15/12/2020 –
Após idas e vindas, com uma pandemia de covid-19 que quase adiou a entrada por mais um ano, passou a vigorar no fim de setembro de 2020. As penas por infrações de empresas que se descuidarem podem ser de 2% sobre o faturamento total ou até mesmo R$ 50 milhões dependendo do caso.
Certa vez, um pai de família foi à farmácia comprar determinado produto e a atendente, seguindo as informações registradas em seu sistema, ofereceu-lhe um pacote de fraldas. Intrigado, o homem questionou por que ela estava oferecendo esse item específico – afinal, ele não tinha filhos pequenos. Ao solicitar o dado disponível na tela do computador, viu que o sistema cruzou informações: no endereço em que ele morava foi registrada uma compra de um teste de gravidez. Mais tarde, descobriu que a filha estava grávida e ele seria avô.
A história acima é totalmente plausível de acontecer com qualquer um. Situação bem mais comum: o usuário começa a receber mensagens que oferecem um produto simplesmente porque cadastrou seu e-mail em um cupom de promoção numa loja qualquer no shopping. Essas situações estão com os dias contados e não deverão mais acontecer quando as empresas começarem a seguir as normas da Lei Geral de Proteção de Dados Pessoais (LGPD).
A nova lei é um dos assuntos mais comentados desde a sanção em 14 de agosto de 2018 no governo Michel Temer. Inspirado na GDPR (regulamentação europeia lançada em 2016), o documento prevê como os dados pessoais dos cidadãos devem ser coletados, armazenados, manipulados, tratados, etc. Após idas e vindas, com uma pandemia de covid-19 que quase adiou a entrada por mais um ano, passou a vigorar no fim de setembro de 2020. As penas por infrações de empresas que se descuidarem podem ser de 2% sobre o faturamento total ou até mesmo R$ 50 milhões dependendo do caso.
Com pouco mais de dois meses de atuação, ainda é cedo para dizer se a LGPD já está surtindo efeito na vida dos brasileiros, impedindo que empresas saibam de assuntos pessoais antes mesmo da própria família. A expectativa, contudo, é de que haverá mudanças positivas no assunto. Agora, espera-se que as informações presentes fisicamente em arquivos ou em bases digitais estejam seguras e não sejam vendidas e/ou repassadas a terceiros sem o consentimento claro do cidadão. Além disso, espera-se uma maior educação sobre o tema, com a lei atuando em diversas frentes para instruir boas práticas, como a criação do DPO (data protection officer), um profissional especializado em manter a privacidade dos dados.
O que não pode ser mais tolerado é o cenário anterior à lei de proteção dos dados. Até a sanção do projeto de lei, as organizações estavam mais preocupadas em reduzir custos e melhorar processos do que em assegurar que as informações de seus clientes não se espalhassem pela Internet ou não fossem utilizadas de forma indevida em diferentes campanhas.
Esse cenário reflete no atual momento como as empresas estão enfrentando dificuldades em trabalhar com os dados de forma consciente. Um problema encontrado hoje é a falta de um mapeamento claro do fluxo de informação em uma estrutura, ou seja, onde ela passa e quais os buracos de segurança podem ocasionar problemas. Em outras palavras: não havia uma pessoa preocupada em resolver esse assunto.
Para solucionar a questão é preciso compreender que a adaptação da empresa à lei deve ser constante, ou seja, políticas, sistemas, pessoas, entre outros, precisam se atualizar frequentemente por meio de um processo interno que facilite esse aprendizado de forma rápida. Além disso, é preciso compreender que não basta atuar na segurança da informação e/ou disaster recovery – é necessário muito mais do que isso. Por fim, na área de tratamento dos dados, é preciso ir além da preocupação com sistemas e processos. A pessoa encarregada também precisa de atenção, garantindo o não vazamento da informação.
Felizmente, esse é um caminho sem volta para as empresas brasileiras. Ou elas se ajustam à lei e passam a adotar boas práticas no uso consciente das informações, ou irão arcar com as consequências de não protegerem um ativo cada vez mais importante na sociedade. Os dados digitais potencializaram grande parte da evolução tecnológica nas últimas décadas, mas agora a demanda mudou: é preciso respeitar o direito à privacidade e à segurança de todas as informações.
*Rodrigo Aquino é Head de Lean Transformation, da Lean IT, empresa especializada em consultoria e treinamentos a partir da adaptação dos conceitos originados da filosofia Lean e do Sistema Toyota de Produção para a área de TI - [email protected]