LGPD - a Segurança que todos querem

Como todos sabem o Brasil deu um importante passo em direção a uma política nacional de proteção da informação, buscando uma regulamentação que coibi antigas práticas corporativas, que em muitas vezes acabavam por quebrar a confiança das pessoas e a confidencialidade de suas informações pessoais trazendo muita dor de cabeça aos seus titulares.

A Lei Geral de Proteção de Dados Pessoais (LGPD), uma versão da GDPR europeia, acaba por movimentar nas empresas brasileiras com atuação nacional, planos de ação e estratégias para iniciativas esquecidas e projetos desatualizados. Aprovada há pouco mais de um ano estamos em contagem regressiva do prazo dado de dois anos para os ajustes e adequações em tecnologia, processos e pessoas necessários nas empresas visando a sua aderência. Mesmo assim, há alguns meses de sua entrada em vigor ainda existem muitas dúvidas nas empresas em relação à abrangência das ações que devem ser implementadas.

A LGPD prega o respeito do direito do titular sobre a sua informação, assim a empresa precisa utilizar a informação pessoal dos seus clientes, prospects e público em geral com um objetivo específico e após esta utilização proceder a um descarte do que havia sido coletado. A pessoa, titular da informação, por sua vez tem o direito de saber onde os seus dados estão, como estão sendo utilizados e caso não concorde com este uso pode simplesmente solicitar a sua remoção desta base cadastral. Os elementos são simples, mas sua implementação pode ser extremamente complexa pelo fato de se haver todo um ecossistema intra e inter corporativo, que deve trabalhar em sintonia para que a informação não seja acessada, utilizada ou armazenada de forma incorreta ou mesmo não caia nas mãos erradas durante o seu manuseio.

Casos recentes no Brasil de incidentes de segurança com vazamento de informações pessoais e financeiras de clientes, como as ocorrências na NetShoes e no Banco Inter já mostram exemplos da denúncia, investigação, análise de evidências e atuação do Ministério Público com a aplicação de multas além da divulgação midiática de um verdadeiro escândalo. Para se ter uma ideia das multas impostas, com a entrada a partir de Agosto de 2020, a LGPD aponta valores que podem chegar aos expressivos R$ 50 milhões por infração, limitado a 2% do faturamento mensal da empresa. Assim podemos afirmar que a empresa será multada se constatada hipóteses como: a dissimulação dos fatos, o não acompanhamento e monitoramento das questões relativas à segurança e a política de informação e a falta de evidências de ações de engajamento e da implantação de uma solução que pudesse ter evitado a situação ocorrida.

O primeiro e grande passo para a implantação efetiva deste projeto na empresa é realizar um mapeamento detalhado do fluxo da informação dentro da organização e sua guarda, assim, tanto os responsáveis quanto os locais onde a informação fica armazenada devem ser registrados e validados quanto a sua efetiva necessidade.

Na sequência, como passo número 2, é preciso identificar e estruturar quais serão as políticas internas que devem ser colocadas para os colaboradores e parceiros da empresa em relação à questão de segurança. Vazamentos de informação na maior parte das vezes são originados a partir de ações internas, assim a conscientização e a responsabilização das pessoas se tornam fundamentais. Sob outro aspecto, podemos afirmar que a proteção da Lei em relação ao profissional “funcionário” é muito forte a seu favor, assim a empresa precisa se precaver em relação aos “vazamentos”, sendo responsável por criar e aprimorar mecanismos para garantir que a informação seja acessada, utilizada e armazenada somente por profissionais que realmente estejam trabalhando e fazendo o uso devido da informação conforme combinado.

O terceiro passo se refere às ações efetivamente propostas e implantadas para o engajamento e conscientização sobre o tema. Campanhas de divulgação em relação à questão da segurança dentro do mundo corporativo, incluindo parceiros de negócio, com foco no objetivo geral da Lei e nos aspectos de responsabilidade, devem fazer parte da agenda e serem executadas pela empresa, sendo seus resultados e indicadores evidências reais da ação.

Com relação aos processos e a tecnologia, a empresa ainda precisa se mobilizar, estruturar e implantar soluções necessárias para possibilitar e suportar consultas, rastreamentos e eliminação das informações pessoais, conforme encerramento do “objetivo / propósito” de uso da informação ou ainda a qualquer momento sob a demanda dos respectivos titulares. Mesmo com tudo isto pronto, é impossível assegurar que um incidente de segurança não possa ocorrer sendo dever da empresa ao identificar tal situação, rapidamente avisar o titular da informação (dono da informação) sobre a ocorrência e divulgá-la publicamente juntamente com as ações realizadas para a sua mitigação e para a prevenção de uma nova ocorrência, mesmo que esta comunicação e retratação possam levar algum dano à sua reputação.

Apesar de ver com certa desconfiança a efetiva aplicação da Lei, logo a partir do final do prazo de dois anos, já é possível sentir a pressão nas empresas por um movimento efetivo em torno de um projeto e ações diferenciadas. Por fim, acredito que o mais importante é saber que já saímos da marca de partida com um direcionamento claro do contexto e das regras sobre o uso de informações pessoais no mercado brasileiro elevando na carona a maturidade das nossas empresas em relação aos processos, às relações de parcerias e às tecnologias empregadas para a Segurança da Informação.