LGPD: o que é importante entender sobre a Lei quando o assunto é processo de investigação interna envolvendo coleta de dados?

Segurança é assunto sério - principalmente para as corporações. A preocupação com dados de terceiros cresceu e a Lei Geral de Proteção de Dados (LGPD) pode entrar em vigor no Brasil ainda este ano - a depender da tramitação do Projeto de Lei 5762/2019, que adia para 2022 maior parte da Lei.

Sancionada em agosto de 2018, a LGPD (Lei Federal n° 13.709/2018) tem como principal função estabelecer regras sobre coleta, tratamento, armazenamento e compartilhamento de dados pessoais de terceiros.

E se engana quem acha que é exagero - o cuidado não é para menos. Um estudo realizado pelo Ponemon Institute trouxe um cenário que foge de todos os contextos e expectativas: 77% das empresas entrevistadas admitem ter sofrido vazamento de dados no ano de 2018. 

O mais alarmante é que em 52% dos casos os dados que foram comprometidos e perdidos continham dados e informações relevantes de clientes. 

Diante desse cenário, fica fácil entender por qual motivo a LGPD tem conquistado tanto palco. Porém, é preciso ir além para entender todos os detalhes da nova lei. Abaixo, Élcio Benevides, CEO da GRC Solutions, e Sandro Souza, sócio-diretor de TI, elencam quais serão as principais mudanças e cuidados a serem tomados:

Segurança para os negócios

A LGPD é válida para todos os setores da economia. Isso quer dizer que todos os negócios abertos no Brasil precisam se adequar às novas regras - a lei só não é aplicada quando o tratamento dos dados é para fins particulares e não incluem processos econômicos, jornalísticos, artísticos, acadêmicos ou ligados com a segurança pública. “As empresas terão o desafio da adequação aos termos da Lei. Será importante, nesse momento, que os negócios contem com o apoio de profissionais especializados em proteção de dados e segurança de informações, além do suporte jurídico”, destaca Élcio Benevides.

Diretrizes claras

As corporações deverão informar e orientar sobre monitoramento dos ativos utilizados por colaboradores. “Serão indispensáveis políticas de segurança de informações com diretrizes claras sobre uso de recursos e ocupação dos espaços monitorados nas dependências das empresas”, explica Sandro Souza.

Dados vazados

A função da LGPD é justamente esta: proteger os dados de usuários. Porém, caso dados sejam vazados, cabe à empresa responsável acionar órgãos competentes, assim como o consumidor ou usuário de serviços, e lidar com a reparação e possível indenização. “Neste caso, um trabalho bem feito de prevenção a vazamentos de dados pode evitar prejuízos significativos para as empresas”, ressalta Élcio Benevides.

Legítimo interesse

É preciso fundamentar o tratamento dos dados com base no legítimo interesse, previsto no Artigo 7° da LGPD, de acordo com sócio-diretor de TI da GRC Solutions. “Há grande complexidade e alto nível de exigência nesse ponto e isso requer um olhar mais atento nas empresas na busca pela adequação à LGPD. O que significa, por exemplo, que as corporações estejam aptas a produzir um relatório de impacto à proteção de dados pessoais e realizar teste de proporcionalidade”, completa Sandro.

Investigação corporativa

É preciso entender bem o escopo da investigação interna e minimizar a coleta ao necessário para concluir a investigação e não ultrapassar a finalidade, de forma a respeitar a privacidade dos envolvidos. “Os dados sensíveis - a exemplo de informações relacionadas à saúde, orientação religiosa e outros - não devem fazer parte das análises de investigações corporativas. Se durante as atividades investigativas ocorrer identificação de dados considerados sensíveis pela Lei, deve-se proceder com o descarte seguro e imediato”, lembra o diretor de TI.

Compliance como ponto de partida

Para finalizar, Élcio Benevides diz que o melhor caminho é seguir um código de ética e conduta, políticas de segurança de informações e estudo de riscos corporativos, além das premissas apontadas LGPD, uma vez que termos de uso, por exemplo, são extensos e com palavras genéricas, não serão mais aceitos ou válidos.

“Uma empresa não pode ser vulnerável, principalmente, quando a proteção de dados é o foco”, aponta.  “Não tem outro jeito: o melhor caminho para alinhar às arestas é com a ajuda de especialistas. Dessa forma, é possível entender tudo o que é necessário, bem como treinar equipes internas”, complementa o CEO.

Apoio de quem entende do assunto

Com o intuito de oferecer métodos eficientes para investigar, prevenir fraudes corporativas e apoiar empresas com a proteção de dados, a GRC Solutions se consolida como uma consultoria parceria, sempre alinhada às boas práticas de governança. Além disso, a GRC Solutions investe em alta tecnologia e conta com a ferramenta Veritas e-Discovery para otimizar as investigações corporativas.