Entrada em vigor da Lei Geral de Proteção de Dados acende alerta nas empresas

  André Cilurzo*     26/02/2021
Entrada em vigor da Lei Geral de Proteção de Dados acende alerta nas empresas

Pesquisa indica que menos de 30% das organizações iniciaram o mapeamento dos dados que gerenciaram seus riscos, mesmo às vésperas da entrada em vigor da LGPD


Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), em agosto deste ano, e com sanções econômicas por descumprimento dessas regras a partir de agosto de 2021, empresários de todos os portes têm poucos meses para se aprofundarem no tema. Na verdade, a maior parte já está atrasada, pois novas normas a conhecer e ajustes a serem feitos não faltam.
 
Na contramão da necessidade, o desconheci­ mento sobre o tema ainda é grande, especialmente entre micro, pequenas e médias empresas. De acordo com a ICTS Protiviti, consultoria de gestão de riscos e compliance, pesquisa feita sobre a vigência da Lei Geral de Proteção de Dados e a adoção de medidas pelas Micro e Pequenas Empresas (MPE) para a adequação à lei mostra que operações deste porte estão mais atrasadas se comparadas às grandes empresas.


De 136 participantes do levantamento, de um universo de 192 organizações respondentes, 101 delas não iniciaram o mapeamento. A pesquisa também mostrou que a maior diferença identificada está na adequação tecnológica, registrando que 95% não estão em conformidade em relação à segurança das informações - questão que possui maior maturidade em grandes corporações.


Outros dados da pesquisa que chamam a atenção se referem à estrutura para proteção de dados e à gestão do tratamento dos dados. Nestes quesitos, cerca de 80% ainda seguem sem adequação, 84% não mapearam suas bases legais e 81% não capacitaram seus colaboradores em relação às novas regra s. Segundo André Cilurzo, especialista em LGPD e diretor associado da ICTS Protiviti, entre os grandes riscos para empresas em geral está o vazamento de informações e uso indevido desses dados, especialmente se causarem algum tipo de dano ao cliente ou mesmo ao funcionário. Afinal, a empresa também precisa pensar nos dados que gerencia de seus colaboradores.


"Quem se sentir prejudicado poderá pedir indenização moral, já que é o dono desses dados. A empresa terá que ter cuidado com o tratamento e uso indevido. Hoje, muitas empresas coletam dados que não são realmente necessários para atividade ou para aquela ação em questão, inclusive na área de recursos humanos", alerta Cilurzo.


A captação excessiva de dados precisa ser repensada, alerta o especialista, e isso serve inclusivo para o preenchimento de um currículo para vagas de emprego. Se existe um desvirtuamento do objetivo e/ou utilizou-se para outra finalidade a informação recebida, isso pode ser penalizado. Ou seja, a empresa que coletar um volume massivo de dados está mais sujeita a danos, já que os riscos são sempre maiores quando se lida com um volume elevado de informações. A LGPD deve começar a inibir o uso indevido, por exemplo, de contatos telefônicos, por telemarketing, serviço para o qual já há restrições pela Lei do Consumidor, e que ganham mais um impedimento.


"Os advogados, principalmente, já debatem este tema juntamente com outros órgãos reguladores. Inclusive sobre como aplicar determinadas sanções a quem utilizarem incorretamente os dados. E mesmo que as sanções fiquem para 2021, a LGPD permite ações posteriores já que o consumidor tem o direito adquirido sobre aqueles dados e poderá se valer da da lei posterior­ mente", destaca Cilurzo.


Até aquele cruzamento digital de informações que levam a oferta de produtos para diretamente ao internauta nas redes sociais pode mudar. Cilurzo diz que o próprio Google e o Facebook, com suas ferramentas de analytics, poderão ser revistos. O Google foi multado neste ano na Europa, de acordo com o executivo, justamente por abuso no uso dos dados dos internautas. "O Google não vai mais poder usar de forma tão indiscriminada essas informações sem consentimento do dono, assim como o Facebook", analisa Cilurzo.


CINCO DICAS PARA FICAR POR DENTRO DA NOVA LGPD


1) Para se adequar à lei e evitar passivos e ações na Justiça, avalia sua necessidade de investimento em tecnologia de proteção de dados.


2) Entenda quais são as reais informações que têm armazenadas sobre clientes e funcionários e se são fundamentais ou relevantes para a sua atividade.


3) Pratique a teoria do desapego quando pedir aos consumidores informações que nem serão utilizadas na operação e nem são essenciais ao negócio ou nem mesmo para ter um diferencial competitivo.


4) Saiba que as empresas também terão que abrir um canal para atender dúvidas de colaboradores e funcionários sobre como estão sendo usados os seus dados e até mesmo o consumidor poderá solicitar que esses dados sejam apagados. Isso não vale apenas para informações previstas em leis e sobre as quais a empresa tenha que manter em arquivo por questões regulatórias, de legítimo interesse da empresa ou até mesmo do poder público, como em caso de saúde pública.


5) As empresas também devem adotar ações mitigatórias e de redução de risco de uso indevido desses dados, seja por hackers ou até mesmo por funcionário s. Para isso, é necessário garantir que seu arcabouço tecnológico esteja blindado a invasões, assim como a empresa deve trabalhar ao lado das pessoas, com normas internas e treinamento de funcionários. Todos dentro da empresa devem ter consciência dos riscos e impactos que o uso desses dados incorretamente pode trazer, e até mesmo a coleta das informações.


O QUE APONTA A PESQUISA DA ICTS PROTIVITI


• O levantamento da empresa reuniu informações coletadas a partir de interações de empresas desde 10
de agosto de 2019. Na pesquisa geral, com empresas de diferentes portes, das 192 companhias respondentes, 84% seguem sem uma diretriz clara sobre a adequação.

• Segundo o levantamento, das 136 micro e pequenas empresas participantes, 101 delas não iniciaram o mapeamento de dados pessoais sensíveis, que é uma das principais exigências da Lei, ou seja, 75%.

• Na primeira versão do mapeamento, divulgado em novembro de 2019, das 61 MPEs pesquisadas, 44 não haviam iniciado esse mapeamento, ou seja, 72%.

• A pesquisa também aponta que a maior diferença identificada entre as empresas de maior porte e as MPEs está na adequação tecnológica. Neste quesito, 95% não estão em conformidade em relação à segurança das informações, questão que possui maior maturidade em grandes corporações.

• Como orientação geral, a ICTS Protiviti recomenda criar um grupo multidisciplinar para realizar um diagnóstico da empresa, mapeando as áreas, processos, sistemas e profissionais que atuam ou podem vir a atuar com dados pessoais.

• O passo seguinte envolve a Tecnologia da Informação (TI), que deve avaliar o ambiente da empresa, como servidores, redes e dispositivos por onde trafegam e ficam armazenados os dados pessoais. Adicionalmente, as empresas precisarão monitorar continuamente o nível de proteção, avaliando constantemente possíveis vazamentos.

• Também se deve criar um alerta sobre os aspectos legais. É necessário que as empresas revisem os documentos e dados já utilizados e os readéquem a esta nova realidade. As micro e pequenas empresas da amostra foram dos segmentos de tecnologia da informação, serviços profissionais diversos, saúde, educação, agropecuária e construção civil.
 



* André Cilurzo, Diretor de Data Privacy na ICTS Protiviti.

Fonte: Revista Anfac