Haja ou não a postergação do prazo de vigência da Lei, as equipes de TI já devem avaliar quais processos de guarda e segurança de dados estão em funcionamento nas organizações
Dyogo Junqueira (*)
A convulsão na economia, provocada pela pandemia da covid-1, está levando muitas empresas a acreditarem que o adiamento do prazo da entrada em vigor Lei Geral de Proteção de Dados Pessoais (LGPD) poderia ser um bom negócio, aliviando suas equipes da tarefa de adequação às novas regras.
O cenário criado pela pandemia levou a ser apresentada no Congresso proposta de prorrogação da entrada em vigor da Lei. O Senado aprovou a vigência a partir de janeiro de 2021, com as multas e sanções sendo válidas somente a partir de agosto de 2021. Mas a matéria ainda deverá ser apreciada pela Câmara do Deputados. Em uma nota técnica enviada ao Congresso, o MPF defendeu que a LGPD entre em vigor no dia 20 de agosto, como previsto pela legislação.
Pesa a favor do adiamento o argumento de que apenas uma pequena parcela das empresas brasileiras iniciou o processo de adequação à Lei e que a covid-19 empurrou as organizações a deixarem de lado seus processos internos de adequação, levando-as a dar prioridade à solução da paralisação de parte ou de todas as suas atividades a partir de março deste ano, quando a maioria dos Estados brasileiros decretou o isolamento social e o fechamento das atividades não essenciais e do comércio. Somente estão a todo vapor as atividades consideradas essenciais pelo Decreto 10.282/2020.
Antes da pandemia já se cogitava o adiamento pelo fato de muitas empresas não estarem prontas para cumprir a legislação. Entendemos, porém, que as companhias não podem se apoiar no inesperado da pandemia para justificar o fato de não estarem preparadas. É verdade que muitos são os fatores que podem levar uma empresa a não estar convicta sobre se está ou não com todos os processos ajustados, mas é verdade também que a necessidade de manter as informações pessoais de clientes internos e externos em segurança é uma demanda que vem de longo tempo.
Existe uma cultura no Brasil de se deixar para a última hora – dentro do período legal – para se fazer as coisas no limite do prazo. Algumas pesquisas divulgadas pela imprensa recentemente revelaram que a maioria das empresas não estariam prontas para chegar na data prevista em condições de atenderem à LGPD e não serem penalizadas caso ocorresse algum tipo de vazamento dentro de sua base de dados.
Medidas simples podem ajudar
Acreditamos que não importa se teremos ou não o adiamento, o que é certo é que pequenas ações lideradas pelas equipes de TI podem ajudar neste processo, ao avaliar quais processos de guarda e segurança de dados existem em funcionamento na empresa. Um check-list pode ajudar. Já havíamos comentado anteriormente alguns procedimentos preliminares, os quais podemos retomar aqui:
1 – Conhecer a LGPD;
2 – Constituição de equipe multidisciplinar e definição do Encarregado de Proteção de Dados (EPD/DPO);
3 – Definição de papéis dos participantes da equipe multidisciplinar;
4 – Mapeamento e identificação dos dados de clientes em poder da organização;
5 – Definição das necessidades para tratamentos dos dados;
6 – Definição das ferramentas de softwares de apoio;
7 – Adequação e execução das normas;
8 – Monitoramento;
9 – Tratamento e ação;
10 – Relatórios das conformidades.
Retomamos também as seções I (Artigo 46) e II (Artigo 50) da Lei, que abordam a segurança e sigilo dos dados, o que nos leva a pensar na adoção de boas práticas de governança para que as empresas possam atender o que determina a Lei no quesito de proteção dos dados.
Auditoria de dados
As equipes de TI devem promover uma auditoria de dados e de aplicações de software na rede corporativa a partir do uso de ferramentas de software especialmente desenhadas para estas atividades.
Com esta auditoria, é possível verificar quais aplicações de software estão desatualizadas, as quais podem apresentar vulnerabilidades de segurança, e checar o status da integridade dos dados a partir do controle de documentos, grupos de usuários, senhas de acesso a sistemas e arquivos, concessão de privilégios, dispositivos, entre outro pontos, o que inclui avançar no cumprimento da LGPD..
Trata-se de um procedimento inicial, vital para reportar à autoridade de dados as medidas que foram adotadas para o cumprimento da Lei. Quando a LGPD entrar em vigor – seja em agosto deste ano ou depois -, a empresa certamente terá as alegações apropriadas em caso de auditoria por parte dos agentes reguladores.
(*) VP de Vendas e Marketing da ACSoftware, fornecedora de tecnologias e serviços baseados nas soluções ManageEngine.