A Autoridade Nacional de Proteção de Dados (ANPD) publicou uma resolução que estabelece as normas e a metodologia para a fiscalização e o monitoramento das atividades de manuseio de informações e dados pessoais, como resultado da implementação da Lei Geral de Proteção de Dados (LGPD) no Brasil. Embora a lei já esteja em vigor desde agosto de 2020, a primeira fase de fiscalização só começa a valer a partir de janeiro de 2022.
Apesar de já estar sancionada e ser conhecida desde o segundo semestre de 2018, o que vejo é que nem todas as empresas estão adequadas a ela. Li recentemente uma pesquisa realizada de janeiro a abril de 2021 que diz que apenas 15% das companhias se mostravam prontas ou na reta final da preparação para estar em conformidade com a regulamentação. Já pelo lado dos usuários de serviços online, 74% das pessoas tentaram remover algum dado seu que foi disponibilizado online por alguma empresa, isso no Brasil. No mundo, esse número sobe para 82%, segundo um levantamento feito em 23 países.
Isso mostra não apenas que as empresas estão muitas vezes atrasadas, ou pouco preocupadas, em se colocarem regulares perante a LGPD, como também que a segurança de dados pessoais é uma demanda do usuário, que irá fiscalizar o uso de suas informações e denunciar o uso inadequado quando for preciso.
Para mim, o que vejo que muda, a partir de 2022, é uma tendência maior das empresas se preocuparem efetivamente com estarem em conformidade com a lei. Até porque, além de seu dever ético, também agora está em jogo uma multa salgada: após a advertência, com indicação de prazo para tomar medidas cabíveis, virá uma multa de até R$ 50 milhões para quem não levar em consideração a fiscalização. Além disso, a lei prevê uma punição que, a meu ver, impacta muitas vezes tanto ou mais do que uma multa. A companhia terá sua infração divulgada ao mercado.
Isso pode trazer prejuízos diversos, sejam eles financeiros, na reputação da marca ou na confiança de seu público ao oferecer seus dados àquela empresa, sabendo que com ela, não estarão protegidos.
Mas o que devo fazer para me adequar à LGPD?
Se sua empresa está entre aquelas que ainda não começaram a tomar medidas para isso, esse é o momento final para entrar em compliance. Em primeiro lugar, é válido contratar uma companhia fornecedora de soluções de tecnologia, que irá verificar se a empresa está realmente exposta e quais as adequações que devem começar de maneira imediata. Se a equipe ou profissional de segurança contratado for realmente bom, ele irá, primeiramente, atender o ponto principal da lei, que é proteger os direitos dos titulares dos dados, mas não se atendo somente a isso – afinal, a lei é extensa e contém mais de 65 artigos que preveem aplicação, fiscalizações e punições.
Entre as ferramentas fundamentais para estar em conformidade com todos estes pontos da lei, é importante ter instaladas na empresa todas as soluções técnicas de TI para manter os dados protegidos – ferramentas para proteção de endpoint são um bom começo, afinal, é onde estão os dados mais sensíveis à exposição. Assegurar que os e-mails estão protegidos, é outra forma de fechar as portas para ataques cibernéticos que podem violar e expor dados. Por outro lado, prestar atenção nas conexões com a internet e nos dispositivos móveis, como notebooks e celulares corporativos, que também podem ser um ponto vulnerável nas companhias por serem carregados para todos os lados, muitas vezes, sem criptografia.
Por fim, é importante contratar serviços de treinamento e de consultoria de desenvolvimento documental e de gestão dos processos para atendimento à legislação. Já que o grande desafio de uma empresa nesse estágio é rapidamente proteger os dados de seus clientes, ao mesmo tempo em que oferece informações de qualidade a seus colaboradores sobre como manter uma postura ética diante das demandas da LGPD, tornando todos os departamentos conscientes das necessidades de conformidade à lei e de como lidar no dia a dia com as demandas de um novo cuidado às informações de terceiros.
E se eu receber uma notificação da ANPD?
Creio que o mais importante é manter a calma e iniciar os procedimentos de verificação interna de todas as evidências relativas à denúncia. Após o levantamento e coleta dos documentos, testes internos de conformidade e demais investigações necessárias, a empresa deve comunicar a ANPD todos os pormenores do caso, conforme o prazo estabelecido na legislação. Por fim, se realmente houve uma falha, é preciso verificar a advertência e adotar todas as medidas de contenção necessárias.
No entanto, o que quero ressaltar é que o ideal é que sua empresa nunca precise correr atrás de entrar em conformidade em cima da hora, quando uma notificação já foi feita. Já que existe a possibilidade de ela já estar totalmente de acordo com as normas pré-estabelecidas, através de um bom treinamento de equipe e ferramentas de segurança apropriadas para cumprir a LGPD já instaladas nos equipamentos da empresa, podendo assim, evitar prejuízos financeiros e de reputação.
Sobre a Solo Network
Desde 2002 no mercado brasileiro e com mais de 5.000 clientes ativos, a Solo Network é uma empresa de tecnologia com grande foco em serviços e soluções de TI, reconhecida pela grande habilidade técnica e capacidade de entregar soluções multivendas de alta qualidade, integradas e aderentes às necessidades atuais e futuras dos clientes, garantindo um excelente retorno dos investimentos em tecnologia. A Solo Network dispõe dos mais altos níveis de certificações e é premiada nacional e internacionalmente pelas fabricantes que representa. Para mais informações, visite: www.solonetwork.com.br/home.