Não é novidade que a Lei Geral de Proteção de Dados Pessoais está movimentando empresas de todo o tipo para se adequarem às normas da lei, a qual prevê regras para coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Tal realidade não haveria de ser diferente, uma vez que as empresas que não cumprirem com as exigências da lei podem sofrer multas até 2% do faturamento da empresa limitados a 50 milhões de reais a cada incidente. A questão a ser discutida, portanto, é: o que as empresas devem fazer para se preparar para a LGPD?
Em primeiro lugar a Lei Geral de Proteção de Dados Pessoais veio para despertar nas organizações uma política interna de proteção de dados. Isso significa que não se trata apenas de adquirir uma ferramenta que os monitore, mas, sim, de criar consciência dentro da organização sobre a importância dos dados pessoais e que os próprios usuários são responsáveis pelo uso seguro dos mesmos.
Apoiado nesse raciocínio, considero essenciais três pilares que podem nortear as empresas a se adequarem à LGPD: governança, educação e tecnologia. Para que a consciência de proteção de dados seja efetivamente internalizada na companhia, é preciso que esses pilares sejam implementados e que sejam praticados diariamente.
1.Governança
A governança de dados envolve processos internos e, mais especificamente, classificação de conteúdo. É preciso realizar um mapeamento de todas as informações geradas pela e para a sua empresa, descobrir onde elas se encontram e determinar quem pode manuseá-las. Com base nesse mapeamento dos dados e no entendimento sobre as características das informações tratadas, é possível decidir o que fazer com cada informação.
2.Educação
Uma vez implementada na companhia a cultura de governança de dados, o próximo passo é a conscientização dos funcionários. É preciso que todos entendam que o usuário tem papel fundamental no tratamento e consequentemente na segurança das informações. Educar os funcionários sobre a proteção de dados é extremamente importante para garantir a classificação correta e também evitar que dados vazem por negligência dos próprios usuários as proteções existentes.
Educar um funcionário para se preocupar com proteção de dados é um processo longo e que deve ser realizado todo dia. Podemos relacionar ao ato de tratar o lixo descartável. Inicialmente, separar o lixo descartável do orgânico era um processo “trabalhoso”, mas com o tempo foi se compreendendo a importância dessa prática para o meio ambiente e tal consciência foi se difundindo pela sociedade. Hoje, separar o lixo é algo natural em muitas residências, mas ainda deve ser abordado para que não caia no esquecimento e para conscientizar aqueles que ainda não adotaram essa prática. Com a proteção de dados pessoais, a situação é a mesma.
Portanto, é preciso que o funcionário faça a seguinte pergunta a si mesmo: quais cuidados uma empresa deve ter com a minha informação?
Como formas de educar os funcionários, promover palestras com utilização de casos de uso lúdicos, workshops e apresentar cases de sucesso ajudam a mostrar os benefícios de adotar boas práticas na proteção de dados pessoais.
3.Tecnologia
A tecnologia é parte fundamental em um bom gerenciamento de dados pessoais. Mas, que tipo de ferramenta minha empresa deve contratar? Uma vez feito o mapeamento e a descoberta de onde os dados residem, é preciso entender que hospedar dados na nuvem é uma prática comum nas organizações, atualmente, e muitos desses dados são sensíveis.
Diante desse cenário, as empresas devem procurar por uma ferramenta que controle 100% do uso desses dados onde quer que eles estejam hospedados (On Premise, Cloud), realizando o monitoramento, proporcionando visibilidade e agindo de modo a excluir um dado ou coloca-lo em quarentena, no caso desse armazenamento ofender as regras de governança pré-estabelecidas.
Em resumo, o que a LGPD traz além da própria regulamentação em esferas governamentais, é a oportunidade de fazer com que as pessoas tenham consciência sobre a importância do tratamento de dados no seu dia-a-dia, bem como suportar as políticas de segurança corporativa sobre uso seguro de dados.
*Gustavo Suzuki é diretor técnico da NetSafe Corp
