Especialista dá cinco dicas básicas para que as organizações se enquadrem, de hoje até agosto de 2020, na legislação de proteção de dados
Hoje em dia, a maior parte das empresas, de pequenas a gigantes, em alguma frente de seu negócio, recebe algum tipo de dado do seu cliente – desde um nome e data de nascimento até informações sensíveis, como o número do cartão de crédito, caso bem comum nas companhias de e-commerce, por exemplo.
Se é o caso da sua empresa, então a LGPD (Lei Geral de Proteção de Dados) é para você, e ela começará a valer a partir de 16 de agosto do ano que vem. Inspirada na GDPR (General Data Protection Regulation ou Regulamentação Geral de Proteção de Dados), da União Europeia, a lei brasileira define como as empresas devem tratar, a partir do marco zero, dados de cidadãos brasileiros, e como devem se preparar para evitar vazamentos e que esses dados caiam em mãos erradas, como as dos criminosos digitais.
A partir da vigência da lei, companhias que a infringirem poderão ser, dependendo da infração, advertidas ou receber multas de até 2% do faturamento, limitadas, no total, a R$ 50.000.000,00.
Marcos Paulo Pires dos Santos, diretor de Engenharia de Valor da Think IT, empresa brasileira provedora de serviços de infraestrutura de TI, separou cinco dicas básicas de como sua empresa deve se preparar, de hoje até agosto do ano que vem, para se enquadrar na LGPD:
Organizar a base de dados interna – O primeiro passo é fazer uma varredura de quais dados de pessoas física a empresa dispõe hoje. A LGPD descreve dados pessoais como qualquer informação relacionada a uma pessoa natural identificada ou identificável, e inclui cookies. Vale ressaltara que alguns dados requerem atenção especial, tais quais os classificados como sensíveis, que identificam a origem racial ou étnica, posição religiosa ou filosófica, opiniões políticas, filiação sindical, questões genéticas, biométricas, sobre a saúde do indivíduo ou relacionada à vida sexual.
Posteriormente, é preciso organizar a base, discriminando o que realmente é útil à empresa, o que não se refere ao negócio e o que pode ser desconsiderado. A partir daí se terá a real visão de quais dados há em casa;
Selecionar o enquadramento legal – A LGPD estabelece 10 bases jurídicas diferentes para as companhias continuarem tratando dados pessoais. Do ponto de vista de negócios comerciais, os maiores enquadramentos são Interesse Legítimo e Consentimentos Legítimos. A companhia precisa se adequar a um desses fundamentos legais para prosseguir.
Definir um modelo de autorização para obtenção dos dados – Se a opção é por coletar consentimentos, é preciso obter uma maneira para se ter essa autorização, já que a Lei compreende que o consentimento é um “pronunciamento livre, informado e inequívoco por meio do qual os titulares de dados concordam com o processamento de seus dados pessoais para um propósito específico”.
Investir em cibersegurança – Independentemente do tamanho ou segmento da empresa, há sempre algumas proteções necessárias para evitar invasões e vazamento de dados. “Quanto mais sensíveis os dados, mais sofisticada tem que ser a barreira para evitar os ciberataques”, explica Santos. Além de ampliar a segurança da empresa, a lei também prevê que a adoção de políticas de boas práticas seja considerada como critério atenuante das infrações.
Nomear um responsável – Algumas companhias, especialmente as maiores ou cujo tratamento de dados seja o core business, também poderão ter de nomear o “Encarregado de Proteção de Dados” (DPO – Data Protection Officer), que terá a função de monitorar e conscientizar os funcionários no tema da proteção de dados, assim como será a interface com a Autoridade Nacional de Proteção de Dados.