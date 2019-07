Recentemente, foi sancionada a lei 13.853, que garante a criação da Autoridade Nacional de Proteção de Dados. A sanção, que consolida o texto da Lei Geral de Proteção de Dados (LGPD), ainda alterou alguns pontos da norma de dados e garantiu alguns vetos. Mas em que isso impacta diretamente a segurança de dados na internet?

Para começar, é importante dizer que a LGPD (n. 13.709/2018) teve sua proposta inspirada na regulamentação europeia e completa, no mês de agosto, um ano de criação e, com ela o Brasil entrou para o rol de países que possuem uma lei que garante a proteção de dados de usuários da internet. O principal objetivo desse texto é estabelecer base legal para o tratamento de dados pessoais, garantindo direitos aos titulares de dados como acesso, correção, eliminação, portabilidade e revogação. Com a LGPD o consumidor pode, por exemplo, buscar uma indenização em caso de dano no uso desses dados. Um dado pessoal é definido como toda informação a uma pessoa “identificada” ou “identificável”.

Para que uma empresa esteja em acordo com a lei, obrigatoriamente ela deve seguir os princípios de privacidade descritos nela , demonstrando assim que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade e que atendem à finalidade de negócio. Independentemente do tipo de negócio ou do tamanho da empresa, é importante que elas tomem medidas de segurança para manuseio desses dados, observando que será obrigatório o comunicado aos órgãos responsáveis de ocorrências de incidentes de segurança, com o vazamento de informações, por exemplo. Dependendo da gravidade, o titular dessa informação deverá ser comunicado.

A nova lei, assim, passa a ser aplicável não somente às empresas brasileiras, mas também a empresas estrangeiras que operem no Brasil, uma vez que elas coletam dados em território nacional. Com a lei, o órgão regulador estipulado pelo governo poderá solicitar relatórios e análises de riscos de privacidade para ter certeza que as empresas estão tratando corretamente desse tema internamente, ou seja, a prática de “vigiar” os dados pessoais dentro das empresas terá que fazer parte do dia a dia. Aqueles que descumprirem esse tratamento estarão sujeitos a multas que variam de 2% do faturamento bruto até R$ 50 milhões por infração.

Como começar esse processo de adequação?

Para isso, é importante que as empresas que trabalham com dados realizem um mapeamento minucioso, conseguindo localizar onde eles estão localizados, como estão sendo armazenados, quem são as pessoas que possuem acesso, se estão sendo compartilhados com terceiros e, principalmente, quais os riscos mapeados em seu ciclo de vida completo. Esses são os passos iniciais para aqueles que querem estabelecer um programa de implementação da LGPD. Vale observar que a utilização de softwares e o auxílio de empresas de consultorias são sempre importantes no apoio a essa gestão dos dados pessoais, visto que a governança da privacidade terá que observar os consentimentos, as revogações, as petições abertas por titulares, ciclo de vida, anonimização, entre outras. Importante estar ciente que controles manuais não serão efetivos nesta jornada que se inicia.

Adriano Pereira é especialista em segurança da informação na Juno, empresa que oferece soluções de pagamento online e que vem transformando a relação entre pequenos e médios empresários com serviços financeiros.