Com objetivo de regulamentar o uso de dados pessoais pelas empresas no Brasil e oferecer mais segurança e controle à população, a Lei Geral de Proteção de Dados (Lei 13.709) foi sancionada em 2018, entrou em vigência em fevereiro de 2020 e agora, em 2021, passará a aplicar punições e multas às organizações que não estiverem em conformidade com as disposições previstas na lei. A partir de 1º de agosto empresas e órgãos públicos podem ser punidos se não estiverem garantindo a devida proteção às informações que estão sob sua responsabilidade.
O movimento de adequação já vem ocorrendo há algum tempo em muitas empresas, mas os boards devem estar atentos também às cobranças necessárias após este processo, a fim de orientar a diretoria e demais partes executivas no que diz respeito ao gerenciamento de riscos. “Antes, você não era obrigado a ter uma área de segurança da informação ou risco, a não ser que você fosse fazer o IPO da sua empresa, mas agora não. Com a LGPD, você é obrigado a ter uma área de proteção de dados, com um data protection officer, o DPO, e tudo formalmente divulgado, com outras formas de comunicação disponíveis”, explica Fernando Nicolau Freitas Ferreira, membro da comissão de Gerenciamento de Riscos Corporativos do IBGC.
Para o especialista, a LGPD surge para regulamentar a privacidade das pessoas. “Mas não se pratica a privacidade sem falar da segurança da informação. Por isso, é importante que a empresa tenha um sistema de gestão de segurança e privacidade, com pessoas bem capacitadas para exercer as funções da área”, alerta Ferreira.
Diálogo com os conselhos
Apesar do prazo de adequação estar chegando ao fim, segundo a pesquisa “Agenda 2021: Recuperação, sustentação e o legado para os negócios”, realizada pela Deloitte no fim de 2020 com 663 empresas de 36 segmentos econômicos, apenas 38% das empresas afirmaram estar totalmente preparadas para atender à regulamentação, à época de sua entrada em vigor.
“O número de investimentos cresceu com a pandemia, mas ainda há coisas a serem feitas”, ponderou Ferreira, chamando atenção para a importância do tema ser recorrente na agenda dos conselhos. “Há conselheiros que estão dando mais atenção ao tema, mas de uma forma pouco aprofundada. Esse é um tema a ser tratado por meio de comitês de segurança que fazem o assessoramento ao conselho, como um comitê de risco ou de inovação”, completou.
Trabalho de diagnóstico integrado
Ferreira ainda aponta que entre as principais mudanças já observadas desde que a lei foi sancionada está o envolvimento de todas as áreas, pois todos precisam saber sobre a LGPD e entender sua base legal. Contudo, em relação à coleta de dados, ele reitera que deve haver uma análise para que as informações pedidas aos usuários não ocorram sem necessidade. Além disso, quanto à armazenagem de dados é necessário um pouco mais de investimentos e ir além da mera adoção de ferramentas, já que a área de privacidade está bastante atrelada à de segurança.
“Algumas empresas acreditam que só por ter uma plataforma na nuvem já há proteção de dados. Não basta só isso. Por isso, é tão necessário o papel do DPO. A área de segurança também é uma área corporativa de riscos e na conjuntura atual é chamada de riscos cibernéticos. Quanto mais transparência você tiver, em conformidade com as normas ISO e mostrando que tem equipe de segurança, tem DPO, mais sua empresa estará preparada”, afirma.
O especialista, por fim, sintetizou três pontos de atenção para este período e deixou alguns esclarecimentos sobre cada um, confira a seguir:
1. Treinamento de pessoas
“Tudo começa com o envolvimento das pessoas e as pessoas são suscetíveis a erros. As pessoas têm que saber como podem ou não manusear os dados”.
2. Trabalho de diagnóstico integrado entre segurança da informação e privacidade
“Esse trabalho de diagnóstico é um trabalho muito estratégico, que apoia a tomada de decisões, prevenindo o risco de imagem, por exemplo”
3. Combinação de ferramentas de controle e monitoramento
“A lei diz que é necessário proteger, mas como você faz isso? Com controle de acesso, com usuário com senha, com criptografia. Colocando sempre alguma solução que bloqueia a tentativa de invasão e aliando o monitoramento a essas ferramentas.
Fonte: IBGC. Acesso em: 21/07/2021.
