Lei de proteção de dados: para as organizações, o momento é de reflexão

Por Colaborador externo | 07 de Agosto de 2018 às 10h11
photo_camera Paulpaladin/Depositphotos

* Por Cassio Brodbeck

Instituído pela União Europeia no primeiro semestre, o General Data Protection Regulation (GDPR) está estremecendo as bases de grandes empresas no que diz respeito à proteção dos dados pessoais dos usuários. A regulamentação foi o impulso que faltava para que o projeto de lei 53 de 2018 fosse aprovado pelo Senado brasileiro em julho. De lá para cá, muito tem se falado a respeito do tema, especialmente na vitória e segurança que trará para a sociedade. Em um contexto no qual parte das organizações faz uso de informações como endereço, telefone, além de outras sensíveis como documentos pessoais e dados bancários para monetizar, essa legislação vem para regular um ambiente considerado, até então, uma terra sem lei.

Mas o que pouco se debate é em relação às medidas que as organizações devem fazer para se adequar à lei quando realiza a coleta, armazenamento e tratamento de dados de terceiros, seja pela internet, por áudio, por imagem ou em documentos impressos. Sem dúvida, ainda que a legislação seja oportuna, representa um desafio de grandes proporções para, basicamente, todo tipo de negócio, incluindo entidades públicas.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Para quem lidera um negócio e se preocupa com a situação, um caminho inicial seria entender como sua empresa lida com informações dos clientes, independente se pessoa física ou jurídica. É preciso fazer uma autorreflexão e compreender como as informações as quais possui acesso são manipuladas e armazenadas. Principalmente: saber onde estão, se de posse da empresa ou de fornecedores.

Embora seja natural confiar nos fornecedores, em razão dos contratos firmados, pode ser que tampouco eles próprios saibam lidar com a questão. Em um cenário com constantes ameaças e ataques cibernéticos, a transferência dos arquivos pode ocorrer, seja intencionalmente — com o auxílio de pessoas da própria empresa, funcionários descontentes ou que foram desligados e entendem, como ninguém, dos processos internos — ou não.

Caso o projeto de lei seja aprovado sem qualquer ajuste, entre os 65 artigos existentes estão os relacionados ao ônus que as organizações terão que lidar em caso de descumprimento das medidas legais. Em caso de transferência ou uso das informações sem o consentimento expresso por parte do usuário, dependendo da recorrência e volume, a penalidade pode ser de até 2% do faturamento. Isso caso a fiscalização por parte do Estado seja eficiente, o que apenas poderá ser visto na prática após a implementação da lei, cuja previsão é em 2020, para dar tempo hábil de as organizações se adequarem.

O que fazer, então? No caso de empresas que mantêm fornecedores diretamente envolvidos com os dados da empresa ou de seus clientes, o prudente é desde já rever questões contratuais e, auxiliados pelo departamento jurídico ou uma consultoria especializada na área, rever o que está prescrito. Associado a esse movimento, pensar em ações para desde já se adequar à lei. A aposta em uma política de segurança de dados é outro passo fundamental a ser adotado por toda e qualquer organização, independentemente de seu porte. Ao fazer ela própria o dever de casa com seus dados e com o treinamento adequado do fator humano envolvido, será possível evitar que situações negativas também ocorram com informações de terceiros, ou minimizar seus efeitos.

* Cassio Brodbeck é especialista em segurança virtual corporativa e CEO da OSTEC Business Security

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.