Cuidados com a segurança são essenciais para proteção de dados pessoais – reflexões após 5 anos de LGPD

Passados 5 anos desde que a Lei Geral de Proteção de Dados (LGPD) foi aprovada no Brasil, o tema pode parecer batido e aparentemente bem conhecido por todos, mas certamente há muito ainda a ser discutido e elaborado. É dinâmica, por exemplo, a discussão sobre as medidas de segurança da informação a serem empregadas e seu papel na proteção dos dados pessoais, considerando o contexto de constante avanço tecnológico em que vivemos e as novas ameaças à privacidade e segurança dos dados que surgem a cada inovação.

Cada vez mais, o brasileiro tem se dado conta dos seus direitos em relação aos seus dados pessoais, e tem demandado cuidado no tratamento dessas informações. A LGPD, certamente, teve um importante papel didático nesse processo, e contribuiu para colocar preocupações com a segurança dos dados em destaque.

Hoje, o brasileiro comum – e não mais apenas os estudiosos do tema – tem maior consciência dos impactos causados pelo tratamento inadequado dos seus dados pessoais, seja em função dos impactos provocados pelos cibercrimes (que são cada vez mais comuns, e exploram justamente falhas de segurança da informação), da repercussão dos episódios de incidentes de segurança (que algumas vezes resultam na violação de sua privacidade e/ou no vazamento de seus dados pessoais) ou pelo aprofundamento das problemáticas sociais acarretadas pelo uso indiscriminado de dados pessoais dos cidadãos.

Por isso, é essencial entender que garantir a proteção do direito fundamental à privacidade e proteção de dados e o compliance da LGPD não se resume a elaborar e publicar políticas de privacidade ou concluir projetos de adequação no papel, mas depende da elaboração e efetiva implementação de políticas, procedimentos e controles de segurança da informação por parte das organizações – empresas, órgãos do Poder Público, entidades do terceiro setor – que tratam os dados pessoais do cidadão comum.

Não foi à toa que a LGPD conferiu espaço privilegiado para as medidas de segurança em seu texto: proteção de dados e segurança da informação são domínios intrinsecamente ligados.

É preciso, ainda, considerar a privacidade sob uma perspectiva do momento histórico em que vivemos; compreendê-la como uma expectativa econômica. Afinal, por que um dado circula e por que uma empresa coleta um dado? Nada é feito à toa ou por altruísmo: tudo é insumo de alguma atividade econômica. Vivemos num mundo em que as empresas tratam dados pessoais, inclusive de forma massiva, para gerar informações que auxiliam na tomada de decisões para os seus negócios, que geram valor ao mercado ou que produzem algo de relevante para a economia.

Segundo o Estudo Mercado Brasileiro de Software – Panorama e Tendências 2023, desenvolvido pela da ABES – Associação Brasileira das Empresas de Software e da International Data Corporation (IDC), o Brasil manteve 1,65% dos investimentos em tecnologia em âmbito global, além de concentrar 36% dos investimentos em toda a América Latina (em comparação aos 40% da pesquisa anterior).

De acordo com os dados do IDC a projeção é que um montante total de US$ 2,9 bilhões seja destinado a soluções e serviços relacionados a Big Data & Analytics em 2023. Esse valor representa um crescimento de 10,8% em relação ao ano anterior.

Nesse contexto, não é possível ou aceitável ignorar os direitos e expectativas dos titulares de dados pessoais. Eles também são parte da equação econômica, também possuem expectativas legítimas em relação à sua segurança e de seus dados. Acima disso, possuem direitos legalmente conferidos em relação a seus dados pessoais, que nascem na Constituição Federal, passam pela LGPD e se ramificam nas demais legislações que tratam do assunto.

Por isso, segurança da informação não é uma opção: todas as empresas devem iniciar, aperfeiçoar e revisitar, de tempos em tempos, uma jornada de implementação de governança e boas práticas em proteção das informações com a adoção de medidas de segurança, técnicas e administrativas capazes de proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme previsto na LGPD. Esta é uma contrapartida mandatória para quem espera participar deste momento econômico.

Vale reforçar que a governança de dados e segurança da informação da organização que quer participar da economia atual devem ser efetivas: não há aqui espaço para o “compliance de papel”. Segurança da informação não é algo que se assina, mas sim que se pratica. E isso não se faz da noite para o dia: requer investimento, tempo e muita paciência. Por essa razão, os processos de due diligence pré-contratual, em que se avalia de maneira séria os requisitos de segurança atendidos por fornecedores e parceiros de negócio, é crucial para assegurar que os dados pessoais tratados estão devidamente resguardados por medidas de segurança adequadas.

Escolher parceiros de negócio capazes de tratar os dados pessoais de forma segura não esgota o assunto – uma organização deve sempre assegurar também que “sua casa está em ordem”. De acordo com a Gartner, 95% das violações de dados que acontecem em serviços de cloud computing não são causadas pelos provedores, mas, sim, pelos clientes desses serviços.

