DSAR: o desafio criado pela implementação da LGPD

Graças à Lei de Proteção de Dados, a cibersegurança tornou-se um ponto de atenção total em todas as áreas de atuação profissional. Isso é ótimo! No entanto, aos poucos a LGPD pode se tornar um problema para as empresas, se não conduzida estrategicamente. Um grande exemplo disso é a Requisição de Acessos aos Dados de Usuário (DSAR), que vem trazendo grandes problemas na Europa, e pode ser feita por qualquer cliente ou funcionário. E o processo?! Esse não não é fácil.

A DSAR consiste em verificar toda a comunicação que a pessoa teve dentro da empresa, sejam e-mails, mensagens de texto ou ligações. Todas essas informações têm de ser procuradas e coletadas da empresa e entregue para a pessoa que fez o pedido. O pedido pode ser realizado pelo funcionário ao qual os dados dizem respeito. Um tutor legal - por exemplo, um pai ou responsável pode pedir os dados que uma companhia tem sobre seus filhos -, ou até mesmo clientes.

O problema é que a coleta de dados individuais também entra em conflito com os dados particulares de outros, seja por meio de e-mails compartilhados com terceiros ou até mesmo de mensagens sobre outros funcionários que façam parte da cadeia de informações do funcionário.

Esse processo faz com que o empregador esteja em uma posição mais fraca de negociação. Não há problema em querer acesso aos dados que a empresa guarda, é um direito do funcionário e do cliente saber quais informações a companhia mantém. No entanto, o que está acontecendo é que funcionários têm usado este benefício como meio para negociar rescisões de contrato.

Rodar uma DSAR é um processo lento e com muito custo, já que tudo que o requerente fez, desde e-mails até mensagens em sistema de colaboração tem que ser extraído, filtrado e apenas depois entregue para o funcionário. O fato do prazo máximo da entrega do pedido ser de 15 dias coloca a empresa em uma situação complicada, já que a LGPD obrigada que este caminho seja seguido.

Nem sempre as empresas têm a estrutura necessária para atender o pedido dentro do prazo, o que acarreta em gastos não programados e prejuízos. Empresas grandes talvez teriam condições melhores de fazer esse processo, já que também envolve o departamento de recursos humanos, porém empresas de pequeno e grande porte teriam que pensar se vão outsourcing essa parte ou fazer internamente, porém as duas situações se tornam caras.

Na Europa, temos visto isso ser mais usado como manobra de negociação ao invés de somente como um processo por controle de dados. Ou seja, a empresa terá que pensar em investir e segmentar esse processo, para poder ficar eficiente e conduzir o DSAR ou talvez irão entrar em negociação com os funcionários após a rescisão do contrato para não ter Processo de DSAR.

É importante citar que, apesar da Europa também ter leis trabalhistas, no Brasil elas são mais severas e, se os casos na Inglaterra estão subindo, a tendência é que no Brasil esse tipo de manobra se torne um mecanismo para melhores negociações entre empresas e funcionários.

No fim, a DSAR é essencial para garantir o acesso aos dados privados conforme a Lei Geral de Proteção de Dados. No entanto, é preciso que as empresas estejam prontas para ela.

*Rafael Narezzi é especialista em segurança cibernética na 4CyberSec e organizador da Cyber Security Summit Brazil. Com mais de 20 anos de experiência, Narezzi é mestre em computação forense, cibersegurança e contra-terrorismo pela Northumbria University.