A multa para o descumprimento da lei é de 2% do total da receita. Além de prever a punição tanto para controladores quanto processadores de dados, que são os responsáveis por toda e qualquer informação pessoal que tenham coletado de usuários
Depois de muita discussão, a Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor no dia 18 de setembro. O seu principal objetivo é a proteção de dados pessoais. Apesar de na essência a sua aplicação parecer simples, na prática não é. Para que a sua implantação aconteça, é preciso envolver várias áreas como processos, pessoas e tecnologia. O volume de dados transacionados nas empresas hoje é imenso, mesmo isso variando de acordo com as configurações de cada uma. A ANEFAC realizou um simpósio internacional do dia 14 de dezembro on-line abordando a governança e proteção de dados.
“No centro da transformação digital estão os dados das pessoas com quem as empresas fazem negócios. À medida que a digitalização avança, mais e mais dados, que as empresas adquirem sobre os consumidores, e as pegadas digitais que todas as pessoas deixam nas redes sociais, na web e nas transações com empresas e governos se multiplicarão nos próximos meses”, alerta Matias Bedacarratz, vice-presidente da ANEFAC Internacional e diretor de alianças da Sysphera, que participou do evento juntamente com Marcelo Silva, cofundador e co-CEO da W2CONN, Leonardo Grilo, DPO da Riachuelo, e Luis Rodrigo Moretto, head global de auditoria interna da Braskem.
O primeiro passo para as empresas é, na avaliação de Matias, tomar consciência da importância desta lei, uma vez que regulamentará os limites de utilização de dados, e para esta regulamentação devem adotar processos e estratégias comerciais e de marketing, pois o uso adequado dessas normas dependerá do relacionamento das empresas com clientes e órgãos reguladores do governo, e de sua imagem de sucesso no mercado em geral.
Mitigando riscos com o tratamento de dados pessoais
Para Marcelo, as empresas devem ter atenção em quatro pontos:
- reduzir ao mínimo possível o volume de dados pessoais e sensíveis;
- saber onde e como esses dados estão sendo usados;
- garantir a segurança dessas informações;
- garantir a transparência no uso dos dados.
“A lei não exige que o empresário invista nesses quatro aspectos o mesmo orçamento da NASA, mas ela certamente punirá quem for negligente quando analisado a luz do que é razoável no mercado/segmento da empresa. Se o empresário se dedicar a analisar essas questões com o mínimo de bom senso, o esforço inicial para se mitigar os riscos será muito compensatório para o negócio. Como ajuda para o momento inicial, há no mercado muita instrução gratuita como vídeos, manuais e bons livros que tratam do assunto”, diz.
Mas, de forma resumida, para criar um ciclo de vida de tratamento de dados, segundo Marcelo, as empresas podem considerar como base as sugestões da obra COBIT® 5: Enabling Information (ISBN 978-1-60420-350-9):
- Planejamento de como será o tratamento dos dados.
- Projeto de modelos de estruturas para o tratamento dos dados.
- Construção do banco de dados ou mapeamento da localização dos dados na empresa.
- Controle sobre armazenamento dos dados.
- Controle sobre o compartilhamento dos dados (no ecossistema).
- Controle sobre o uso dos dados.
- Monitoramento do estado dos dados armazenados e em operação.
- Manutenção dos dados (correção, atualização e descarte).
- Retirada da operação.
- Descarte dos dados.
O COBIT® 5 também apresenta um conjunto de ações relacionadas a construção do modelo do ciclo de vida do dado. Com alguma adaptação, Marcelo sugere:
- Definir e atribuir quem será o encarregado pela privacidade de dados.
- Definir quais responsabilidades serão divididas com outros atores do tratamento de dados. Considerando as responsabilidades durante diferentes estágios do tratamento do dado.
- Definir critérios de qualidade para informações para garantir que o volume de dados seja o mínimo possível e atenda ao negócio (garantia e utilidade). Considerando uma gama de objetivos de qualidade diferentes, por exemplo, relevância, integridade e acesso restrito.
- Definir todos os atributos dos dados e do tratamento necessários para o projeto, desenvolvimento e uso eficiente e eficaz da informação pelas funções de negócios.
- Compreender quais tipos de dados (e sua criticidade) são gerenciados por meio digital e físico.
- Definir os requisitos de segurança e disponibilidade dos dados.
- Definir os atributos necessários para proteção eficiente e eficaz dos dados.
Dados, tecnologia e processos
Dentro de uma empresa podem existir vários sistemas que usam o mesmo conjunto de dados pessoais ou sensíveis. Quando consideramos o ecossistema do tratamento dos dados a questão fica ainda mais complexa. Para integrar os sistemas, que tratam de forma cruzada esses dados, existem uma série de abordagens, de acordo com Marcelo, uma delas é organizar essa integração baseada nos atributos da informação. “Nesse caso, os atributos serão a chave da correlação dos dados entre os sistemas, por exemplo: CPF, nome titular, número do contrato etc. Essas integrações podem ocorrer de forma síncrona ou assíncrona. Pode-se usar robôs ou rotinas do sistema operacional ou de algum framework. O grande objetivo da integração é garantir a qualidade e integridade dos dados”, pontua.
Já com relação aos processos, na visão dele, o tratamento de dados pessoais e sensíveis pode ser definido com os mesmos critérios que os processos de TI são organizados. “É comum ouvirmos nomes como gestão de consentimento, anonimização, gestão do acesso e eliminação dos dados. A forma como esses processos serão batizados ou automatizados pode variar de empresa para empresa. O perfil de quem comanda essas ações também pesa bastante na forma como esses processos serão organizados”, ressalta.
Para finalizar, Marcelo Silva, diz que no mercado existe uma série de ferramentas de tecnologia que podem ajudar a definir os processos. “As que geram mais valor para a empresa são as usadas comumente para garantir a eficiência dos serviços de TI ou ITSM (IT Service Management). Nomes bem conhecidos do primeiro escalão como o ServiceNow já são muito usados e num mercado com tanta demanda, até mesmo os softwares livres como o GLPI tem seu valor. Essas ferramentas têm embarcado padrões bem conhecidos e úteis para auxiliar nesse momento de especificação e rotina de uso. Naturalmente, pequenas e micros empresas podem adotar desde processos bem simples com poucos passos e a automatização com ferramentas do cotidiano como o pacote Office365 para resolver satisfatoriamente seus desafios com a lei”.
Vale lembrar que as empresas que não cumprirem a lei serão punidas com multas de 2% do total de suas receitas. Apesar de as sanções só entrem em vigor em agosto de 2021 e a Autoridade Nacional de Proteção de Dados (ANPD) ainda não ter sido efetivamente estruturada é necessário que haja essa preparação, uma vez que a lei determina que tanto controladores quanto processadores de dados são responsáveis por toda e qualquer informação pessoal que tenham coletado de usuários, sendo da mesma forma penalizados.