Criar uma cultura corporativa de proteção cibernética tem importância maior do que apenas atender a uma formalidade jurídica. Os cibercrimes causam prejuízos, violam a privacidade e deterioram a credibilidade e os negócios das empresas.
Claudia Gomes (*)
Com a entrada em vigor em 18 de setembro da LGPD (Lei Geral de Proteção de Dados) – Lei nº 13.709, de 14 de agosto de 2018 -, as instituições passaram a ter um objetivo premente em comum: garantir a segurança digital a seus colaboradores e clientes visando a proteger seus dados de maneira eficaz.
Melhorar processos e tecnologias de apoio em relação à proteção de dados envolve, portanto, questões de assunção de responsabilidades previstas em lei. E a não conformidade pode acarretar penalidades por infrações ou práticas ilegais. Para isso, estruturar equipes com especialistas e recursos qualificados, a fim de diagnosticar os riscos inerentes ao negócio, é decisivo para o processo de adequação à LGPD.
Criar uma cultura corporativa de proteção cibernética, no entanto, tem importância maior do que apenas atender a uma formalidade jurídica. Os cibercrimes causam prejuízos de bilhões de reais todos os anos, violam a privacidade das pessoas e deterioram a credibilidade e os negócios das empresas. Notícias de invasões de hackers a sistemas internos causam sérios danos à imagem das organizações, às vezes irreparáveis. Portanto, zelar pela segurança da informação é também uma providência estratégica para a reputação das instituições.
Nesse contexto, a adequação às normas previstas pela LGPD adquire caráter de urgência, com destaque a seis ações prioritárias que devem estar no radar de todas as empresas:
- Designação de um encarregado DPO (Data Protection Officer)
A indicação do DPO deve ocorrer logo no início da implantação do programa de conformidade. De acordo com o Artigo 5º, Inciso VIII da LGPD, o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados). Além das competências elencadas pela LGPD, é importante que sejam considerados requisitos de experiência, conhecimento e formação para o desempenho da função de encarregado.
- Atividades de mapeamento
Mapear as atividades de tratamento de dados da empresa, ao menos as principais e as mais críticas, para constituir os registros de todas as operações de tratamentos de dados pessoais, de acordo com o requerido nos termos do Artigo 37 da LGPD. A obrigação de registro das atividades de tratamento de dados é a base de qualquer programa de governança de dados. Sem essa fotografia em série é impossível compreender o fluxo da informação, esboçar o que precisa ser modificado e o que pode ser mantido para estar em conformidade com a legislação de proteção de dados.
- Políticas de privacidade
Revisar e atualizar a política de privacidade atual ou implementar uma política de privacidade de acordo com os parâmetros básicos estabelecidos no Artigo 9º da LGPD, que especifica quais informações devem estar sempre disponíveis aos titulares de dados.
- Canal de comunicação
A criação de um canal de comunicação, de fácil acesso, para que os titulares dos dados exerçam seus direitos garantidos pela LGPD, dentro do que estabelece os Artigos 18 e 20 da lei. É mandatório que o canal seja público e de livre acesso a clientes, fornecedores, visitantes, empregados e demais públicos de interesse.
- Segurança da informação
Revisar os processos, sistemas e procedimentos internos relacionados à segurança da informação, tanto no meio físico (arquivos, chaves, controle de acessos), quanto no digital (logins, encryption, monitoring, firewalls, etc.).
- Identificação dos terceiros
Identificar os terceiros (fornecedores ou parceiros comerciais) com quem são partilhados os dados pessoais de empregados ou clientes e verificar o escopo, forma de tratamento e requisitos, especialmente se for um provedor estrangeiro. Dependendo das circunstâncias, principalmente em casos de transferências internacionais de dados, poderá ser necessário proceder a aditivos contratuais com o estabelecimento das proteções e restrições necessárias.
Em um cenário de transformação digital acelerada como o que estamos vivendo, as corporações têm esse desafio de implantar de forma responsável um programa de conformidade relacionada à segurança cibernética. Contar com soluções de alta tecnologia, ferramentas adequadas e equipe especializada para se adaptar às exigências da LGPD certamente criará um ambiente mais favorável para a mitigação de riscos e prejuízos.
(*) Vice-presidente Jurídica da Unisys para a América Latina