*Por Maurício Fiss
O plenário do Senado
aprovou há duas semanas, a Lei Geral de Proteção de Dados pessoais, que
tramitava como Projeto de Lei da Câmara 53/2018. A lei disciplina a forma como
informações são coletadas e tratadas, especialmente em meios digitais, como
dados pessoais de cadastro ou até mesmo textos e fotos publicados em redes
sociais.
O projeto abrange as
operações de tratamento realizadas no Brasil ou a partir de coleta de dados
feita no país por empresas brasileiras ou estrangeiras. A norma também vale
para empresas ou entes que ofertem bens e serviços ou tratem informações de
pessoas que estão aqui. Também é permitida a transferência internacional de
dados, desde que o país de destino tenha nível de proteção compatível ou quando
a empresa comprovar que garante as mesmas condições exigidas pela Lei, como por
exemplo, por meio de contrato.
Com a aprovação da lei,
para coletar e tratar um dado, uma empresa ou ente precisa solicitar o
consentimento do titular de forma clara, em cláusula específica. A permissão dada
por alguém, entretanto, pode ser revogada se o titular assim desejar. Outra
obrigação é a garantia da segurança dos dados, de modo a impedir acessos não
autorizados e vazamentos.
Maurício Fiss |
Dada a complexidade das
organizações, de seus sistemas e de seus ecossistemas de parceiros e de
terceiros, a correta proteção de dados exigirá das organizações brasileiras que
trabalham com dados pessoais a adequação em diferentes aspectos e níveis, que
vão desde a cultura, políticas e procedimentos à implementação de tecnologias
de ponta, para garantir a segurança e evitar multas e sanções.
Caso seja constatada
alguma irregularidade, a empresa pode receber uma série de sanções, entre as
quais está prevista a multa diária de até 2% do faturamento, com limite de R$
50 milhões, assim como o bloqueio ou eliminação de dados tratados de maneira
irregular e a suspensão ou proibição do banco de dados ou da atividade de
tratamento.
Assim como ocorreu a
partir da promulgação da lei europeia de proteção de dados, a GDPR (do inglês,
General Data Protection Regulation), que impulsionou a aprovação da lei
brasileira, espera-se uma grande demanda por parte dos usuários por
privacidade, exigindo que as empresas tenham capacidade para responder e se
adequar rapidamente.
Será necessário o investimento
em novas soluções como sistemas de avaliação de riscos de terceiros, gestão de
dados, mascaramento de dados, portais seguros de transferência de dados, bancos
de dados seguros e de alta volumetria, gestão de identidade de consumidores e
clientes, além da adoção de práticas e arquiteturas tecnológicas que considerem
a proteção de dados por padrão (“security by design”) como, por exemplo, a
encriptação nativa de dados pessoais quando forem coletados, a guarda segura
destes dados em ambientes controlados e seguros, e o acesso controlado dos
dados por meios seguros.
Para atender a estes
desafios e atuar em conformidade na proteção de dados, é recomendável que as
empresas sigam quatro etapas fundamentais: (I) Descubra: identifique e
realize o inventário de dados pessoais, incluindo sua classificação, quem
controla, quem a processa e como são transferidas;
(II) Gerencie: avalie o nível de proteção de dados em todos os envolvidos, sejam próprios ou terceiros;
(II) Gerencie: avalie o nível de proteção de dados em todos os envolvidos, sejam próprios ou terceiros;
(III) Proteja: defina e implante soluções, políticas
e governança de dados em toda a organização;
(IV) Monitore: controle e audite continuamente o
nível de proteção, assim como avalie constantemente possíveis vazamentos
internamente e externamente.
Diante da atual força da
economia digital, o projeto, que agora vai para a sanção do presidente Michel
Temer, é um passo evoluído do Brasil no tratamento, confidencialidade e
segurança de dados, juntamente com outros países que já possuem legislação
sobre o tema. A hora é de adequação nas empresas brasileiras, afinal, é sempre
melhor prevenir do que remediar.
*
Mauricio Fiss é
sócio-diretor da área de tecnologia da Protiviti, consultoria global
especializada em finanças, tecnologia, operações, governança, risco e auditoria
interna.