A Lei Geral de Proteção de Dados (LGPD) entra em vigor em agosto de 2020. Embora pareça que há muito tempo para se adaptar, este é um projeto formado por etapas que demandam cuidado e atenção. A lei brasileira tem como inspiração a General Data Protection Regulation (GDPR), assinada em 2016 na União Europeia e, como o modelo estrangeiro, objetiva ampliar a segurança no tratamento de dados.
Desta forma, ambas as legislações preveem a implementação de medidas de segurança em empresas privadas e públicas que façam uso de informações pessoais para comercializar produtos e serviços.
Vazamentos recentes de dados, como os registrados pelas gigantes Google e Facebook e que colocaram em risco a privacidade de pessoas, provam que estas regras são urgentes e necessárias. Desta forma, a partir da vigência da LGPD, passa a ser obrigatório que todas as empresas que lidem com dados particulares desde os mais simples -- como nome, endereço, telefone -- aos mais complexos -- como informações bancárias -- os protejam por meio de políticas internas. O não cumprimento da legislação resulta em multa que pode chegar ao valor de R$ 50 milhões.
Forme um time especializado
Na prática, há cinco passos básicos que as empresas devem cumprir para estarem de acordo com a Lei Geral de Proteção de Dados. O primeiro deles é determinar um time que deve ser treinado para responder pelo tratamento de dados. Eleger quem terá acesso às informações ajuda a prevenir falhas e a elaborar um plano de riscos em casos de vazamento.
Outra vantagem é garantir agilidade na apuração de possíveis erros e na correção deles. Desta forma, estes profissionais devem ter conhecimento sobre as normas e entender de compliance de proteção de dados. Uma medida de segurança é adotar a emissão de certificados digitais corporativos para a identificação das pessoas que tratam os dados.
Esta equipe atuará de forma a salvaguardar a integridade dos dados, além de ser um canal de comunicação direto para atender demandas dos titulares das informações e da Agência Nacional de Proteção de Dados (ANPD). Será ainda o time responsável por justificar possíveis erros e irregularidades.
Seja transparente com o titular das informações
A LGPD proíbe o uso indiscriminado de dados por meio de cadastros. Assim, é necessário que a empresa informe ao titular sobre as razões do uso das informações e peça seu consentimento para isso. Esse processo garante transparência, pois o usuário ficará sabendo qual será o destino dos dados.
Desta forma, a empresa deve publicar no site um aviso informando ao visitante que as informações coletadas podem ser usadas e de que maneira isso pode ocorrer. Além disso, a autorização deve ser confirmada com uma solução mais confiável do que um botão de "ok" ou de "Aceito".
Algumas soluções que usam criptografia garantem o sigilo de quem é o titular dos dados, como a assinatura digital, que tem valor jurídico, ou o carimbo do tempo, que deixa registrado o momento exato que o usuário permitiu o uso dos dados. Outra tecnologia bastante útil é o KMS, que armazena os dados em chaves criptográficas.
A privacidade é inegociável.
Mesmo com a autorização do usuário, as empresas precisam estar cientes que a privacidade é um fator inegociável. Isso significa que as estratégias para se adaptar à lei de proteção de dados devem ser seguidas à risca. Todos os sistemas internos devem ser configurados para a proteção das informações evitando ataques externos de hackers.
Um banco de dados com acesso restrito e com medidas para reforçar sua inviolabilidade é essencial. E, caso ocorra algum vazamento, mecanismos de segurança devem impedir a leitura destas informações, evitando o uso indevido delas.
Além das tecnologia e das medidas, o mais relevante é que toda a organização leve a sério a necessidade de proteger os dados dos usuários. Deve fazer parte da cultura da empresa o respeito às políticas de segurança para evitar que o mau uso de informações prejudique todo o negócio.
*Carlos Roberto De Rolt, fundador da BRy Tecnologia
