Qual o impacto da Lei Geral de Proteção de Dados nas empresas?
Os diversos casos de escândalos com uso indevido de dados e vazamento de mensagens pessoais estimularam sérias discussões sobre a privacidade. Em decorrência disso, ocorreram algumas decisões governamentais que buscam estabelecer limites para as relações comerciais. A Lei Geral de Proteção aos Dados (LGPD), Lei nº 13.709, de 2018, é um exemplo, pois surgiu para auxiliar os usuários no controle de suas informações pessoais.
Se quiser aprender mais sobre a LGPD, a fim de seguir as boas práticas e estabelecer conformidade para evitar problemas que geram custos e paradas operacionais, siga a leitura deste artigo!
O que diz a lei?
Recentemente, diversos casos de abusos envolvendo o uso de dados e exploração indevida das informações pessoais vieram à tona. Houve também episódios com vazamentos de mensagens de aplicativos pessoais.
Isso levantou uma grande discussão sobre os limites da tecnologia e das ações das companhias, a necessidade de privacidade, bem como até que ponto é viável abrir mão dos direitos pessoais para obter eficiência e inteligência computacional.
Nesse contexto, surgiu a Lei Europeia de Proteção aos Dados, a GDPR. Em 2016, a regulação foi aprovada, e a sua eclosão despertou a necessidade de normas específicas para cada país. No Brasil, em 2014, o então presidente Michel Temer sancionou a nossa versão dessa norma, a Lei Geral de Proteção aos Dados. Esse documento adaptou os princípios da GDPR para o nosso território.
O objetivo é garantir maior controle sobre os dados para os titulares. Já que essa era uma deficiência nas leis anteriores, que deixavam a relação um pouco injusta, a LGPD resolveu dar força e voz aos usuários. Assim, ela determina um conjunto de regras para que as empresas gerenciem informações particulares com cuidado, de uma maneira que não represente risco para as pessoas.
Quais os principais pontos da Lei Geral de Proteção aos Dados?
Veremos a seguir os principais pontos sobre a lei que você precisa saber. Acompanhe conosco!
Foco em finalidade
Um dos principais pontos é o foco maior na finalidade para o uso de dados. As empresas precisarão apresentar de maneira clara o propósito para o qual usarão as informações particulares e deverão manter o uso atrelado a isso. Além disso, as organizações vão ter que excluir os dados de sua base logo após o uso para o fim determinado.
Isso vai ajudar a gerar mais organização na relação entre corporações e clientes, com maior transparência do que ocorre para os titulares. Como resultado, há uma garantia maior de que as companhias não abusarão das informações para fins escusos, não informados aos donos.
Maior autonomia dos titulares
A LGPD prioriza ainda a autonomia dos donos dos dados, com a necessidade de consentimento deles antes da utilização por parte das empresas. Ou seja, para cada finalidade estabelecida, deve haver a concordância do titular. Essa é uma boa forma de assegurar transparência e limites para o uso das particularidades de cada um, bem como conceder mais poder a quem é dono.
Os usuários podem solicitar exclusão, alteração ou mudanças nos dados sempre que desejarem. Mesmo sob a proteção da empresa, as informações continuam sob o controle de seus donos.
Responsabilidade das companhias
Nos pontos da lei, também fica clara a responsabilidade das companhias na garantia de um ambiente seguro para armazenamento de informações dos clientes. Cada organização deve prestar atenção a princípios como confidencialidade, integridade, disponibilidade e autenticidade.
Explicaremos em detalhes esses termos no próximo tópico, mas, basicamente, eles significam que as organizações precisam reforçar a segurança para evitar exposição dos dados particulares, problemas que acarretam custos e geram entraves operacionais.
Diferença de dados
A lei geral também define a diferença entre dados pessoais comuns e dados sensíveis, que são aqueles relacionados com raça, etnia, opinião política, religião, questões íntimas ou saúde. Existe ainda a delimitação para informações de crianças e menores de idade, que devem ser utilizadas somente sob o consentimento de um responsável.
O que muda para as empresas?
Assim como afirmado no tópico anterior, as companhias precisam atentar para a necessidade de manter os sistemas seguros e sólidos. É importante focar a confidencialidade, por exemplo, que se trata da segurança e do controle de acesso que deve ser feito somente por membros definidos anteriormente.
Da mesma forma, é fundamental trabalhar a integridade, que diz respeito à qualidade dos dados. Eles devem ser mantidos consistentes e claros, inclusive, como uma forma de assegurar transparência para com os titulares. Outro ponto é disponibilidade, que prescreve que os dados devem estar seguros e sempre disponíveis para acesso, afinal, os titulares controlam e podem solicitar mudanças a qualquer momento.
