A sua empresa já está se preparando para o processo de conformidade à Lei Geral de Proteção de Dados (LGPD)?

Oriunda da União Européia, internacionalmente conhecida como GDPR (General Data Protection Regulation), a qual de alguma forma deu origem, orientou e inspirou a Lei Geral de Proteção de Dados brasileira (LGPD ou Lei 13.709 de 2018), deverá, a princípio, entrar em vigor em meados de 2020. Estas regulações também se devem aos escândalos e mal uso de informações de dados pessoais de clientes e usuários ocorridos ao longo do tempo.

Mas afinal o que é LGPD?

A Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionada no Brasil e muda significativamente as obrigações das empresas quando se trata de lidar com os dados pessoais ou de pessoas naturais, objetivando aumentar a privacidade e proteção, e atender aos anseios dos indivíduos em relação ao controle sobre os seus próprios dados.

Em relação às empresas, a lei terá significativo impacto legal, econômico e de competitividade, e irá cobrar a conformidade nos diversos pontos referente àsegurança cibernética e física das infraestruturas digitais e sistemas computacionais, transparência e confidência em relação à manipulação de dados, privacidade e proteção de informações pessoais, com a definição de regras e limites sobre coleta, armazenamento, tratamento e destruição dos dados, por parte das empresas e órgãos públicos, determinando assim mais direitos aos usuários.

Uma questão que muitas vezes pode não parecer muito clara a primeira vista é que os processos relativos à privacidade e proteção não relegam-se apenas aos fatores digitais ou cibernéticos, mas englobam também os físicos, manuais e organizacionais.

Em geral, o GDRP e a LGPD são mais que apenas tecnologias específicas ou letra fria da lei, são processos integrados de GRC e práticas de governança, sob as óticas organizacional e da mudança de cultura corporativa e societária.

Em abordagem relativa ao GRC, o GDRP e, por sua vez, a LGPD em prática devem preconizar a governança no sentido de  uma cultura organizacional orientada por normativas incidentes, melhores práticas correlatas e pensamento estratégico orientado à definição de processos e tecnologias de governança de dados e informações.

Em relação a riscos, deve haver uma definição clara de objetivos de controle, através da instituição tone-at-the-top, de processos manuais e cibernéticos para um sistema de gerenciamento de segurança da informação e proteção de dados, que proveja uma cultura organizacional orientada ao CIDA.

Por sua vez, em relação à conformidade, a instituição de programas de Compliance orientados por conduta ética e integridade corporativas são, também, importantes aliados

em um processo de cumprimento a lei (LGPD), tanto em sentido amplo, como correlato.

Devemos buscar o entendimento de que o cumprimento ou a conformidade à lei em maior espectro não se restringe a disciplinas apartadas ou isoladas em silos, mas sim amplamente integradas, tratando seus processos com aderência tecnológica e normativas específicas, uma vez que as vulnerabilidades e riscos também podem ser integrados ou correlacionados.

A real questão que organizações precisam entender em relação a não conformidade a esta legislação, é quanto ao risco de imagem e os impactos econômicos diretos e indiretos que aumentam em relação às vulnerabilidades físicas e cibernéticas em toda sua cadeia produtiva interna e externa.

Tanto para os existentes, como para cada novo serviço ou operação de negócios que fazem uso de dados pessoais, devemos levar em conta a sua proteção e privacidade nativas.

As regulamentações  exigem que as organizações denunciem violações de dados dentro de um curto espaço de tempo após a detecção, para que estas tenham conhecimento e estejam preparadas para respondê-las. Dentro do contexto do GDPR/LGPD, uma violação de dados é a perda ou comprometimento de dados pessoais. Um desafio que muitas organizações enfrentam é o de que o tempo entre a intrusão e um vazamento físico ou cibernético, e a real detecção da perda ou sequestro de dados é crucial para a mitigação dos danos econômicos ou de imagem, mas tal situação, caso uma organização não esteja preparada ou em conformidade, pode se estender por tempo excessivo ou ser detectada e vir à tona em uma ação em tribunal.

A não observação, em sentido mais amplo da LGPD, pode criar uma janela de oportunidades para fraudes internas e externas, físicas e cibernéticas, permitindo que agentes mal-intencionados, de dentro ou de fora da organização, possam explorar vulnerabilidades diversas, auferir lucros indevidos e impor punições de impacto econômico e de imagem advindos de práticas antagônicas à liberdade e direitos da pessoa natural, por parte da organização em questão.

No sentido de buscar esclarecer e auxiliar as organizações e suas cadeias produtivas internas e externas, a Moore Stephens coloca suas equipes e expertises à disposição para o entendimento da importância da implementação do processo de conformidade à Lei Geral de Proteção de Dados e demais processos correlatos.

Faça o download gratuito do nosso ebook ”GDPR Essencial”, e descubra os primeiros passos para implementar práticas de segurança para sua empresa.

Vladimir Barcellos Bidniuk

Vladimir Barcellos Bidniuk

Diretor da Moore Stephens Porto Alegre
Especialista em Governança Corporativa, Familiar, Digital e GRC
vbarcellos@msbrasil.com.br