18/11/2020 08:46:02 Informação protegida

Fonte: Fernanda Bressan - Revista Mercado em Foco/ACIL 

Desde 18 de setembro, a Lei Geral de Proteção de Dados (LGPD) está em vigor. O cuidado com os dados pessoais de clientes precisa ser redobrado e usado de acordo com a nova legislação. É importante conhecer em detalhes, pois os artigos determinam o que as empresas podem e não podem fazer no que tange guardar, compartilhar ou usar as informações que cada cliente fornece. Em resumo, a lei define a forma como dados pessoais e sensíveis devem ser tratados e armazenados pelas empresas.

Poucas estão conscientes do que devem fazer. “Mais de 65% ainda nem começaram o processo de adequação à LGPD. O começo é a conscientização, e este passo inicial está sendo esquecido”, destaca a advogada atuante na área de proteção de dados e direito digital, Taísa Scripes. Ela aponta que vamos viver uma mudança de cultura em relação à proteção de dados, um processo parecido com o que vivemos quando a Lei do Consumidor entrou em vigor. “Aos poucos, a mudança vai se tornar automatizada, mas reforço que o primeiro passo é sempre conscientizar.”

Independente do tamanho da empresa, todas devem estar atentas a quais dados podem ser coletados, de que forma e como devem ser armazenados e compartilhados. “Há diversas bases de tratamento, cada empresa vai precisar ter uma delas. Ela pode coletar dados pessoais, mas precisa estar em uma dessas bases, seja o consentimento da pessoa, a execução de contrato, o cumprimento de uma obrigação legal. É preciso estabelecer qual a base legal que se adequa a cada negócio”, exemplifica.

A lei legitimou que cada pessoa é titular dos seus dados, ou seja, não é porque a empresa coletou a informação que ela tem a “posse” daquele dado pessoal. A partir do momento que ela coleta, é obrigada a cuidar daquela informação dentro do que diz a lei. “O titular pode inclusive solicitar que a empresa informe que dado foi coletado e como ele está sendo tratado. Todas as empresas que coletam dados pessoais precisam oferecer um canal para exercer esse direito do cliente de perguntar como a empresa está tratando o dado”, completa.

Planilha

Para quem pensa que é preciso grandes recursos, Dra. Taísa diz que nem sempre. “Uma boa planilha de Excel resolve o problema para os pequenos. É importante que eles façam uma avaliação de como está o processo de coleta e armazenamento dos dados e até se questionar por que estão coletando aquele dado. Há casos em que a coleta de determinados dados é feita sem necessidade”, pontua.

Para quem trabalha com informações pessoais, o cuidado deve ser maior. “Medidas internas tecnológicas ajudam a evitar a exposição de dados e a revisar a segurança da informação. Para fazer a adequação à nova lei, é preciso uma equipe multidisciplinar que atua desenhando onde entra o dado e para onde ele vai. Tem que ter consciência do processo do dado, da base legal, da TI”, diz.

A LITZ Estratégia e Marketing atua na área de inteligência de dados. O processo de adequação à LGPD já está em curso. “Trabalhamos com dados e informação de clientes, fazemos estudos e pesquisas de mercado, e muitos deles transitavam com dados pessoais. Há cerca de dois anos começamos a nos preocupar com esta questão e tomamos medidas internas, mas ainda era distante do que é preconizado pela LGPD”, recorda Mario Nei Pacagnan, diretor da empresa.

No ano passado, ele participou de um evento na ACIL com a Dra. Taísa e, a partir dali, começou a visualizar uma perspectiva para se adequar à lei que entraria em vigor este ano. “Nós já vínhamos no preparando para essa transformação digital, para o compliance digital. Começamos o processo efetivamente em janeiro e logo depois veio a pandemia, que nos levou ao home office, e aí aceleramos nosso calendário de transformação”, pontua.

