As empresas brasileiras já estão correndo contra o tempo para se adaptarem às novas regras sobre privacidade trazidas pela Lei Geral de Proteção de Dados (LGPD). A lei entra em vigência em agosto de 2020, mas é longa a lista de tarefas necessárias para que elas reduzam o risco de vazamento ou uso indevido das informações que vão armazenando sobre as pessoas com quem se relacionam. Alinhada aos princípios da legislação europeia, a LGPD prevê punições severas para quem não proteger adequadamente dados em seu poder – como números de documentos, informações biométricas, orientação sexual, preferências políticas e religiosas, entre outros – que permitam identificar pessoas físicas, sem o seu consentimento.
Durante o Seminário sobre a LGPD e a Cyber Segurança, promovido por Prolik Advogados, a advogada Flávia Lubieska Kischelewski disse que a “ampulheta já virou” e apresentou o passo a passo a ser seguido pelas empresas, conforme o Programa de Adequação à LGPD desenvolvido pelo Núcleo Digital do escritório.. O seminário reuniu dezenas de empresários e contou também com a palestra de Domingo Montanaro, um dos mais conhecidos peritos em cyber risco do Brasil.
O Programa de Adequação prevê que o trabalho comece pelo inventário de dados em poder de cada empresa, além da avaliação de riscos e do grau de conformidade à lei geral e a legislação de cada segmento. Nessa etapa, também será preciso compreender as dinâmicas de segurança das informações coletadas nas mais variadas atividades das empresas – desde os dados de seus empregados, até aqueles que chegam pelas portarias e recepções, os que constam nos contratos de prestação de serviço, que vêm por e-mail ou são obtidos em funil de vendas dos marketplaces. Também é hora de checar a existência de mecanismos de governança, a utilização de imagens de colaboradores e o monitoramento do ambiente de trabalho.
Essa etapa se encerra com um diagnóstico sobre a origem, a quantidade e a natureza de dados, a forma como estão armazenados, quem tem acesso a eles e qual o risco potencial de que saiam indevidamente de dentro da empresa.
A seguir, um plano de ação definirá o que fazer para garantir que os dados pessoais fiquem protegidos e não sejam usados para fins não autorizados. Isso inclui desde a revisão de contratos até a criação de políticas internas de segurança. Conforme o perfil da empresas, poderá haver a criação de comitê de privacidade e a indicação de um encarregado, o chamado Data Protection Officer.
Flávia ressaltou que esse trabalho precisa contar com o empenho pessoal dos dirigentes, já que implica em mudança de cultura e trabalho contínuo.