Comprometimento dos parceiros
Existe um ponto específico que afeta as companhias e merece bastante atenção: o fato de que a lei também abrange os negócios feitos com fornecedores e outras empresas parceiras de fora do país. Ou seja, todos que manipulam os dados precisam se adequar às restrições e à finalidade, necessidade, bem como a exclusão quando os fins forem atingidos.
Profissional encarregado de fiscalizar
Ademais, é regra criar um comitê de proteção aos dados dedicado à fiscalização do resto da organização e comunicação com as principais autoridades que cuidam da questão da segurança e privacidade. Esse comitê poderá ser representado por um profissional, que deverá conhecer bastante sobre TI e questões jurídicas para auxiliar na implementação de um programa adequado de conformidade.
Necessidade de notificação
Em casos de incidentes, as companhias terão a obrigação de notificar os usuários e evidenciar com clareza os detalhes do que aconteceu. Em alguns casos, a penalidade pode ser uma multa, enquanto, em outros, os dados são confiscados, o que prejudica as operações.
Maior responsabilidade
Existe agora uma maior necessidade de gerenciar os dados e saber exatamente a quantidade utilizada em cada processo. O mapeamento das atividades deve indicar isso e permitir que a empresa controle o uso, bem como o ciclo de vida das informações particulares, sempre cuidando da segurança e da privacidade com transparência.
Competitividade
O foco na autonomia do usuário é uma mudança importante que vai ajudar as empresas a se destacarem competitivamente, uma vez que essa é a principal necessidade nas relações comerciais atuais.
Os clientes têm muito mais poder de ação na atualidade, e a adaptação a isso é crucial para garantir que a organização continue relevante. É um ponto decisivo para assegurar a satisfação dos consumidores nas negociações.
As principais mudanças com a LGPD são voltadas para o foco no cliente, com cuidado ainda mais restrito por parte do setor de TI. Por essa razão, é preciso priorizar a comunicação e transparência.
Quais os impactos no setor de TI?
Diante disso, o setor de TI ganha uma responsabilidade ainda maior. É importante avaliar as ameaças e buscar uma certa maturidade organizacional com o objetivo de garantir conformidade, com o foco na redução de riscos e na descomplicação do fluxo de informações. Tudo deve ser muito claro para a gestão e consumidores — com o poder de escolha sempre aberto para eles.
Nesse ponto, vale ressaltar o foco na “privacidade desde a concepção”, um dos aspectos mais importantes da lei. Esse fator diz respeito ao foco na privacidade em todas as etapas de criação de um produto ou sistema, com o comprometimento de todos os envolvidos. Essa filosofia é fundamental para garantir uma organização estrutural que auxilie na conformidade.
É preciso reorganizar o TI para assegurar o respeito aos pilares da segurança já mencionados:
- remover os problemas de comunicação e garantir o cuidado da gestão para confidencialidade;
- escolher uma opção de arquitetura que ajude a manter os sistemas disponíveis;
- implantar uma série de estratégias de proteção a fim de fortalecer a integridade.
Essa organização vai da aquisição de novos equipamentos à mudança de cultura dos colaboradores, com o treinamento deles acerca desse novo paradigma e a busca de uniformidade e padronização dos processos. Os ruídos de comunicação devem ser eliminados, e a gestão deve buscar a participação de todos no período de adaptação.
A cloud
Nesse sentido, a computação em nuvem se destaca, uma vez que proporciona mais agilidade para o TI, menos custos e facilidade de crescimento e gerenciamento, com mais proteção. A segurança na cloud é um ponto importante, pois é uma garantia das empresas fornecedoras e permite um cuidado maior com as informações particulares, o que ajuda na adaptação à LGPD.
Assim, vale a pena conhecer as propostas dos serviços de nuvem, como os benefícios do IaaS, para minimizar os impactos e diminuir o tempo de adequação à nova lei. O auxílio de uma companhia especializada no gerenciamento dos ativos e na gestão de pessoas também vai ser importante nesse processo.
Impacto financeiro
Existe um certo impacto financeiro associado com a nova lei. Isso está relacionado com o fato de que a gestão vai precisar custear a contratação de funcionários especializados na nova lei para lidar com a privacidade, como o encarregado da comunicação com as autoridades (Data Protection Officer). Da mesma forma, será necessário estruturar o TI com estratégias de segurança e softwares novos, manutenções e outras ações específicas.