Alinhamento

Mario conta que houve ganhos importantíssimos na regularização, licenciamento e aquisição de sistemas para controle firewall. “Repensamos toda a nossa estrutura de segurança e proteção de dados. Além disso, houve uma mudança no mindset das pessoas que trabalham conosco, um trabalho de conscientização e alinhamento para que a manipulação dos dados pessoais tivesse da equipe um olhar de cuidado e zelo”.

Ele diz que entre 60% e 70% do trabalho estão concluídos e os processos da empresa foram otimizados para se adequar às questões jurídicas e políticas de privacidade. “A compliance digital tem três pilares. O pilar jurídico é a aderência à lei. Temos depois os processos em que tenho que mapear e fazer a análise crítica para criar uma matriz de aderência ao risco. As pessoas precisam ser auditadas, temos que identificar vulnerabilidades que podem propiciar o vazamento de dados, essa matriz me traz quais ações tenho que tomar. O terceiro pilar é a cyber segurança, a infraestrutura de TI e software”, descreve.

O processo está na fase final. “Estamos refinando o projeto todo e visando a ISO 27001, queremos passar pela certificação desta ISO conferindo à empresa um alto nível de controle. Quem sabe avançamos para essa certificação”, almeja.

Diretor de processos da Leanwork, Felipe Augusto Castanheira Silva também vive o processo de adequação à lei. A empresa tem várias frentes de trabalho, desde a área de soluções para o varejo, para a área educacional, desenvolvimento de APPs e até e-commerce, o que faz do trabalho algo minucioso. “Começamos o processo fazendo o mapeamento do dia a dia da nossa empresa, do desenvolvimento do software, a parte de captar a demanda dos clientes, identificar quais ferramentas são utilizadas pelo colaborador e como ele trata essas informações. Em cada fase que a informação trafega dentro da empresa, é usada uma ferramenta diferente”, detalha.

Processo

Uma consultoria foi contratada para ajudar no processo. Era preciso conhecer cada caminho trilhado pela informação para definir como proteger os dados pessoais em cada etapa. “Tínhamos que entender como a gente ia tratar a informação pessoal, ela só pode ser utilizada para o fim que foi autorizado”, reforça.

Workshops com os colaboradores fizeram parte do projeto chamado internamente de “compliance digital” para conscientizá-los da importância da lei e de como ela poderia impactar positivamente ou negativamente. “Há colaboradores, por exemplo, que têm acesso a informações pessoais de alunos, neste caso temos a Lei de Proteção de Dados e Estatuto da Criança e do Adolescente. Vimos a necessidade de ter esses workshops para engajar os colaboradores. Institucionalizamos também um comitê para discutir os temas inerentes à lei e como resguardar as informações”, conta Felipe.

Como envolve uma mudança geral, inclusive por parte dos clientes, a conscientização é fundamental. “Toda mudança de cultura é bem complexa, as pessoas precisam enxergar valor da mudança no dia a dia delas, perceber que se não aderir vai doer no bolso”, completa.

Atualmente, a empresa está validando todo o processo. “Estamos na fase de análise dos gaps para criar as melhores estratégias adequadas aos nossos cenários. Temos um cenário muito vasto, cada empresa tem uma particularidade, tivemos que entender qual a melhor estratégia para cada segmento. A grande dificuldade é encaixar esse processo que estamos desenhando internamente em conjunto com os processos dos clientes, que eles executam em paralelo. Temos dois personagens: o operador e o responsável. Em alguns cenários somos operadores e, em outros, somos responsáveis. Precisamos estar alinhados com os clientes”, destaca.

Adequação

Como toda lei, a fase de adequação é sempre a mais sensível, mas necessária. “Todo início é sempre conturbado, porém é uma lei extremamente importante para zelar pelas informações que são de propriedade do cliente. O setor ganha uma maturidade no que tange a segurança dos dados. As empresas que operam no Brasil e têm possibilidade de exportar, agora estes possíveis clientes já começam a olhar com outros olhos o nosso cenário, passa uma credibilidade maior tendo essa regulamentação interna”, conclui o diretor.