28/7/2021 –

Fernando Santos, head de soluções da Certsys, organização que cresceu no atendimento a serviços de cibersegurança no último ano, orienta as companhias com três dicas destinadas para saber o grau de maturidade da Lei Geral de Proteção de Dados

Passando a valer a partir de 1º de agosto e com multas que podem chegar a R$ 50 milhões, muitas empresas ainda não têm conhecimento do atual estágio de maturidade em que se encontram para a adequação da Lei Geral de Proteção de Dados (LGPD). Algumas estão em fase de mapeamento de processos e riscos, outras se movimentam para reforçar controles de segurança externa, como o bloqueio de cookies, e há aquelas companhias mais avançadas, que optaram pela figura do DPO (Data Protection Officer) as a Service como forma de garantir a proteção de dados dos indivíduos, sob os olhos de um profissional especializado.

“Muitas organizações em estágio progressivo de governança vivem o dilema de não saberem lidar com o famoso o dia depois de amanhã, que é quando as punições já estão em vigência, mas falta o entendimento prático e técnico em manter em dia as atualizações e proteções dos dados”, explica Fernando Santos, especialista em cibersegurança e head de soluções da Certsys, empresa especializada em soluções para Transformação Digital e inovação.

Pensando nisso, com o objetivo de apoiar companhias de todos os tamanhos nas melhores práticas à LGPD, o executivo da Certsys elencou as três fases principais que determinam em qual estágio de maturidade as organizações se encontram.

Fase 1 – LGP: O que é?

São as corporações que sabem da lei, mas não tem conhecimento para iniciar a jornada. Nessa etapa é interessante indagarcom as seguintes perguntas: ”Nós sabemos quais os dados são tratados pela minha empresa?”; ”Eles são pessoais?”; “São RG, CPF, número da conta-corrente do banco. E quais destes dados são sensíveis?”. O desafio aqui é ter um time multidisciplinar capaz de ter visibilidade sobre todos os dados que são tratados pela empresa, do RH ao financeiro, da portaria até o comercial. Isto precisa ser feito sob a supervisão de um profissional qualificado para entender o risco e a necessidade do tratamento correto de cada uma das informações. Ações de transparência com o mercado são essenciais nesta fase. Desconfie se a organização tiver um site que não possibilita ao cliente, ou ao visitante, selecionar a coleta de cookies; que não permite entender a política de privacidade ou entrar em contato com os responsáveis pela privacidade. Por isso, é importante realizar não só as adequações internas, mas demonstrar o compromisso ético com os dados pessoais utilizados dos clientes e usuários.

Fase 2 – “Estou tranquilo, já tenho mapeados os processos, tenho um antivírus e minha TI cuida dos dados”

É a empresa intermediária, que está entre a fase de estruturação e de adequação. Realiza movimentos tímidos e, muitas vezes, opta por soluções caseiras, tanto na acomodação de colaboradores vindos de outras áreas quanto na adesão tecnológica de soluções modulares de segurança. Porém, vez e outra, se pergunta sobre a legitimidade dos dados que circulam nos sistemas da companhia. “Qual a finalidade de uso destes dados? Eu tenho direito de usar esses dados?”.

Este é o cenário mais comum e, igualmente, o mais arriscado. Quando a companhia acredita estar pronta para a LGPD, mas na prática ainda existem muitas brechas e trabalho de conformidade pela frente. Não é raro ver empresas designando profissionais da TI ou do departamento jurídico para o papel do DPO sem uma qualificação prévia ou um plano para que estes profissionais saibam como conduzir um projeto de adequação da forma correta. O comitê de privacidade, junto do DPO, deverá determinar as ações preventivas com o objetivo de identificar e mitigar possíveis riscos jurídicos e técnicos que podem afetar a empresa como um todo, além de ter um modelo de respostas em caso de questionamentos dos titulares ou até mesmo da autoridade nacional de proteção de dados.

Nesta fase é importante que a empresa saiba responder alguns questionamentos básicos, de forma clara, segura e objetiva como, por exemplo: ”Eu sei quais são os dados pessoais que são tratados?”; ”Tenho isto documentado?”; ”Consigo identificar a localização de um dado pessoal em sistemas e arquivos?”; ”Quais medidas foram tomadas para proteger estes dados e quem tem acesso a eles?”.

Se a resposta for difícil, é sinal de que ainda tem bastante trabalho pela frente e possíveis riscos que ainda não foram sequer identificados. O maior problema nesta fase é não saber quais as reais vulnerabilidades que a empresa corre.

Fase 3 - 02 de agosto: o dia depois de amanhã

A companhia investiu em estrutura robusta, profissionais especializados em governança de dados e tecnologias capazes de bloquear qualquer vazamento interno ou até mesmo uma má intenção de hackers. Está tudo certo no que tange às regras da LGPD. Porém, os esforços de conscientização não podem se concentrar apenas nos dias que antecederão agosto. É preciso pensar no “pós”. Por isso, o responsável precisa revisitar sistemas, mapear riscos e outras ações visadas para assegurar os dados dos usuários. O lema aqui é: prudência nunca é demais.

As mudanças acontecem de maneira dinâmica, as áreas de negócios têm cada vez mais autonomia de decidir quais softwares serão utilizados, os fornecedores escolhidos e quais serão os processos criados. Com esta agilidade, também vem o questionamento se todas estas mudanças estão sob os olhares do DPO e do comitê de privacidade. A aquisição de uma plataforma de marketing ou de um sistema de vendas podem implicar diretamente no respeito ao direito dos titulares. É importante saber que a LGPD não é algo nos moldes de “implantado e finalizado”. Pelo contrário, a privacidade aos dados pessoais deve fazer parte da cultura da empresa e ser assunto recorrente hoje, amanhã e sempre.

Para ter uma ideia de como o consumidor está atento à lei, em menos de um ano de vigência, a LGDP já embasou cerca de 600 sentenças judiciais de cidadãos que questionam o uso de seus dados por empresas. Das 598 decisões já tomadas em todos os tribunais do país de 18 de setembro de 2020, data de sanção da lei, a 25 de junho deste ano, a metade trata diretamente de proteção de dados pessoais e privacidade, conforme levantamento realizado pela Juit, especializada no uso de ferramentas automatizadas para fazer varredura de tribunais.

Santos finaliza ao dizer que a visão da LGPD para algumas empresas ainda é limitada.

