Nos últimos meses os termos GDPR e LGPD ficaram sob os holofotes do mercado. Isto porque são regulamentações que impactam negócios e consumidores. Ou seja, a sociedade como um todo está sob suas diretrizes. A GDPR, lei de proteção de dados da União Europeia, entrou em vigor em maio de 2018 e serviu de base para inúmeras outras regulações em todo o mundo. Inclusive para a Lei Geral de Proteção de Dados brasileira, a qual adiciona características locais. Aprovada em agosto do último ano, já é possível notar um avanço e uma reviravolta promovida pela LGDP.
Entretanto, ao se tratar de Brasil e segurança da informação, é necessário ter em mente que apenas a adoção de soluções de ponta não garante a adequação à lei, bem como a proteção das ameaças. Sendo assim, com a Lei Geral de Proteção de Dados brasileira, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança e implementar sistemas de compliance efetivos. O objetivo de tais medidas é prevenir, detectar e remediar violações de dados pessoais. A Lei Geral de Proteção de Dados prevê que a adoção de política de boas práticas será considerada como critério atenuante das penas, que podem chegar a 50 milhões de reais.
De acordo com o advogado Renato Opice Blum, considerado uma das sumidades em Direito Digital, Proteção de Dados e Educação Digital no Brasil, o consentimento do uso de dados deve ocorrer de forma livre, informada e inequívoca do indivíduo. Deve ainda expressar sua concordância com o tratamento de suas informações pessoais para uma finalidade determinada. “Tudo que for mais adequado para se proteger do ponto de vista técnico e contratual será levado em conta em uma situação de vazamento de dados”, destaca Opice Blum. Isto significa que mesmo fazendo tudo que estava ao seu alcance, houve o vazamento.
Já a utilização do processo de anonimização, técnica que afasta a possibilidade de associação ao indivíduo sem possibilidade de reversão, é uma alternativa prevista na LGPD. Esta pode ser utilizada para dispensar o consentimento do titular dos dados pessoais objeto de tratamento. Neste caso, o indivíduo não tem um rosto, o que torna mais fácil proteger sua identidade.
Profissionais e Autoridade Nacional de Proteção de Dados
Dentro dessa nova realidade, caberá às empresas nomear seu Encarregado de Proteção de Dados (DPO – Data Protection Officer). Esse funcionário terá como principal atividade o monitoramento e a disseminação das boas práticas em relação à proteção de dados pessoais perante funcionários e contratados no âmbito da empresa. Além disso, o funcionário será a interface com a Autoridade Nacional de Proteção de Dados (ANPD), criada em dezembro do ano passado.
A ANPD é constituída como órgão da administração pública federal integrante da Presidência da República. Dentre suas principais atribuições, destacam-se o estabelecimento de padrões técnicos, a avaliação de cláusulas e jurisdições estrangeiras no que tange a proteção de dados. Além disso, a determinação para a elaboração de Relatórios de Impacto, a fiscalização e aplicação de sanções, atividades de difusão e educação sobre a lei e demais atribuições que visam a correta aplicação da lei e os princípios da proteção de dados pessoais como um todo.
Por ter sido anunciada quatro meses após a LGPD, houve adiamento da data de vigência da regulamentação. Por um lado é positivo, pois as empresas terão um prazo maior para traçar e implementar um programa eficaz de segurança cibernética.
Por Waldo Gomes, diretor de marketing e relacionamento da NetSafe Corp