tecnicamente avaliado. E esta não é uma preocupação recente. Uma pesquisa recente pesquisa internacional realizada com 728 executivos de diversas regiões do mundo demonstra que as ameaças cibernéticas estão entre os três principais riscos na visão dos executivos. Redes, servidores e outros dispositivos por onde trafegam e ficam armazenados dados pessoais precisam estar adequadamente configurados e parametrizados para prover o nível de proteção necessário. Segurança e prevenção são dois dos princípios previstos na lei brasileira e que devem ser seguidos pelas organizações. A realização de testes de invasão e avaliação das vulnerabilidades do ambiente de TI permitem a identificação de falhas e brechas que poderiam ser utilizadas para vazamento indevido de dados, e a atuação preventiva pelas empresas com ações mitigatórias.

Na etapa de Aspectos Legais, regras e documentos já adotados na coleta e tratamento de dados pelas empresas, avisos, política de privacidade, termos e contratos de uso de dados precisam ser revisados sob a ótica da nova lei e readequados para a nova realidade. Da mesma forma, deve ser avaliado, se necessário, o desenvolvimento de novos normativos e documentos alinhados aos requisitos legais. Clareza, transparência e boa fé são fundamentais no tratamento dos dados, e também na obtenção de consentimento do titular dos dados.

O diagnóstico contemplando estes três elementos trará uma visão de etapas que precisarão ser realizadas de forma priorizada, permitindo a melhor alocação de recursos por parte da empresa, além de avaliar a real necessidade de manter, ou não, processos que demandem dados pessoais, e se os mesmos estão alinhados com a estratégia e valores da empresa. Há ainda a hipótese do diagnóstico servir para identificar se existe a necessidade de adequação e melhorias por parte da empresa, e se os riscos identificados estão alinhados com o apetite de risco da organização.

*Jefferson Kiyohara é líder da prática de riscos & compliance da ICTS Protiviti