Em outras palavras, é preciso compreender que uma organização deve sempre cuidar da segurança da informação de forma holística, levando em consideração suas próprias práticas e a de terceiros com que se associa no desempenho de suas atividades.

A boa notícia é que passados 5 anos da LGPD, o próprio mercado se sofisticou e tem cobrado uma proteção efetiva dos dados pessoais como requisito essencial para fazer negócios. No país onde algumas leis “não pegam”, a LGPD “pegou”. Chama a atenção, por outro lado, que um número considerável de empresas ainda não tenha começado a agir. Um bom começo – como já sabem as empresas que passaram pelo ciclo completo de adequação à LGPD – é mapear e identificar os processos e riscos da organização.

O passo seguinte consiste em implementar novos processos, documentar programas de privacidade e segurança da informação, capacitar colaboradores, configurar sistemas que processam dados pessoais, dentre diversas outras tarefas que demandam tempo e dedicação. De mais imediato, a organização pode (re)avaliar os fornecedores e parceiros de negócio que estão acoplados à sua atividade para verificar se, com efeito, estes oferecem nível adequado de segurança da informação e proteção de dados.

A verificação de que o parceiro possui certificações de segurança (ISO 27001, SOC, PCI-DSS etc.) e apólice de seguro com cobertura para riscos cibernéticos, por exemplo, são bons indicativos nesse sentido.

Com a LGPD em pleno vigor e efeito, não há mais espaço para improvisos: os processos de tratamento de dados das empresas precisam ser bem estruturados, e as responsabilidades precisam estar bem compreendidas e delimitadas. E isso necessariamente passa pela segurança da informação. Afinal, violações de dados pessoais – que decorrem não apenas, mas em grande parte por conta de incidentes de segurança – envolvem não apenas  consequências aos titulares afetados, mas também aos agentes que falharam em prevenir, mitigar ou eliminar os riscos associados.

O prejuízo pode ser meramente financeiro (indenização, multa), operacional (proibição de tratar dados pessoais) e até mesmo reputacional. Para além dos deveres jurídicos que a LGPD impõe, há um dever ético a ser observado, que passa pelas boas práticas e condutas em relação aos bens (dados pessoais) de terceiros (titulares desses dados).

Destaco algumas iniciativas imprescindíveis para o sucesso no compliance em relação à LGPD:

(i) envolvimento de todas as áreas da empresa, principalmente dos líderes: uma jornada de adequação envolve investimento, em certos casos altos, e conscientização dos membros da organização sobre a nova cultura de proteção de dados que será implementada;

(ii) diagnóstico prévio: cada empresa tem suas particularidades, com áreas e processos diferentes, setor com regulação, quantidade de empregados, tipo de serviços e produtos, graus de risco diferentes etc., os quais necessitam ser identificados e entendidos em sua amplitude;

(iii) mapeamento de fluxo de dados pessoais: registro das operações de tratamentos de informações pessoais, com a indicação de quais tipos de dados são e poderão ser coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento e com quem os dados podem ser eventualmente compartilhados;

(iv) revisão e/ou criação de cláusulas contratuais que tratam de proteção de dados pessoais e políticas;

(v) Segurança da Informação e gestão de TI: a revisão das soluções em TI (backup; firewall; gerenciamento eletrônico de documentos; antivírus; criação de políticas de segurança da informação etc.) é de suma importância para a proteção dos dados pessoais das empresas e seus clientes;

(vi) privacy by design: a empresa deve pensar em privacidade e proteção de dados pessoais desde a concepção dos seus produtos e serviços, até a execução;

(vii) nomeação de Encarregado: pessoa indicada que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), bem como será responsável pela manutenção do projeto de adequação e treinamento dos colaboradores;

(viii) treinamento: as ameaças de segurança não ocorrem apenas por fatores externos; grande parte dos incidentes de segurança são causados por falhas humanas. Assim, treinamento contínuo de todos os colaboradores da empresa é parte fundamental de uma adequação exitosa.

No fim das contas, essa é a equação que vai assegurar a sua reputação. E reputação não tem preço; tem valor. O comprometimento de toda uma cadeia de informação por parte de um único agente pode influenciar de forma significativa no preço de ações, no posicionamento de mercado e até mesmo na justiça (dados do Judiciário apontam que mais de 40% das ações que envolvem violação de informações confidenciais também envolvem queixas trabalhistas).

A tecnologia foi, é e sempre será feita por pessoas, para pessoas. E cabe a cada empresa, a cada gestor e a cada cidadão observar o seu papel em meio a este cenário. Juntos, será possível proteger dados, respeitar processos e, acima de tudo, priorizar pessoas.

*Heitor Carmássio Miranda é gerente jurídico sênior para América Latina da DocuSign

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!