Por Gustavo Mendes*
Toda empresa de qualquer porte, seja ela pública ou privada, conta com um ou mais banco de dados com informações sobre seus clientes e colaboradores. Esses dados são muito valiosos e, consequentemente, visados por terceiros, pois são eles que contêm informações pessoais e sensíveis de cada cidadão. Com menos de um ano para entrar em vigor, a Lei Geral de Proteção de Dados (LGPD) chega para regulamentar o modo como as instituições devem utilizar estas informações, com definições claras da finalidade de uso, seja para coleta, manipulação ou transferência.
A LGPD define exatamente o que é o dado pessoal, ou seja, informações que tornam uma pessoa identificável, bem como define também qual é o dado sensível, informações que caracterizam e definem a personalidade desta pessoa. Desta maneira, a Lei dá ao titular o direito de revogar sua decisão sobre o uso de seus dados e a exclusão das suas informações quando for exigido por ele. A divulgação não autorizada destes dados, manipulá-los de forma a prejudicar seu titular ou o seu uso indevido, são pontos tratados na lei, onde cada violação pode trazer sérios riscos à organização.
Regulamentações como o Código de Defesa do Consumidor e o Marco Civil da Internet, embora sejam de áreas distintas, são leis já existentes que vem aplicando multas por meio do Ministério Público e PROCON no que se refere à proteção de dados pessoais. Agora a LGPD, que apresenta “Geral” em seu título justamente por centralizar essas regras e dar mais segurança e controle aos cidadãos sobre seus dados, não ficou atrás e criou a Agência Nacional de Proteção de Dados (ANPD), que irá propor sanções que poderão chegar a 2% do faturamento limitado a R$ 50 milhões por infração.
O Regulamento Geral sobre Proteção de Dados (GDPR, na sigla em inglês), legislação europeia sobre privacidade e proteção de dados pessoais criada em 2018, serviu como base para a elaboração da LGPD e, em seu primeiro ano, já aplicou penalidades rigorosas para empresas relevantes do mercado, como Google e Facebook. De acordo com European Commision e a International Association of Privacy Professionals (Iapp), nos primeiros 12 meses da lei em vigor foram feitas mais de 89 mil notificações às autoridades europeias e o montante de multas aplicadas chegou a aproximadamente 56 milhões de euros.
Além das multas, que obviamente podem impactar a saúde financeira e descapitalizar rapidamente a empresa, há outros fatores que colocam em risco a organização. A falta de cuidado com os dados e conhecimento sobre a Lei, transmite para o mercado e para seus clientes uma negligência da forma como estes dados estão sendo tratados, o que pode gerar uma má reputação para a empresa. Consequentemente, isso pode ocasionar perda de fatores cruciais que podem comprometer seriamente a operação da companhia, seja ela de pequeno, médio ou de grande porte, como: parcerias importantes, investidores, investimentos e oportunidades de negócios.
O rigor da lei europeia evidencia uma conduta que devemos seguir e uma lição que podemos extrair: temos que nos preparar para a LGPD com o objetivo de implementar uma nova cultura organizacional na qual o titular está no controle de seus dados. Para isso, as organizações devem estar em conformidade com a lei para mitigar os riscos, possíveis danos financeiros e preservar a reputação da empresa. Esta última principalmente, uma vez que a quebra da credibilidade com seus consumidores pode impactar a imagem da empresa. Garantir a proteção dos dados pessoais é o principal item desta lei, mas sobretudo ela vai impor que as organizações transmitam transparência e confiança aos seus clientes.
Gustavo Mendes
Sales Engineering da Adistec Brasil, distribuidora com foco em infraestrutura para Data Centers e Segurança da Informação