Como funciona a lei de proteção de dados na nuvem

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) finalmente entrou em vigor, no dia 18 de setembro de 2020, depois de muita discussão, adiamentos e indefinições. O objetivo é a proteção dos dados pessoais. Ela obriga toda empresa, pública ou privada, órgãos públicos e instituições de qualquer natureza que lidem com informações pessoais, no ambiente virtual ou físico, a pedir permissão para utilizar os dados e informar de que maneira eles serão usados.

Outro ponto importante é que, com ela em vigor, agora qualquer cidadão, titular dos dados pessoais, poderá questionar empresas ou órgãos públicos a respeito de como é feito o tratamento da informação pessoal e as companhias são obrigadas a fornecer. Assim, qualquer pessoa poderá questionar quais informações a empresa tem, bem como de que maneira estão sendo usadas e com qual objetivo.

As empresas que não cumprirem a lei serão punidas, recebendo multas de 2% do total das receitas, com possibilidade de chegar a até R$ 50 milhões por violação. Embora as sanções só entrem em vigor em agosto de 2021 e a Autoridade Nacional de Proteção de Dados (ANPD) ainda não tenha sido estruturada, o fato é que as empresas que ainda não se prepararam para a vigência da lei terão de fazê-lo para evitar sanções como multas nesse valor. E a lei determina que tanto controladores quanto processadores de dados são responsáveis por toda e qualquer informação pessoal que tenham coletado de usuários. Isto é, serão penalizados igualmente se não estiverem em conformidade com o que determina a lei. É a ANPD que vai fiscalizar o cumprimento da lei e aplicar as punições.

Em consequência, empresas que utilizam a tecnologia de nuvem também precisam tomar cuidados. Veja alguns passos para se proteger:

Cultura organizacional - é preciso mudar os procedimentos, redefinindo a governança de TI e as maneiras de gerenciamento de dados e de segurança para que haja proteção eficiente.

Provedor - é preciso escolher aquele que esteja em conformidade com a lei, oferecendo maior segurança para a proteção de dados.

Criptografia - trata-se de outro fator importante para conferir segurança na manipulação de dados pessoais. É fundamental  que o provedor ofereça essa possibilidade.

Monitoramento - a nuvem permite monitoramento em tempo real de eventuais riscos, mas é preciso adotar essa prática.

Backup - é importante tornar rotineira a execução de backups para preservar arquivos em diferentes versões a fim de garantir que informações pessoais não sejam perdidas.

Gerenciamento de dispositivos - atualmente, uma organização possui desktops, notebooks e dispositivos móveis, que podem armazenar diferentes tipos de informações. Considerar a adoção de uma solução de gerenciamento (Mobile Device Management (MDM) por exemplo) é uma possibilidade, já que ela poderá reforçar a proteção de dados.

Estes são cuidados que certamente deixarão uma empresa ou qualquer entidade que manipule dados pessoais mais seguras em relação ao cumprimento da lei.

*Marcos Farias é CEO e sócio-fundador da Arki1, empresa de treinamento especializada em Google Cloud, certificada pela gigante do Vale do Silício, que em 2019 a escolheu como Google Cloud Authorized Training Partner of the Year na América Latina. .