Especialista afirma que companhias devem adotar os conceitos de security and privacy by design, garantindo segurança e privacidade em suas operações
O presidente da República, Jair Bolsonaro, sancionou a lei nº 13.709 e com isso a Lei Geral de Proteção de Dados (LGPD) começa a valer a partir desta sexta (18). Após a publicação no Diário Oficial da União, a série de medidas para proteger os dados e a privacidade do cidadão, como evitar vazamentos de dados, empresas e órgãos públicos deverão adotar medidas para ficarem em conformidade com a nova lei.
Com a vigência, empresas precisam se adequar o quanto antes para cumprir os requisitos da nova legislação. É o que diz Adriano Mendes, advogado especializado em Direito Digital, Empresarial e Proteção de Dados. O especialista, que também é consultor para assuntos jurídicos da Trend Micro, empresa líder global em cibersegurança, afirma que mais importante do que a data que a lei passará a valer é o movimento que as companhias em geral devem fazer para que consigam endereçar as exigências da legislação no que tange ao trato e à proteção das informações dos usuários.
“Agora, desde quando a lei entrou em vigor é o de menos, uma vez que as empresas ainda não olharam para as suas implicações. As que não estão se adequando estão perdendo tempo. Ou seja, aquelas que ainda não se adequaram à legislação, deveriam estar fazendo isso independente da vigência da lei”, diz Mendes. Para o especialista, o que as companhias precisam realizar no momento é um assessment interno, de modo a verificar quais aspectos da sua operação estariam mais sensíveis às readequações de acordo com a LGPD.
Apesar da vigência da LGPD, a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar e normatizar a aplicação da lei, segue ainda com futuro incerto. Falta a nomeação dos seus diretores pelo presidente da República para a sabatina e ratificação do Senado.
Independente da resolução sobre a validade da lei e suas implicações, Mendes avalia que as empresas não podem aguardar as definições das normativas regulatórias para se adequarem à LGPD. O especialista afirma que companhias de diversos setores terão impacto muito grande nas suas receitas financeiras caso sejam penalizadas pelo não cumprimento da lei. “Empresas com faturamento acima de R$ 1 bilhão, especialmente àquelas com lucro na faixa de 5% da sua receita, além de sociedades controladoras que possuem um grande volume de dados, são as companhias que mais precisam estar preocupadas com os impactos de não adequação à LGPD”, afirma.
O consultor jurídico da Trend Micro ressalta que daqui para frente as empresas devem adotar os conceitos de security and privacy by design. Ou seja, todas as iniciativas adotadas dentro das operações das organizações já devem conter tanto o fator de segurança como de privacidade na sua concepção. “É importante que as companhias tenham claro que medidas de segurança e processos deverão ser documentados para mostrar a transparência e a governança também para a LGPD”, diz.
As empresas e os negócios têm o desafio de se adequar aos requerimentos e procedimentos descritos na LGPD para garantir os direitos dos titulares, a aderência aos princípios e fundamentos da Lei, bem como aos procedimentos de resposta a incidentes e aos titulares. “Mapear e monitorar quais circunstâncias a operação coleta, armazena e manipula dados que envolvam informações de pessoas físicas identificadas ou identificáveis é passo primordial. Depois, avaliar se essas informações foram coletadas da maneira correta e qual base legal é a adequada para que se justifique seu uso”, ressalta Mendes.
Estudo recente da Trend Micro apontou que a LGPD se aplica a qualquer tipo de negócio e gera reflexões sobre a quantidade de informações que são recolhidas e para qual finalidade. Também há questões que envolvem o compartilhamento de dados com outras empresas e negócios. Mesmo que seja um datacenter, um provedor de hospedagem ou um call center, os fluxos de dados precisam agora ser identificados e analisados para saber como será necessário documentar e o que informar na relação de Controlador e Operador e do Controlador e os direitos dos titulares, avalia o relatório da Trend Micro.