A Lei Geral de Proteção de Dados (LGPD), que determina as responsabilidades das pessoas jurídicas sobre o tratamento, armazenamento e compartilhamento de informações sigilosas de clientes e colaboradores, entrou em vigor há três anos, mas muitas empresas ainda não adotaram medidas para garantir a proteção de dados em suas rotinas, o que coloca em risco a integridade da informação e pode gerar multas.
“Após ser sancionada, a LGPD levou mais de dois anos para entrar em vigor, justamente para que as empresas pudessem se adequar à legislação. Porém, o tratamento e a segurança dos dados nem sempre são prioridade dentro das empresas”, alerta Fábio Fukushima, diretor da L8 Security, empresa especializada em segurança da informação.
Segundo o especialista, a LGPD ainda gera muitas dúvidas e atinge de forma indiscriminada empresas de todos os portes, desde o pequeno comerciante até o grande varejista. “Muitos empreendedores desconhecem as responsabilidades que têm em relação à proteção de dados de seus clientes e colaboradores e, por falta de informação, acabam não implantando processos internos para evitar o vazamento das informações. Por isso, todas as empresas que tenham dados dos clientes armazenados precisam adotar medidas de prevenção”, afirma Fukushima.
Ele cita cinco medidas que podem aumentar a Segurança da Informação nas empresas:
1 – Defina as responsabilidades
O primeiro passo é conhecer e identificar quais são os agentes envolvidos no tratamento de dados pessoais dentro da corporação, para definir as responsabilidades de cada um. A legislação define dois agentes: o controlador, principal interessado na retenção dos dados e quem responde pelas decisões referentes ao tratamento dos dados, e o operador, que realiza o tratamento em nome do controlador.
2 – Conheça os seus dados
Entenda quais dados sua empresa armazena, quais as informações pessoais e sensíveis que a empresa detém e que estão sujeitas à LGPD. Defina o grau de importância desses dados para a gestão estratégica da empresa, os propósitos para os quais eles foram armazenados e quando devem ser destruídos.
“É muito importante lembrar que os dados devem ser guardados pelo tempo necessário para um fim específico, como por exemplo, um processo seletivo. Assim que a vaga for preenchida, o ideal é que os dados dos concorrentes sejam destruídos. Além disso, qualquer pessoa tem o direito de pedir, a qualquer momento, a exclusão ou atualização das informações pela empresa”, explica Fukushima.
3 – Crie rotinas e fluxos
A proteção de dados deve ser incorporada à cultura organizacional e ser uma preocupação constante tanto dos gestores quanto da equipe. Para isso, é fundamental criar rotinas e procedimentos internos que englobem todo o processo de tratamento de dados, desde a coleta, organização, consulta e destruição das informações. Assim, é possível criar um fluxo para a gestão e para atender aos pedidos dos titulares dos dados.
4 – Tenha um plano de gerenciamento de crise
Exercite um hipotético caso de vazamento dos dados pessoais armazenados por sua empresa, de forma que ela tenha que apresentar um relatório de impacto dos dados vazados à Autoridade Nacional de Proteção de Dados (ANPD). Ao simular estes casos, você consegue organizar uma resposta rápida tanto aos órgãos de controle, quanto para os públicos interno e externo da empresa. Neste processo, é importante estar sempre atualizado e saber quais os órgãos devem ser comunicados (ANPD, Procon, Senacon, entre outros) e por quais canais devem ser notificados sobre o incidente.
5 – Invista em tecnologia
Utilize ferramentas que aumentam a segurança da informação na sua empresa para evitar vivenciar um incidente. Identifique onde, quando e para quem os dados ficam mais expostos e vulneráveis a vazamentos, de forma que seja possível implementar ferramentas que possam controlar, limitar, impedir ou registrar todos os acessos e movimentações desses dados. Ainda que um incidente ocorra, essas ferramentas irão te ajudar a responder aos órgãos de controle os detalhes do vazamento.
A LGPD entrou em vigor em setembro de 2020, mas somente no início de 2023 a ANPD definiu a dosimetria para a aplicação das penalidades previstas na legislação. As punições para as empresas que descumprirem a LGPD vão desde advertência, multas (que podem chegar a R$50 milhões), publicização da infração e suspensão parcial ou bloqueio da base de dados.
