O advento da Lei 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe alguns desafios para as empresas, especialmente no que diz respeito à implementação da cultura de segurança da informação e a conscientização da importância do respeito e correto tratamento dos dados pessoais. Ou seja, a LGPD mais do que uma exigência legal, trouxe a necessidade de mudança do mindset da sociedade brasileira.
A LGPD define dados pessoais como sendo qualquer informação capaz de identificar uma pessoa natural de forma direta (dados identificados) ou indireta (dados identificáveis), além de trazer uma proteção especial aos chamados dados pessoais sensíveis, que podem ser definidos como dados que possam identificar a origem racial, étnica, opinião política, convicção religiosa, orientação sexual ou detalhes de saúde, genético ou biométricos de um indivíduo.
Igualmente, a LGPD impõe às empresas o dever de informar como será feito e a finalidade específica do tratamento que será aplicado aos dados pessoais dos titulares, além de exigir a responsabilidade das empresas na promoção e implementação dos meios adequados de controle, uma vez que os dados pessoais só poderão ser tratados se estiverem em consonância com um das dez bases de tratamento trazidas pela legislação e corretamente atrelados a uma finalidade especifica. Neste sentido, a presente legislação criou a chamada Autoridade Nacional de Proteção de Dados – ANPD, que será a responsável por fiscalizar a correta aplicação da lei por parte das empresas.
Conforme pode-se observar do artigo 2º da LGPD, a presente legislação visa aumentar a proteção à privacidade, à autodeterminação informativa, sem, no entanto, inviabilizar o desenvolvimento tecnológico e social. Neste sentido, a LGPD traz em seu bojo diversos princípios, dentre os quais pode-se destacar o princípio da segurança e da autodeterminação informativa, que é fundamental aos direitos dos titulares de dados pessoais, e à obrigação imposta a todos que tratem dados pessoais de permitirem o acesso e o controle do ciclo de vida dos dados pessoais aos seus respectivos titulares.
Assim, caberá as empresas, por meio das áreas de Tecnologia e Segurança da Informação (Cyber Security ou Segurança Cibernética), adequar seus sistemas, organizações operacionais e eventuais tratamentos de dados que promova, além de implementar medidas capazes de garantir a segurança dos dados pessoais por meio de tecnologia, além de indicar o Encarregado (DPO – Data Protection Officer) que servirá como meio de comunicação entre a Autoridade Nacional de Proteção de Dados, os titulares e a própria empresa, além de ser o responsável pela promoção de orientações, apoio e supervisão da adequação dos processos de negócio a essa nova realidade informativa.
Como destaca MAIA (2019), a evolução da economia digital trouxe grandes transformações nos sistemas de informação e gestão das empresas, forçando empresas e consumidores a repensarem a atuação na rede, especialmente no que tange à segurança da informação na internet, que passa a ser vista como ativo a ser implementado e respeitado no âmbito estratégico das empresas.
A LGPD, ao prever nos artigos 46 e VIII, §1º do artigo 52, ambos da LGPD, a exigência das empresas adotarem medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de eventuais incidentes de segurança, ou ainda ao prever a mitigação das sanções administrativas àquelas empresas que demonstrem adotar mecanismos e procedimentos internos capazes de minimizar eventual dano causado por incidentes de segurança da informação, tende a estimular as empresas à investirem mais na chamada Segurança Cibernética ( Cyber Security).
A utilização de tecnologias de ponta na proteção contra ameaças para evitar ataques de hackers, spam, malware, vírus, tentativas de phishing , links e anexos de e-mails mal-intencionados etc. Ou seja, é de suma importância ao processo de Cyber Security (Segurança Cibernética) e a própria implementação da LGPD nas empresas. Neste sentido, faz-se necessário que o Encarregado (DPO) das instituições possuam conhecimentos ligados à segurança cibernética, especialmente no que tange à definição das metodologias de segurança e orientações de segurança da informação que deverão ser abordadas pelas empresas em seu atuar interno e em eventuais contratações de fornecedores e outros parceiros que venham a efetuar tratamento de dados pessoais em conjunto e/ou sob ordens da empresa.
Em suma, com o advento da LGPD, nasce uma nova cultura, e junto com ela o dever das empresas de nomear um DPO para organizar e apoiar o processo de adequação à Lei e construir serviços, soluções e aplicações já fundamentadas na segurança da informação para todos os sistemas, infraestrutura de TI ou dispositivo, a fim de mitigar eventuais possibilidades de ataques e comprometimentos de dados pessoais que possam vir a ser passíveis de sanção pela Autoridade Nacional de Proteção de Dados Pessoais, tais como o bloqueio da atividade empresarial, que possua tratamento de dados em desconformidade com a legislação, e a aplicação de multas que podem chegar a cinquenta milhões de Reais por infração.
Luciano Piccolo
Membro do Comitê de Conteúdo e Segurança ANPPD® – Associação Nacional dos Profissionais de Privacidade de Dados
Certificado EXIN® DPO Data Protection Officer
