Em vigor desde 18 de setembro de 2020, com exceção às sanções administrativas, que passaram a valer a partir 1º agosto de 2021, a Lei Geral de Proteção de Dados (LGPD) veio para revolucionar e fiscalizar a forma como as empresas tratam os dados pessoais de clientes, a partir de boas práticas e medida protetivas contra possíveis vazamentos desses dados e ameaças cibernéticas.
Porém muitas empresas e organizações ainda estão em processo de adaptação e buscam entender melhor como não infringir as regras estipuladas pela LGPD e praticar todos os procedimentos necessários para cumprir a legislação.
"Descumprir a LGPD pode resultar na suspensão das atividades da organização (caso seja relacionada a dados pessoais), impossibilitando o tratamento de dados e gerando multas que podem chegar a 50 milhões de reais", explica Arthur Dantas Oliveira, especialista em Direito Digital e Compliance da Apura Cybersecurity, uma das maiores empresas de segurança cibernética do Brasil, desenvolvedora de soluções tecnológicas em prol de mapear, evitar e proteger empresas e instituições públicas e privadas de ataques criminosos que possam, inclusive, gerar vazamento de dados pessoais.
Oliveira elenca algumas práticas que devem ser seguidas e implementadas por empresas que tratam dados pessoais de clientes, a fim de estarem em conformidade com as diretrizes existentes na LGPD. Pela lei, toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, estão sob responsabilidade da empresa.
A primeira delas, segundo o especialista, é ter um profissional independente (DPO) encarregado pelo tratamento, organização e que reporte diretamente a alta direção do status de segurança dos dados pessoais presentes nos bancos de dados da empresa.
Esse profissional, inclusive, é responsável por treinar e orientar os funcionários sobre como lidar com os dados pessoais que eles têm acesso, agindo também como ponto de contato entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Assim, é importante mapear e classificar os dados, para saber exatamente qual é o "material pessoal" que a empresa tem em seus bancos de dados. Com um relatório de impacto, é possível saber o roadmap de como os dados fluem pela empresa, incluindo onde e como são coletados; como e onde são usados; por quem, como, onde e por quanto tempo são armazenados; bem como se são transferidos para fora do país, via cloud (nuvem), por exemplo.
Outro fator de extrema relevância, segundo Oliveira, é realizar testes e simulações que permitam toda a empresa saber como agir caso exista um vazamento, visto que existe um prazo legal para comunicar às autoridades quando um incidente acontece (normalmente em torno de 72 horas). Se todos estiverem treinados, durante a emergência, não há pânico.
Por fim, é fundamental as empresas e instituições terem ferramentas de monitoramento e avaliação de ameaças, para prevenir possíveis ataques cibernéticos que possam roubar os dados pessoais.
O BTTng, ferramenta da Apura, que, entre suas funcionalidades, monitora a ocorrência de vazamento de dados pessoais e de incidentes de segurança da informação, através de pesquisa em fontes abertas de inteligência, como a deep web, fóruns hackers, grupos de mensagens etc.
"Em se tratando de proteção de dados pessoais, as empresas precisam estar à frente dos agentes criminosos. O BTTng permite identificar vazamentos de dados pessoais ainda não divulgados e, muitas vezes, desconhecidos da organização", diz Arthur.
Isso permite que a empresa tome ações imediatas para proteger seus ativos, corrigir os riscos de segurança da informação, proteger os direitos dos titulares de dados pessoais e, principalmente, demonstrar a conformidade com a LGPD, evitando, assim, as penalidades.
"Investir na adequação à LGPD leva segurança ao negócio, aos consumidores, aos fornecedores e ao poder público, de que a empresa leva a sério sua privacidade e segurança de dados. Isso aumenta a reputação e fortalece os negócios", reforça o especialista.
Fonte: Arthur Dantas Oliveira