ARTIGO | Lei de proteção de dados: o que as organizações precisam fazer?
04 de Outubro de 2018

ARTIGO | Lei de proteção de dados: o que as organizações precisam fazer?

Publicidade
Twitter Whatsapp Facebook

 

por Cassio Brodbeck*

Publicidade

Instituído pela União Europeia no primeiro semestre, o General Data Protection Regulation (GDPR) está estremecendo as bases de grandes empresas, no que diz respeito à proteção dos dados pessoais dos usuários. A regulamentação foi o impulso que faltava para a aprovação e sanção da lei 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD). De lá para cá, muito tem se falado a respeito do tema, especialmente na vitória e segurança que trará para a sociedade. Em um contexto no qual parte das organizações faz uso de informações como endereço, telefone, além de outras sensíveis como documentos pessoais e dados bancários para monetizar, essa legislação vem para regular um ambiente considerado, até então, uma terra sem lei.

Mas o que pouco se debate é em relação às medidas que as organizações devem fazer para se adequar à lei quando realiza a coleta, armazenamento e tratamento de dados de terceiros, seja pela internet, por áudio, por imagem ou em documentos impressos. Sem dúvida, ainda que a legislação seja oportuna, representa um desafio de grandes proporções para, basicamente, todo tipo de negócio, incluindo entidades públicas.

Para quem lidera um negócio e se preocupa com a situação, um caminho inicial seria entender como sua empresa lida com informações dos clientes, independente se pessoa física ou jurídica. É preciso fazer uma autoreflexão e compreender como as informações as quais possui acesso são manipuladas e armazenadas. Principalmente: saber onde estão, se de posse da empresa ou de fornecedores.

Embora seja natural confiar nos fornecedores, em razão dos contratos firmados, pode ser que tampouco eles próprios saibam lidar com a questão. Em um cenário com constantes ameaças e ataques cibernéticos, a transferência dos arquivos pode ocorrer, seja intencionalmente — com o auxílio de pessoas da própria empresa, funcionários descontentes ou que foram desligados e entendem, como ninguém, dos processos internos — ou não.

Entre os artigos existentes na lei estão os relacionados ao ônus que as organizações terão que lidar em caso de descumprimento das medidas legais. Em caso de transferência ou uso das informações sem o consentimento expresso por parte do usuário, dependendo da recorrência e volume, a penalidade pode ser de até 2% do faturamento. Isso caso a fiscalização por parte do Estado seja eficiente, o que apenas poderá ser visto na prática após a implementação da lei, cuja previsão é em fevereiro de 2020, para dar tempo hábil de as organizações se adequarem.

O que fazer, então? No caso de empresas que mantêm fornecedores diretamente envolvidos com os dados da empresa ou de seus clientes, o prudente é desde já rever questões contratuais e, auxiliados pelo departamento jurídico ou uma consultoria especializada na área, rever o que está prescrito. Associado a esse movimento, pensar em ações para desde já se adequar à lei. A aposta em uma política de segurança de dados é outro passo fundamental a ser adotado por toda e qualquer organização, independente de seu porte. Ao fazer ela própria o dever de casa com seus dados e com o treinamento adequado do fator humano envolvido, será possível evitar que situações negativas também ocorram com informações de terceiros, ou minimizar seus efeitos.

* Cassio Brodbeck, especialista em segurança virtual corporativa, CEO e fundador da OSTEC Business Security.

Publicidade
Publicidade