Mercado Mercado

Hora do ajuste

Para especialistas, impacto da Lei de Proteção de Dados vai tornar as empresas brasileiras mais seguras e mundialmente competitivas

Tatiana Vaz, especial para LogicalisNow

FacebookTwitterLinkedIn

US$ 50milhões

é o valor da multa em casos de desvio ilícito ou vazamentos de informações

É praticamente impossível, hoje, fazer qualquer ação sem deixar um rastro de dados pelo caminho. Há uma quantidade gigantesca deles em todos os lugares, do aplicativo que nos ensina o melhor trajeto para casa à pizzaria em que jantamos uma vez ao mês. Ávidas pelas informações, as empresas têm aprendido rapidamente como usufruir disso da melhor maneira possível para alavancar seus negócios. Mas a recente Lei de Proteção de Dados as tem deixado inseguras sobre como fazer isso da melhor forma possível.

A Lei Geral de Proteção de Dados (LPGD), sancionada por Michel Temer em agosto, estabelece regras para que o uso das informações ocorra sem prejudicar nem o dono dos dados, nem o mercado. Além disso, cria a exigência de padrões de segurança, a fim de que as empresas previnam possíveis incidentes, como desvio ilícito ou vazamentos. Se comprovados erros, há uma punição: multa de R$ 50 milhões ou até 2% do faturamento bruto da infratora.

O prazo para a adequação dos negócios no Brasil será de 18 meses a partir de agosto de 2018. “Ter uma lei, um conjunto de regras iguais para todos, evita que um caso seja tratado de forma diferente dos demais e ajuda todo o mercado a se modernizar, a ser mais competitivo e criativo”, afirma Adriano Mendes, especialista em direito digital do Assis e Mendes Advogados.

De acordo com o especialista, a LGPD foi baseada na normativa criada na Europa, a General Data Protection Regulation (GDPR), em vigor desde maio para todas as empresas que utilizam os dados de cidadãos e residentes da União Europeia. “Isso foi feito justamente para criar uma interoperacionalidade entre os mercados, e assegurar que as empresas no Brasil sigam os mesmos níveis de segurança que as estrangeiras”, afirma Mendes, que alerta sobre a necessidade de adequação do negócio dentro do prazo. “Quanto antes a adequação for iniciada e feita, mais barato e eficiente será para o negócio”.

“Ter uma lei evita que um caso seja tratado de forma diferente dos demais”
Adriano Mendes, especialista em direito digital do Assis e Mendes Advogados

Por onde começar?

Os ajustes podem ser divididos em quatro passos gerais, destrinchados em várias outras ações, em uma espécie de processo de autoconhecimento feito pelas próprias companhias. Primeiro é preciso mapear todos os dados pessoais e sensíveis que a empresa possui, coleta, trata e armazena, não só dos clientes – sejam eles pessoas físicas ou jurídicas –, mas também dos funcionários. Com todos em mãos, é preciso definir como eles serão guardados e quais são realmente necessários para a operação.

“Muitas companhias acabavam por reunir mais dados do que precisavam das pessoas, apenas porque eles já estavam disponíveis ou porque faziam parte de formulários anteriores que foram aproveitados. Agora, será preciso repensar o que é necessário para os negócios de verdade”, explica Rodrigo Suzuki, especialista em segurança de dados da Logicalis. Pela Lei, as empresas não devem armazenar dados que não tenham correlação com o seu negócio. Por exemplo, não se deve perguntar qual é o título de eleitor numa ficha cadastral para emprego.

“Agora, será preciso repensar o que é necessário para os negócios realmente”
Rodrigo Suzuki, especialista em segurança de dados da Logicalis

O próximo passo está ligado à estratégia definida pela empresa sobre o que fazer com as informações. Nesta etapa é preciso definir quem poderá acessar os dados e por que. Talvez não seja preciso que todos os funcionários tenham acesso aos dados cadastrais dos clientes, por exemplo. Por último, é preciso deixar claro nos contratos, termos de uso e política de privacidade quais informações estão – ou poderão estar – sob poder das empresas.

Ainda que a discussão sobre a criação dos padrões aconteça há anos, e escândalos envolvendo grandes corporações dentro e fora do país tenham abalado a confiança das pessoas sobre a exposição de suas informações, as empresas no País parecem ainda não ter se atentado para a gravidade e urgência das mudanças. “Nos procuram para que possamos explicar como aplicar as mudanças necessárias partindo, várias vezes, do zero. Isso porque muitas ainda precisam investir em uma estrutura mínima de segurança na empresa, antes de pensar em como se adequar à lei”, diz Suzuki.

A preocupação maior vem das companhias que possuem filiais, mantêm relações comerciais constantes ou pretendem expandir para o continente europeu. Como a lei, tanto brasileira quanto europeia, estendem a responsabilidade de incidentes com dados para os fornecedores, é preciso correr para que os negócios sigam fluindo. Até porque, com o tempo, quem não se adequar não será tão competitivo em um mercado global como o de hoje, alertam os especialistas.

Para empresas que já possuem uma maturidade de segurança mais avançada, o processo pode ser mais rápido. Este é o caso da Vagas.com, empresa de desenvolvimento de software de recrutamento e seleção que atende mais de 3.000 clientes no Brasil e possui mais de 9 milhões de currículos ativos em seu banco de dados. A companhia começou a analisar como teria de se adequar à lei europeia no início deste ano, por antever que a normativa seria semelhante à brasileira. Depois de analisar tudo o que detinha de dados, traçou um plano de ação para identificar os pontos que precisavam de melhoria, bem como os que tinham de ser revistos ou retirados do processo.

Entre as modificações, está a atualização dos termos de uso da ferramenta, descrevendo os tipos de informações coletadas. Antes já existia um contrato e uma Política de Segurança da Informação bem robusta, mas a ideia agora é que tudo seja comunicado da maneira mais clara possível para os usuários. “Durante a navegação pelo nosso site, os usuários que aceitaram nossos termos de uso visualizam propagandas relacionadas, exibidas de acordo com o seu perfil e dados de navegação. Queremos deixar tudo isso evidente para os usuários”, afirma Edson Benites, especialista de segurança da informação e um dos responsáveis pela área na empresa.

Atualmente, o candidato que inclui seu currículo no Vagas tem acesso ao histórico de envio de seus dados para vagas de seu interesse. No entanto, não é possível imprimir ou exportar as informações, o que também deve ser modificado. “Os dados são deles e queremos dar esta opção”, diz Benites. Também será preciso informar que as informações transmitidas pela Vagas para as empresas sobre os candidatos não podem ser excluídas dos bancos de dados de terceiros. “Hoje, os usuários têm a opção de desativar seus currículos, mas não excluir totalmente as informações que já foram compartilhadas. Agora pensamos em como desenvolver uma forma dela excluir as informações, quando julgar necessário”, afirma ele.

Sobre fornecedores e segurança, a companhia diz que sempre foi criteriosa sobre as escolhas, mas que a tendência é ser mais. Quanto aos clientes, as empresas atendidas assinam um termo de uso onde se dizem conscientes da corresponsabilidade sobre os dados dos usuários. “Os termos de uso com as modificações serão reforçados com os clientes e enviados a todos os usuários assim que tudo estiverem prontos, com certeza antes do prazo de 18 meses”, garante Benites.