Especialistas dão dicas de como empresas podem se adequar a Lei Geral de Proteção de Dados

Conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), a lei n. 13.709/2018 é uma resposta do governo brasileiro à legislação adotada por mais de 100 países, cujos governantes estão preocupados com a privacidade dos dados pessoais dos cidadãos. As medidas previstas tanto na LGPD brasileira quanto em outros mecanismos legais, como a General Data Protection Regulation (GDPR) — o Regulamento Geral sobre a Proteção de Dados instituído pela União Europeia — já estão sendo observadas de perto por empresas, sobretudo as com atuação global. Grandes organizações que lidam diretamente com um alto volume de dados de usuários dos seus produtos e serviços agem para evitar problemas com relação aos seus modelos de negócio. No início do ano, a Comissão Nacional de Proteção de Dados francesa multou a Google em mais de 57 milhões de dólares por não ter, até aquele momento, adequado suas atividades à GDPR.

No Brasil, embora a LGPD entre em vigor apenas em 2020, organizações públicas e privadas adotam medidas para se adequar à lei. Para Humberto de Sá Garay, consultor sênior em inteligência e segurança pública e corporativa da Dígitro Tecnologia, o compliance deve ser planejado para estar de acordo com a legislação. “A elaboração de um plano de governança de dados e a adoção de medidas de compliance devem ser elaborados e adotados desde agora, para evitar consequências jurídicas negativas num futuro próximo”, afirma. Ele alerta que o primeiro passo é criar departamentos internos e contratar profissionais especializados para estudar o tema.

Outros especialistas em segurança que atuam em pequenas, médias e grandes empresas brasileiras dão dicas de como adotar práticas e rotinas de acordo com as novas regras legais.

Domínio das regras legais e revisão de contratos — Preocupados com o compliance tanto com a GDPR quanto com a LGPD, a Softplan, uma das maiores desenvolvedoras de software de gestão do Brasil, investiu em especialistas e firmou parcerias com consultorias, entusiastas e autoridades especializados no tema. De acordo com Edinaldo Moraes, Head da Segurança da Informação (CISO) e do Data Protection Officer (DPO) da Softplan, para se adequar à legislação, a Softplan contratou um Security Officer como Staff do Conselho, além de investir em outras ações. “Contratamos escritórios especializados em LGPD/GDPR para sanar dúvidas de interpretação da Lei. Também criamos internamente grupos de debates formados por advogados, gestores, desenvolvedores e especialistas. A cada três meses fazemos um workshop com a equipe interna e especialistas convidados para compor painéis de debates”, explica Moraes. Outras medidas adotadas pela Softplan foram realizar o mapeamento detalhado dos locais onde haviam dados pessoais e dados sensíveis, a anonimização de dados pessoais e sensíveis em desenvolvimento, e a homologação e criação de cláusulas contratuais específicas com os fornecedores e clientes para atender à lei, entre outras.

Adequação ao modelo de negócio — A nova lei é vista com bons olhos pelas empresas. Mas é preciso analisar caso a caso para entender os pontos que realmente se encaixam em cada modelo de negócio. Piero Contezini, CEO da fintech Asaas, que oferece serviços financeiros para micro e pequenos empreendedores por meio de uma plataforma completa de pagamentos e gestão de cobranças, defende que a regulação da nova lei no caso das Fintechs, por exemplo, pode ser relativizada em alguns pontos. “A legislação é complexa e precisa de um bom trabalho jurídico para ser seguida corretamente pelas empresas, de acordo com os modelos de negócio. Por exemplo, no caso das Fintechs, nós temos o Banco Central que regula o tipo de informação que precisamos ter dos nossos clientes, chamado de Know your Customer. O órgão exige que a gente tenha todos os dados da pessoa, então na realidade, se já há regulamentação por Órgãos Reguladores, é necessário fazer um estudo conjunto com a LGPD, para observar as exceções aplicáveis e obrigatoriedade quanto à coleta de dados pessoais”, ressalta Piero.

Tempo a favor da mudança — Se todas as adaptações necessárias forem realizadas de uma única vez o custo para as empresas pode ser alto, sem falar no tempo de trabalho. A dica é se planejar e usar o prazo dado para entrar em consonância com a lei de forma estruturada e que não prejudique a empresa. “As adequações devem ser feitas até 2020, caso os negócios se planejem para inserir as mudanças gradualmente em projetos antigos e já começarem novos sob a ótica da nova lei, é possível reduzir consideravelmente os custos dessa transição. Por mais que exista o impacto inicial, ao longo do tempo a qualidade dos serviços deve melhorar, fazendo com que o resultado geral seja benéfico”, conclui Bernardo Smaniotto, Diretor de Operações da Cheesecake Labs, empresa que programa aplicativos web e mobile.