Quatro medidas para sua empresa se adequar à Lei Geral de Proteção de Dados

Brasil

27/07/2018 às 23h01

Quatro medidas para sua empresa se adequar à Lei Geral de Proteção de Dados

ESTA MATÉRIA FOI VISTA 218 VEZES

O plenário do Senado aprovou há duas semanas, a Lei Geral de Proteção de Dados pessoais, que tramitava como Projeto de Lei da Câmara 53/2018.

 

A Lei disciplina a forma como informações são coletadas e tratadas, especialmente em meios digitais, como dados pessoais de cadastro ou até mesmo textos e fotos publicados em redes sociais.

 

O projeto abrange as operações de tratamento realizadas no Brasil ou a partir de coleta de dados feita no País por empresas brasileiras ou estrangeiras.

 

A norma também vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui.

 

Também é permitida a transferência internacional de dados, desde que o país de destino tenha nível de proteção compatível ou quando a empresa comprovar que garante as mesmas condições exigidas pela Lei, como por exemplo, por meio de contrato.

 

Com a aprovação da lei, para coletar e tratar um dado, uma empresa ou ente precisa solicitar o consentimento do titular de forma clara, em cláusula específica.

 

A permissão dada por alguém, entretanto, pode ser revogada se o titular assim desejar.

 

Outra obrigação é a garantia da segurança dos dados, de modo a impedir acessos não autorizados e vazamentos.

 

Dada a complexidade das organizações, de seus sistemas e de seus ecossistemas de parceiros e de terceiros, a correta proteção de dados exigirá das organizações brasileiras que trabalham com dados pessoais a adequação em diferentes aspectos e níveis, que vão desde a cultura, políticas e procedimentos à implementação de tecnologias de ponta, para garantir a segurança e evitar multas e sanções.

 

Caso seja constatada alguma irregularidade, a empresa pode receber uma série de sanções, entre as quais está prevista a multa diária de até 2% do faturamento, com limite de R$ 50 milhões, assim como o bloqueio ou eliminação de dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento.

 

Assim como ocorreu a partir da promulgação da lei europeia de proteção de dados, a GDPR (do inglês, General Data Protection Regulation), que impulsionou a aprovação da Lei brasileira, espera-se uma grande demanda por parte dos usuários por privacidade, exigindo que as empresas tenham capacidade para responder e se adequar rapidamente.

 

Será necessário o investimento em novas soluções como sistemas de avaliação de riscos de terceiros, gestão de dados, mascaramento de dados, portais seguros de transferência de dados, bancos de dados seguros e de alta volumetria, gestão de identidade de consumidores e clientes, além da adoção de práticas e arquiteturas tecnológicas que considerem a proteção de dados por padrão (security by design) como, por exemplo, a encriptação nativa de dados pessoais quando forem coletados, a guarda segura destes dados em ambientes controlados e seguros, e o acesso controlado dos dados por meios seguros.

 

Para atender a estes desafios e atuar em conformidade na proteção de dados, é recomendável que as empresas sigam quatro etapas fundamentais:

 

(I) Descubra: identifique e realize o inventário de dados pessoais, incluindo sua classificação, quem controla, quem a processa e como são transferidas; 


(II) Gerencie: avalie o nível de proteção de dados em todos os envolvidos, sejam próprios ou terceiros;

 

(III) Proteja: defina e implante soluções, políticas e governança de dados em toda a organização;

 

(IV) Monitore: controle e audite continuamente o nível de proteção, assim como avalie constantemente possíveis vazamentos internamente e externamente.

 

Diante da atual força da economia digital, o projeto, que agora vai para a sanção do presidente Michel Temer, é um passo evoluído do Brasil no tratamento, confidencialidade e segurança de dados, juntamente com outros países que já possuem legislação sobre o tema.

 

A hora é de adequação nas empresas brasileiras, afinal, é sempre melhor prevenir do que remediar.

 

Mauricio Fiss é sócio-diretor da área de tecnologia da Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna

Comentários

Veja também

Facebook