Na “Era do Conhecimento e Informação” em que estamos vivendo, os dados são a nova moeda digital e um ativo crítico de valor estratégico para qualquer setor da indústria e atividade do Estado Brasileiro. Dados constituem a matéria prima da informação, que uma vez tratados e processados geram informações e, por conseguinte, conhecimentos, que são elementos essenciais e determinantes para a tomada de decisões mais assertivas e a sustentabilidade dos negócios, em um mercado globalizado cada vez mais competitivo.
Com o advento, por exemplo, do avanço das novas tecnologias, da transformação digital, bem como das atividades do cibercrime aumentando em escala global, a proteção de dados tornou-se rapidamente uma necessidade para empresas, órgãos e entidades dos setores público e privado. No contexto brasileiro, a Lei Geral de Proteção de Dados (13.709/2018) – marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil – foi sancionada e publicada em 2018, estabelecendo uma “Nova Ordem na Governança e Proteção de Dados”, e colocando o Brasil na vanguarda juntamente com outros países.
Inspirada na Regulamentação Geral de Proteção de Dados (GDPR) da União Europeia, que passou a vigorar também no mesmo ano, a LGPD estabelece regras sobre a coleta, o tratamento, o armazenamento e o compartilhamento de dados pessoais gerenciados pelas organizações. Entre as ações coibidas pela LGPD, estão a coleta e o uso de dados pessoais sem consentimento pelo seu titular, seja pela iniciativa privada ou pelo poder público, bem como a utilização de informações pessoais para a prática de discriminação ilícita ou abusiva.
Essa “Nova Ordem”, de abrangência global, demandará por parte das organizações uma abordagem estratégica, multidisciplinar e inovadora no que diz à “Governança e Proteção de Dados Pessoais”, o que representa também, por outro lado, uma grande oportunidade para melhoria da dinâmica dos negócios, dos processos, de políticas e controles internos existentes, bem como uma maior necessidade repensar estratégias e, especialmente, de se analisar a maneira como os dados serão executados pelo negócio, a fim de obter uma vantagem competitiva e o aumento do nível de confiança de todas as partes interessadas.
Adequar-se a essa nova realidade será a melhor maneira de as empresas não sofrerem sanções e terem uma crise de imagem, tendo em vista que a nova lei prevê a aplicação de multas, que podem chegar a 2% do faturamento da empresa, com um limite de R$ 50 milhões por infração.
O ponto de partida, neste caso, pode ser a partir da interpretação da LGPD e da estruturação e implementação de um “Programa de Governança e Proteção de Dados”, alinhado com os objetivos estratégicos e adequado à realidade da empresa (estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados).
Abaixo, alguns componentes importantes a serem observados na implementação do “Programa de Governança e Proteção de Dados”, que não são exaustivos:
– Política de Privacidade de Dados;
– Organização e estrutura para lidar com as questões de privacidade, bem como os papéis e as responsabilidades dos envolvidos;
– Educação, treinamento e conscientização;
– Inventário de processamento e mapeamento de controles internos;
– Avaliação de Impacto de Privacidade;
– Plano de Resposta a Incidentes;
– Aprimoramento do Sistema de Gestão de Segurança da Informação (SGSI).
A adoção de um “Programa de Governança e Proteção de Dados” exige estratégia, liderança e comprometimento, em particular da Alta Administração. Sua implementação efetiva pode trazer uma vantagem competitiva e maximizar oportunidades de negócios, elevando, em especial, o nível de confiança de todos os seus públicos de relacionamento.
* William Bini é IT Internal Auditor da Dataprev, bacharel em Tecnologia da Informação pela Universidade da Cidade e possui pós-graduação em Gestão da Segurança da Informação pela Universidade Gama Filho