É importante avaliar que essas despesas serão importantes não somente para a conformidade, mas também para garantir uma organização necessária do setor, que vai permitir a continuidade do negócio. Essa mudança na cultura vai impactar as operações e resultar em maior agilidade e produtividade, de uma maneira saudável e respeitosa com os direitos das pessoas.
Quais as vantagens de se adequar?
Veremos agora as vantagens de se adequar a essa lei e buscar conformidade. Continue a leitura!
Segurança
O principal benefício é a segurança. Com a adequação aos princípios de organização e transparência, a empresa consegue se manter mais protegida diante dos crimes e ataques virtuais que ocorrem o tempo todo. Isso porque essa reformulação dos processos e da mentalidade favorece o fortalecimento dos mecanismos de defesa, já que a proteção se torna uma prioridade para a companhia.
Os princípios da lei farão com que as organizações tenham que buscar maior conhecimento sobre os riscos, focar boas práticas e uma reestruturação do setor de TI para evitar problemas e transtornos. A necessidade de finalidade e esse cuidado em evidenciar o propósito também são cruciais para evitar fraudes.
Menos custos
Outra consequência dessa maior organização é a redução considerável de custos. Afinal, os riscos serão menores, e a empresa terá que arcar com menos despesas associadas a planos de recuperação de desastres que afetam as operações. Por conta da agilidade, a utilização dos recursos será eficiente, com o mínimo possível de desperdícios.
Além disso, a conformidade ajudará a evitar problemas de indenizações e multas, o que economiza gastos. Dessa forma, a companhia poderá focar as questões mais relevantes do negócio e direcionar os investimentos de maneira mais inteligente.
Estabilidade
Outra característica de organizações que focam a adequação à LGPD é a estabilidade. Os princípios da lei ajudam a manter um certo padrão de qualidade e a assegurar que as operações sejam consistentes e sólidas. Por isso, seguir essas regras é importante para reforçar a continuidade do negócio e a saúde dos processos.
Disponibilidade
As empresas também ganham maior disponibilidade dos sistemas internos, uma vez que focam esse aspecto para obedecer às normas.
Isso significa que o TI será tão organizado que os sistemas estarão sempre prontos para atender às necessidades do negócio, com o devido suporte aos outros setores e a garantia de boa performance. Assim, esse setor estará preparado para apoiar o crescimento da corporação, de maneira estratégica e otimizada.
Menos erros
Outro benefício é a redução dos erros nas operações, o que acontece por causa do cuidado com as práticas e com a consistência nas ações. A lei estabelece uma série de preocupações que só podem ser devidamente atendidas com mudanças profundas na maneira como as atividades são abordadas. Por essa razão, a conformidade implica mais controle e precisão nos processos diários.
Mais especificamente, isso é sinônimo de menos transtornos e falhas de segurança. Os colaboradores estarão todos alinhados e preocupados com os mesmos pontos, mas também educados e treinados com relação às novas filosofias da companhia, e isso tudo resulta em menos deslizes na realização das atividades.
Padronização dos processos
Outro ponto que se relaciona bastante com o anterior é a padronização dos processos. A LGPD requer que as companhias criem e sigam formas padronizadas de abordar os dados, com um gerenciamento mais seguro e confiável.
Ou seja, será preciso buscar uma uniformidade na forma de trabalhar, de acordo com os pilares da nova lei, para garantir os resultados esperados. Isso também é benefício para o negócio em outros aspectos, pois representa mais consistência e previsibilidade, o que impacta a produtividade e agilidade, bem como facilita mudanças.
Organização dos ativos e licenças
Além desses fatores citados, a adequação à nova lei também ajuda na organização dos ativos e licenças da empresa, com um gerenciamento focado na segurança e no cuidado com a privacidade.
Assim, a companhia é capaz de controlar cada equipamento/sistema utilizado internamente, assim como o ciclo de vida deles, garantindo as manutenções e suportes em dia. Essa é uma ótima prática que todos os gestores de TI precisam adotar.
Essa organização é necessária para assegurar uma segurança maior, estabilidade e disponibilidade, bem como análise de vulnerabilidade, que são formas de alcançar os princípios da LGPD.
Visibilidade
Outro fator relevante de pontuar é a maior visibilidade adquirida com a conformidade. Para ser implementada, uma estratégia de adaptação à nova lei vai requerer uma gestão que conheça cada ponto e tenha total controle sobre os ativos, processos e o uso de dados.
Essa transparência deve ser transmitida para os órgãos superiores e clientes, mas também é importante para a liderança interna.
Quais as dicas práticas para se adequar à nova legislação?
Neste tópico, vamos conhecer algumas dicas práticas para implementar a conformidade com a Lei Geral de Proteção aos Dados.
