O plenário do Senado aprovou há duas semanas, a Lei Geral de Proteção de Dados pessoais, que tramitava como Projeto de Lei da Câmara 53/2018. A lei disciplina a forma como informações são coletadas e tratadas, especialmente em meios digitais, como dados pessoais de cadastro ou até mesmo textos e fotos publicados em redes sociais.
O projeto abrange as operações de tratamento realizadas no Brasil ou a partir de coleta de dados feita no país por empresas brasileiras ou estrangeiras. A norma também vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui. Também é permitida a transferência internacional de dados, desde que o país de destino tenha nível de proteção compatível ou quando a empresa comprovar que garante as mesmas condições exigidas pela Lei, como por exemplo, por meio de contrato.
Com a aprovação da lei, para coletar e tratar um dado, uma empresa ou ente precisa solicitar o consentimento do titular de forma clara, em cláusula específica. A permissão dada por alguém, entretanto, pode ser revogada se o titular assim desejar. Outra obrigação é a garantia da segurança dos dados, de modo a impedir acessos não autorizados e vazamentos.
Dada a complexidade das organizações, de seus sistemas e de seus ecossistemas de parceiros e de terceiros, a correta proteção de dados exigirá das organizações brasileiras que trabalham com dados pessoais a adequação em diferentes aspectos e níveis, que vão desde a cultura, políticas e procedimentos à implementação de tecnologias de ponta, para garantir a segurança e evitar multas e sanções.
Caso seja constatada alguma irregularidade, a empresa pode receber uma série de sanções, entre as quais está prevista a multa diária de até 2% do faturamento, com limite de R$ 50 milhões, assim como o bloqueio ou eliminação de dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento.
Assim como ocorreu a partir da promulgação da lei europeia de proteção de dados, a GDPR (do inglês, General Data Protection Regulation), que impulsionou a aprovação da lei brasileira, espera-se uma grande demanda por parte dos usuários por privacidade, exigindo que as empresas tenham capacidade para responder e se adequar rapidamente.
Será necessário o investimento em novas soluções como sistemas de avaliação de riscos de terceiros, gestão de dados, mascaramento de dados, portais seguros de transferência de dados, bancos de dados seguros e de alta volumetria, gestão de identidade de consumidores e clientes, além da adoção de práticas e arquiteturas tecnológicas que considerem a proteção de dados por padrão (“security by design”) como, por exemplo, a encriptação nativa de dados pessoais quando forem coletados, a guarda segura destes dados em ambientes controlados e seguros, e o acesso controlado dos dados por meios seguros.
Para atender a estes desafios e atuar em conformidade na proteção de dados, é recomendável que as empresas sigam quatro etapas fundamentais:
(I) Descubra: identifique e realize o inventário de dados pessoais, incluindo sua classificação, quem controla, quem a processa e como são transferidas;
(II) Gerencie: avalie o nível de proteção de dados em todos os envolvidos, sejam próprios ou terceiros;
(III) Proteja: defina e implante soluções, políticas e governança de dados em toda a organização;
(IV) Monitore: controle e audite continuamente o nível de proteção, assim como avalie constantemente possíveis vazamentos internamente e externamente.
Diante da atual força da economia digital, o projeto, que agora vai para a sanção do presidente Michel Temer, é um passo evoluído do Brasil no tratamento, confidencialidade e segurança de dados, juntamente com outros países que já possuem legislação sobre o tema. A hora é de adequação nas empresas brasileiras, afinal, é sempre melhor prevenir do que remediar.
* Mauricio Fiss é sócio-diretor da área de tecnologia da Protiviti, consultoria global especializada em finanças, tecnologia, operações, governança, risco e auditoria interna.