Quando estamos falando de incidente de segurança da informação, a pergunta não é e se, mas quando haverá um incidente de segurança na sua empresa. É um destino inevitável para todos que estão conectados na rede, afinal quem está na rede, está em risco. Tanto é que, nos últimos meses, ainda mais aqui no Brasil, diversos ataques cibernéticos foram realizados, tendo como alvos desde uma loja de roupas no shopping center, redes de laboratórios e clínicas e até mesmo o Governo Federal e o Poder Judiciário.

O aumento acelerado dos números de casos, por óbvio que não ocorre sem razão. É um reflexo da forte digitalização das organizações nos últimos anos, que foi acentuada em razão das adaptações abruptas impostas pela pandemia da Covid-19, como foi o caso da adequação das operações ao trabalho remoto. Assim, em um contexto como esse de mudanças rápidas e não planejadas, não haveria como não ocorrer a exposição de eventuais vulnerabilidades técnicas e práticas relacionadas à segurança da informação.

Agora, com a entrada em vigor da LGPD, a necessidade de cuidados frente a uma realidade como a em que vivemos impõe cuidados redobrados. Sob pena de violações à nova legislação e as consequentes sanções administrativas, as empresas têm que planejar ações preventivas para estarem preparadas para o ocaso da segurança da informação.

Logicamente, o investimento na área técnica é fundamental para que cada organização reduza seus riscos. Mas, nada se mostra mais essencial do que a implantação de um programa institucional de governança de privacidade e a consequente estruturação de um plano de resposta a incidentes de segurança, que estipulará os procedimentos a serem adotados em eventuais ocorrências e determinará o modo de agir para remediar da melhor forma possível os prejuízos resultantes.

Isso porque, em um cenário caótico como de um incidente de segurança, nada pior do que não saber o que fazer, quando fazer e como fazer. No calor do momento, dificilmente a melhor resposta será dada e os prejuízos somente escalarão vertiginosamente.

Um plano de resposta a incidentes, portanto, é indispensável para qualquer empresa com um plano de continuidade de negócios estruturado e uma vantagem competitiva sem medidas, face a um cenário como o brasileiro, em que ainda há baixa adesão das empresas às boas práticas que são demandadas pela LGPD.

Fernando Abdelaziz

Advogado. Especialista em Direito Digital e Proteção de Dados.

Já conversamos sobre os primeiros passos do caminho da adequação à LGPD e deu para entender que esse é um caminho nada fácil de ser percorrido. Por isso, nada melhor do que termos um guia para nos orientar por essa jornada, que nunca é linear e sempre apresentará obstáculos a serem superados. É exatamente aí que entra o mapeamento de dados pessoais.

O mapeamento nada mais é do que a análise dos fluxos que os dados pessoais dos colaboradores e clientes percorrem desde o momento que é coletado pela empresa. Para isso, são analisados a estrutura da empresa, suas políticas e procedimentos, seus processos internos e externos, contratos e todo e qualquer documento em evidência que permita rastrear e catalogar os dados pessoais que entram e saem (ou não) da empresa.

Ou seja, o mapeamento é o momento em que se “passa o pente fino” até a empresa ser conhecida completamente. Por essa razão, entrevistas são realizadas, questionários são enviados e preenchidos e processos são desenhados. Tudo isso para que não existam lacunas e, consequentemente, a adequação à LGPD não seja realizada de maneira incompleta ou até mesmo incorreta.

Mapear, portanto, é algo trabalhoso, que demanda paciência, minúcia, foco de quem executa. Entretanto, ele demanda ainda mais a cooperação por parte da empresa para que tudo saia conforme o planejado. Afinal, quanto mais se mapeia, mais se aprende, e mais riscos são descobertos e remediados.

Dessa forma, não estaríamos errados em dizer que o mapeamento de dados pessoais é a bússola de qualquer projeto adequação à LGPD. É em razão dele que o melhor caminho é encontrado e percorrido, de forma efetiva.

Fernando Abdelaziz

Advogado. Especialista em Direito Digital e Proteção de Dados.

Quando o assunto é sobre a Lei Geral de Proteção de Dados (LGPD), é comum a conversa girar em torno da importância de se adequar. Só que ela costuma se iniciar nos dados pessoais, passar pelas operações de tratamento, depois que controlador isso e operador aquilo para, por fim, terminar na tão falada multa de R$ 50 milhões. Tudo isso para a pergunta mais importante acabar não sendo respondida: por onde devo começar?

Antes de mais nada, é importante compreender que a LGPD é produto de um movimento global que fez proliferar diversas legislações sobre proteção de dados mundo afora, com o intuito não só de fortalecer os titulares de dados, mas também para garantir uma maior previsibilidade de atuação durante a digitalização acelerada da economia, que trouxe novas estruturas de negócios e de trabalho.