Analise o negócio
A primeira dica é analisar bem o negócio. É preciso saber como adaptar os seus processos e a dinâmica do seu ramo de mercado, e isso só é bem-feito quando a gestão analisa profundamente a própria empresa. Antes de tudo, entenda a companhia e a relação entre ela e seus clientes.
Nesse sentido, vale destacar uma compreensão holística do uso de dados em cada processo e operação, bem como em cada setor. Assim, a organização é capaz de prever em quais pontos deverá reforçar a preocupação.
Eduque os funcionários
Esse processo de adequação é complexo, mas pode ficar mais fácil se a empresa alocar os funcionários corretamente e engajá-los. Por isso, você deve educar e treinar os seus colaboradores acerca da importância das estratégias de proteção e ajudá-los a compreender quais são as boas práticas para evitar riscos.
Um exemplo disso é ensinar os membros sobre a necessidade de segurança da informação dos e-mails corporativos, com uma série de medidas efetivas para prevenir problemas nesse ambiente. Da mesma forma, com relação aos sistemas da companhia, é preciso garantir que todos estejam falando a mesma língua e devidamente alinhados com os objetivos.
Categorize os dados
Outra ação importante é a categorização dos bancos de dados da empresa. Depois de uma análise do uso de informações pessoais, é importante separá-las e organizá-las por finalidade, de acordo com quem utiliza e em qual setor.
Isso vai ser importante para fornecer transparência aos titulares e órgãos superiores, com uma gestão mais ampla desses ativos. Também é fundamental para evitar problemas de uso indevido, o que ajuda a garantir a conformidade por completo.
Avalie os riscos
Também é interessante realizar uma avaliação completa dos riscos que a empresa enfrenta em todas as frentes. Com esse conhecimento, será possível trabalhar com estratégias de segurança específicas e reforçar a proteção de maneira eficiente, sem desperdícios de recursos e de pessoal.
É uma ação necessária para fins de comunicação com os titulares dos dados, mas que ajuda a gestão e garante outros benefícios além da conformidade.
Revise sua política de privacidade e contratos
A revisão da política de privacidade e dos contratos é imprescindível, tendo em vista que muita coisa deve mudar para que a empresa se adapte aos princípios da LGPD. Nesse ponto, é fundamental contar com profissionais especializados com uma carga jurídica para auxiliar no ajuste dos pontos, em busca de maior clareza e de cuidado com o foco na finalidade, necessidade de uso e autonomia do titular.
Os contratos e relações com fornecedores e parceiros também são afetados e, por isso, a companhia deve deixar claro quais são as regras e os limites no uso dos dados. Todos precisam estar alinhados e dialogando de maneira compreensível, com o devido comprometimento com as normas para que tudo dê certo.
Faça auditorias
Para garantir que o processo seja implementado com sucesso e ajude a agregar os benefícios citados, é importante realizar auditorias periódicas para avaliar os resultados e ajustar o que for necessário. O objetivo é checar se tudo está de acordo com o planejado e gerar insights para a gestão no que diz respeito a possíveis focos de evolução.
Quais os principais casos de incidentes envolvendo dados?
O Brasil não é o único país que lida com problemas de privacidade. Esse é um problema mundial e uma preocupação de governos de diversos outros países também.
Um exemplo disso são os casos envolvendo o Facebook, inclusive, um escândalo envolvendo marketing político nas eleições americanas de 2016. Esse episódio foi marcado pelo uso indevido dos dados e coleta implícita, sem consentimento, por meio de um teste simples na rede social.
Essa situação levantou uma série de questionamentos sobre os limites da empresa e da necessidade de maior transparência para as pessoas. Acima de tudo, reforçou o fato de que o cuidado com a privacidade é algo sério, que realmente deve ser tratado como um fator sensível diante da dinâmica das atividades comuns do dia a dia.
A LGPD é uma regulação que surgiu no Brasil como uma forma de controlar a relação entre organizações e clientes, com a garantia de cuidado dos dados pessoais e de mais controle e autonomia para os usuários.
É preciso atentar para os seus princípios e buscar estratégias a fim de adequar a sua empresa e o setor de TI. Assim, sua companhia evitará riscos, custos e fortalecerá as camadas de proteção, se destacando no mercado como uma corporação responsável e confiável. Em decorrência disso, o setor de TI se tornará mais ágil, disponível e eficiente.
Gostou de aprender sobre a Lei Geral de Proteção aos Dados? Assine já a nossa newsletter e fique sempre por dentro dos nossos conteúdos e atualizações!