Na área de segurança da informação o assunto do momento é a Lei Geral de Proteção de Dados (LGPD ). Isso porque a partir de 1º agosto de 2021 a Autoridade Nacional de Proteção de Dados (ANPD) começa a fiscalizar as empresas, e aquelas que não tiverem em conformidade com a LGPD poderão sofrer sanções que podem incluir multa de até 2% do seu faturamento anual, limitada a R$ 50 milhões.
A LGPD (Lei n.º 13.709/2018) disciplina sobre o tratamento de dados pessoais no Brasil, foi publicada em 15 de agosto de 2018, entrando em vigor em 17 de setembro de 2020 e só agora, três anos depois, que começam as sanções para quem descumpri-la.
O que ocorre é que tradicionalmente nossos dados pessoais nunca tiveram um tratamento adequado, além de ter havido por muito tempo uso indevido dos nossos dados por aqueles que não teriam esse direito, como instituições financeiras e Serasa, entre outros.
De uns tempos para cá, temos observado até mesmo na grande mídia peças publicitárias debochando de como nossos dados estão públicos, algo revoltante porque ninguém quer ter sua privacidade invadida.
Muitas empresas, porém, ainda não se deram conta dessa mudança que está vindo, pois agora existe um órgão regulador e as denúncias e reclamações serão mais fáceis de serem feitas, além do que existe uma Lei com 65 artigos que nos protege contra quem expor nossos dados.
Por exemplo, ao comprar uma roupa numa loja de shopping é comum o vendedor solicitar um cadastro, mesmo que o pagamento seja à vista, no dinheiro ou no cartão. Por que passar CPF, data de nascimento, telefone e endereço para essa loja? Mas isso é uma prática, que o consumidor pode recusar. Ainda que ele concorde: há garantia de que essa loja amanhã ou depois não terá esses dados vazados por falha técnica ou humana?
A lei é para todos: e a loja, por menor que seja, precisa se adequar para que esses dados sejam armazenados de forma segura.
Para tanto, além de modificar processos e meios de documentação, a empresa/organização deverá promover uma mudança cultural em relação ao tratamento dos dados pessoais, de maneira a criar um ambiente conscientizado onde o respeito à nova legislação está presente em todos os níveis de atuação e, ainda, onde as informações sejam tratadas com os melhores padrões de segurança do mercado, para que não seja usada diferentemente do que foi definido e deliberado.
Fazer a adequação da LGPD não é uma tarefa difícil, mas também não é fácil e requer tempo, que infelizmente a grande maioria das empresas não usaram e nada fizeram em 3 anos desde o início da Lei e agora que as sanções serão para valer pela ANPD, ficou complicado.
O que fazer? Bom, como a Lei é baseada na boa fé e boas práticas, o processo deve ser iniciado imediatamente, começando por ter um contrato com uma empresa para a adequação à Lei, tendo assim uma evidência para mostrar a boa-fé.
O maior erro que uma empresa pode fazer neste momento é achar que publicando um texto qualquer como política de privacidade no site vai resolver o problema, pelo contrário vai ficar caracterizada a má-fé.
Aventino Teixeira é analista de sistemas com atuação na área de Tecnologia e Segurança da Informação, membro da ANPPD® (Associação Nacional dos Profissionais da Privacidade de Dados)