A contagem regressiva para a entrada em vigor da última fatia da Lei Geral de Proteção de Dados Pessoais (LGPD) está terminando.
Uma fatia nada doce para as empresas que ainda não se adequaram. No dia primeiro de agosto de 2021 começará a fiscalização e a aplicação de sanções por parte da já atuante Autoridade Nacional de Proteção de Dados (ANPD), agência responsável por fiscalizar o cumprimento da LGPD.
Em seu debut, como entidade agora dotada de poderes para advertir e punir, a ANPD focará nos negócios que sofreram vazamentos de dados e será acionada quando uma pessoa se sentir lesada. Caberá a ela tomar as providências, podendo submeter as empresas a auditorias e autuações, além das devidas sanções em caso de descumprimento. Ela não trabalhará sozinha, pois já conta com a cooperação de outros órgãos conhecidos por suas fiscalizações e autuações relacionadas ao tema da privacidade e da proteção de dados, como a Secretaria Nacional do Consumidor (Senacon) e o Ministério Público Federal (MPF).
Vale lembrar que as punições que a ANPD poderá aplicar incluem advertência, publicização da infração, multa simples ou diária, de até 2% do faturamento e limitada a R$ 50 milhões por infração, e bloqueio ou eliminação dos dados pessoais a que se refere a infração.
O problema é a mancha que fica na reputação da empresa que não se adequou. Recentemente, o presidente da ANPD, Waldemar Gonçalves Júnior, em entrevista à Agência CNI de Notícias afirmou que “o maior patrimônio que uma empresa tem é a sua reputação, que é construída ao longo de toda a vida útil do negócio, e pode ser prejudicada se os responsáveis não se adequarem à LGPD”. As queixas nos sites e plataformas especializadas em reputação empresarial contendo o termo LGPD aumentaram consideravelmente e, segundo um levantamento do portal Tecmundo, somente 20% das reclamações foram concluídas com grau alto de satisfação.
Além das multas milionárias, publicação da infração, paralisação das atividades e da imagem arranhada no mercado, já se nota um aumento considerável de ações judiciais de trabalhadores, sindicatos e consumidores sobre a LGPD. Com a cultura de judicialização de qualquer conflito como temos no Brasil, não é novidade que as demandas sobre proteção de dados batessem na porta do Judiciário. O problema é que poucas empresas se prepararam para provar em juízo que estão adequadas e tampouco contavam com uma judicialização tão expressiva.
Certamente, o melhor caminho é a conformidade e para isso é importante conhecer a legislação e de que forma a empresa trata os dados pessoais que ficam sob sua custódia.
Sun Tzu, em a “Arte da Guerra”, discorreu que é necessário conhecer o inimigo e a si mesmo para não temer o resultado de cem batalhas. Com essa perspectiva, na busca para alcançar o ponto de equilíbrio e a conformidade com as premissas dispostas na LGPD, é imperativo conhecer as necessidades da coleta de dados e quais são suas finalidades. Além disso, verificar se os procedimentos adotados estão adequados e alinhados ao fim pretendido, no que tange, notadamente, a utilização desses dados como ativos de informação, atualmente, substancialmente relevantes para agregar valor às operações, é elementar.
A LGPD não determina de forma expressa os passos e etapas a serem seguidos para que se estabeleça um processo ético e lícito quanto ao uso dos dados pessoais. Ela aponta uma direção, com fundamentos e princípios que servem de baliza para que as empresas (que podem atuar como controladoras ou operadoras) adotem medidas, baseadas nas melhores práticas em segurança da informação, visando evitar que agentes externos, que não integram os procedimentos estabelecidos, tenham acesso aos dados e informações coletados.
Em uma sociedade que converge e depende de um modelo digital de relações, sejam essas pessoais ou comerciais, e, aliado a isso, o raso conhecimento e preocupações dos usuários dos sistemas informáticos, é muito mais exitoso para um atacante – cibercriminoso – desenvolver um método, apoiado em gama de artifícios, para induzir a vítima a cometer um deslize e alcançar o seu intento do que, efetivamente, invadir fisicamente uma organização para obter os resultados esperados. Os riscos decorrentes de um ataque cibernético, para o atacante, são muito menores, além de facilmente replicável, pois este se encontra oculto e abrigado pela infraestrutura tecnológica, como dispositivos, técnicas e serviços de conexão de dados.
É bem sabido que a tomada de medidas simples pode aumentar substancialmente a segurança no uso cotidiano dos aparatos tecnológicos, e, visando alcançar o resultado esperado para proteger suas operações, aquelas que envolvem o tratamento de dados pessoais e a própria inteligência do negócio, devem, os agentes de tratamento, bem como os próprios titulares dos dados, pessoas naturais, buscar guarida em um comportamento mais proativo ao invés da costumeira reação posterior ao evento.
Treinamento e capacitação são palavras de ordem
Todavia, outros pontos de controle não devem ser relegados, como: inventário para gestão dos ativos; proteção dos equipamentos, e isso envolve dispositivos móveis e home office, bem como software de proteção, controle das comunicações (e-mails e aplicativos de mensagem instantânea) e o seu meio, redes lógicas; prudência no processo de contratação de pessoas e terceirizados; controle de acesso, seja ao ambiente físico ou lógico, além do devido planejamento para o gerenciamento de risco e o tratamento de incidentes em segurança da informação.
Por fim, os processos são vivos, devem passar por constantes avaliações críticas e de melhorias, visando alcançar a compatibilidade com as expectativas dos envolvidos, do mercado e dos avanços tecnológicos.