Desse modo, por a LGPD tratar de temas recentes – mas que já se tornaram parte do nosso dia a dia – como a proteção de dados e a privacidade, ela exige das organizações, acima de tudo, uma adaptação cultural, como parte de um novo modelo de pensar e agir.

No caso do Brasil, entretanto, essa mudança tende ser mais disruptiva, uma vez que o país não contava, até então, com uma cultura de privacidade nas organizações. Diferentemente, por exemplo, do cenário europeu que está há décadas à frente quando o assunto é a regulamentação da proteção de dados.

Portanto, por onde devemos começar?

Apesar de não existir uma fórmula única para a adequação à LGPD, e se tornar necessário para que cada organização encontre seu caminho, considerando particularidades como porte, ramo e modelo de negócio, há unanimidade de que o primeiro passo deve ser sempre o da conscientização a respeito da cultura de privacidade.

A adequação à LGPD não deve ser movida pelo medo de suas sanções e multas milionárias, mas sim pela preocupação em disseminar a cultura de privacidade para garantir um maior acesso das pessoas às informações, na forma de conscientização sobre a temática, com a internalização sobre a razão da existência da lei e os benefícios advindos da sua compreensão e adequação.

Com a mudança de cultura, o bom uso dos dados pessoais torna-se questão de preservação e valorização da imagem da própria organização. Ela é capaz de revigorar a confiança não só externa, na figura dos consumidores e parceiros de negócio, mas também internamente, como no caso dos atuais e futuros colaboradores. Ou seja, a mudança de cultura é capaz de refletir até mesmo em vantagem competitiva no mercado.

Não bastante, conforme poderá ser percebido com o avanço em um projeto de adequação, a mudança de cultura também possibilitará um aprofundamento a respeito dos dados pessoais manipulados, o que incrementa muito o grau de controle e de gestão sobre os processos envolvidos, que permite não só corrigi-los como também otimizá-los. Essas mudanças podem ser promovidas com a utilização de treinamentos que vão capacitar as pessoas envolvidas nas atividades para a construção de novas políticas e a revisão das que eventualmente já existam.

Dessa forma, independentemente do porte, ramo de atuação e modelo de negócio da organização, o primeiro passo em qualquer planejamento que envolva a adequação à LGPD sempre deve envolver a mudança da cultura corporativa, por meio de uma conscientização efetiva, capaz de moldar comportamentos para a redução de riscos e expansão de oportunidades de negócio.

Fernando Abdelaziz

Advogado. Especialista em Direito Digital e Proteção de Dados.

É sempre bom lembrar que, quando o assunto é a Lei Geral de Proteção de Dados (LGPD), estamos tratando de um marco regulatório. Afinal, a LGPD é uma lei que reúne muitos elementos tradicionalmente previstos como boas práticas em matéria de gestão de programas de privacidade e proteção de dados, mas agora também no formato de uma obrigação legal.

Isso significa dizer que há consequências jurídicas imediatas para o seu descumprimento, ou seja, aquelas boas práticas deixaram de ser apenas meros padrões de qualidade para se tornarem práticas obrigatórias, que devem ser implementadas por todas as organizações que tratam dados pessoais, seja ela uma empresa, uma associação ou até mesmo o Poder Público.

Na prática, portanto, quando iniciar suas fiscalizações a partir do dia 1º de agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) espera que todos os agentes de tratamento, na execução de suas operações organizacionais com dados pessoais, adotem uma série de providências.

Primeiramente, é previsto que haja investimentos em segurança da informação. E isso não quer dizer investimentos apenas em tecnologia, mas também em capacitação de colaboradores para a concretização de um sistema efetivo de proteção da informação dentro da empresa.

Além disso, é esperada a adoção de medidas administrativas internas que assegurem o cumprimento das normas de proteção de dados pessoais. Maior exemplo disso é a indicação de um encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Uma obrigatoriedade para os agentes de tratamento classificados como controladores de dados, enquanto a ANPD não estabelece as hipóteses de dispensa da necessidade de sua indicação.

Por fim, são esperadas a adoção de medidas de processos, as quais garantirão um maior controle e segurança para o dados tratados e o exercício dos direitos dos titulares dos dados. Dessa forma, se tornam essenciais o mapeamento e o registro das operações de tratamento de dados pessoais que realizarem, incluindo a identificação das respectivas bases legais e finalidades, e o estabelecimento de um canal de contato com os titulares de dados pessoais.

O despreparo frente a essa nova realidade expõe a organização a riscos elevados e a deixa mais vulnerável às sanções administrativas da ANPD. Quem ficar, portanto, ‘’esperando e pagando para ver’’, pode ser que pague caro.

É importante levar a sério o assunto e abraçar a causa da privacidade e proteção de dados porque, não tenha dúvida, as consequências serão bastante desagradáveis.

Fernando Abdelaziz

Advogado. Especialista em Direito Digital e Proteção de Dados.