O GDPR (General Data Protection Regulation, ou Regulamento Geral sobre Proteção de Dados) é uma lei de 2016, sancionada em todo território da união europeia que diz respeito à segurança e privacidade dos dados de seus cidadãos, tanto internamente como na esfera internacional, e que entrou em vigor em 25 de maio de 2018.
Nem três meses se passaram e sua versão brasileira, a LGPD (Lei Geral de Proteção de Dados), foi aprovada. Ela valerá a partir de agosto de 2020, mas muitas empresas já se mobilizam para entrar nos trilhos. Isso porque, ao descumprir as normas de segurança e privacidade estabelecidas, as empresas correm o risco de punições bem graves, como multas de até 2% do faturamento anual da empresa ou no valor máximo de R$ 50 milhões.
A GDPR já é válida na Europa, mas a LGPD ainda não é no Brasil. Como ela pode estar impactando o mercado?
Engana-se quem pensa que não é necessário se ajustar às novas normas. Se adequar à LGPD agora, é um passo adiante de empresas que buscam reforçar a segurança dos seus dados e minimizar falhas lá na frente.
Toni Herbert, diretor de Risk Advisory Service/IT na BDO Brazil, avalia a situação atual como obrigatória para que as empresas comecem a se mobilizar.
“Tanto em relação ao GDPR como ao LGPD, apesar do governo brasileiro ter adiado para agosto de 2020, a lei já é válida e devemos atender. Claro que em seu período de 'vacância', os incidentes não incorrem em multas, porém isso apenas no Brasil, porque quando falamos em GDPR, se a empresa mantém negócios com o território da União Europeia, deve efetuar um risk assessment (avaliação de risco) para avaliar sua exposição”.
Quais cuidados as empresas têm tomado para entrar em regularidade com a GDPR e a LGPD?
O movimento das empresas que buscam reforçar seu setor de Segurança da Informação está repleto de insights e iniciativas que visam a proteção de dados.
Como Herbert mencionou acima, realizar um risk assessment é um dos primeiros passos para entender a relevância dos seus dados e quais os tratamentos mais recomendados.
“Em seguida [ao risk assessment], com os riscos inerentes elencados, avaliar a maturidade dos controles potencialmente já existente para, então, efetuar o design da informação necessária ao negócio. Claro que, isso tudo falando em dados pessoais” complementa Herbert.
Os percalços que leis como a GDPR e LGPD criam são inúmeros. E é importante entender que a questão de se adequar às novas normas não existe apenas no âmbito interno das empresas, mas no externo, em conjunto. Afinal, essas mudanças chegaram para mudar o mercado — e não apenas os processos.
Por isso, as empresas que já estão se movimentando, começam a enfrentar alguns desafios em comum, buscando respostas que satisfaçam a legislação e seus usuários.
Sobre esse assunto, Herbert acredita que é preciso “estabelecer regras e canais transparentes de tratamento dos dados dentro das próprias organizações, promover um melhor conforto aos cidadãos de que seus dados não estejam sendo manipulados e ou compartilhados indevidamente”.
Sendo assim, as leis de proteção de dados, como GDPR e LGPD, possibilitam o desenvolvimento de alguma habilidade?
É natural que a situação obrigatória da GDPR e LGPD traga benefícios às empresas. Tanto no ambiente digital como fora dele, a abordagem da Segurança da Informação tende a amadurecer e, cada vez mais, se profissionalizar.
Para Herbert, exemplos desse desenvolvimento não faltam:
“Já podemos dizer que as empresas que atuam com análise comportamental de consumidores terão de remodelar seus métodos. Os software house também terão de aplicar novos mecanismos e critérios de segurança em seus sistemas, como por exemplo, ter a possibilidade de extrair um relatório do sistema com anonimização dos dados”.
A herança prematura que os recentes escândalos relacionados aos dados detidos por grandes empresas é profundo, mas serviu para elucidar o valor desse ativo. O mercado de hoje, em todas as suas esferas, é construído em cima dos dados.
Muito além do desenvolvimento que mencionamos acima, a aplicação dessas mudanças já muda o mindset das empresas. “A própria alta administração e/ou conselho de administração tem despendido tempo em suas reuniões estratégicas para discorrer sobre o assunto, pois negligenciar o tema pode até impactar na extinção da companhia” contextualiza Herbet.
Leis como GDPR e LGPD já estão moldando a forma de realizar negócios e principalmente, de manipular os dados. E não importa, do simples primeiro nome de uma pessoa até o número do seu cartão de crédito, tudo é valioso, pessoal e principalmente confidencial. Segurança é o mínimo que essas pessoas esperam de quem guarda tais informações.