LGPD: Quais riscos minha empresa corre de acordo com a lei

Por Carlos Bernardo

A Lei Geral de proteção de dados define as responsabilidades e papéis das empresas na proteção dos dados. Torna mais claros os riscos que as empresas correm em seus processos de negócios devido ao tratamento de dados pessoais.

LGPD: Quais riscos minha empresa corre de acordo com a lei

O ponto fundamental da LGPD

Um ponto fundamental a ser compreendido é que a Lei Geral de Proteção de Dados (LGPD) busca garantir aos cidadãos brasileiros a sua privacidade através da proteção aos seus dados pessoais. Dados que, cada vez mais, estão em formato digital e sendo tratados em sistemas informatizados.

Os riscos tratados pela lei são derivados das ameaças a estes dados, como as que podem levar ao seu uso indevido, sua divulgação não autorizada ou a sua manipulação com objetivos prejudiciais ao seu titular.

Uma empresa, segundo o espírito da lei, deve tomar todas as medidas cabíveis para garantir que estas ameaças estejam sob controle, fazendo com que os riscos a esses dados sejam minimizados.

A definição na nova lei é mais forte em relação aos direitos do titular sobre os dados pessoais que lhe dizem respeito, das responsabilidades do agente de tratamento pela garantia destes direitos e das sanções aplicáveis nos casos em que as medidas cabíveis não sejam aplicadas.

É claro que a possibilidade de sofrer estas sanções é também um risco legal para a empresa, que deve estar entre as preocupações de sua diretoria executiva. Este risco é minimizado pelos cuidados que a empresa toma para proteger os dados que ela trata.

Porque os dados pessoais correm riscos

A causa está no valor dos dados pessoais.

Dados pessoais representam conhecimento sobre o seu titular, que direciona opções de atendimento, decisões de negócios, relacionamentos profissionais e pessoais, campanhas de marketing, bem como identificação em transações comerciais.

Em praticamente todos os níveis de nossa vida cotidiana isto ocorre, do momento em que somos registrados no sistema da maternidade até as nossas assinaturas de serviços online, somos representados por estes dados pessoais.

Ameaças aos dados pessoais

Dados armazenados são informações, que em forma digital ou em papel, podem ser acessados, utilizados, copiados, alterados ou destruídos.

Dentro de toda empresa, qualquer que seja seu porte ou setor da economia, há dados pessoais de seus clientes e funcionários, pois, sem estes dados ela não funcionaria.

As ameaças existem porque em todo processo de tratamento de informação há sempre algum nível de vulnerabilidade que, se não for controlada, pode vir a ser explorada.

Normalmente um componente humano é envolvido na existência das vulnerabilidades, processos falhos ou mal executados.  

ISO 27000: a família de normas que auxiliam na proteção de informações

A disciplina que trata diretamente das ameaças à informação, controlando as vulnerabilidades e os riscos, é a segurança da informação. Na forma de recomendações, foi estabelecido ao longo do tempo um conjunto de práticas que ajudam a organizar a gestão da segurança da informação na empresa.

Entre as mais utilizadas está a família de normas ABNT ISO/IEC ISO 27000, que abordam desde os conceitos fundamentais e o processo de gestão, até a implementação de controles de segurança em casos específicos, como o ambiente em nuvem. Para complementar os aspectos mais técnicos da segurança da informação existem também as boas práticas de privacidade, como as apresentadas na norma ISO 29100.

Segurança através da minimização dos riscos

No cerne das melhores práticas de segurança da informação está a gestão de riscos.

Da mesma forma que na vida cotidiana, nos processos de tratamento de informação não é possível eliminar totalmente os riscos, são inerentes a existência.

Eles não podem ser eliminados totalmente, mas o nível de risco a que a empresa está sujeita pode ser minimizado, reduzindo as probabilidades de ocorrência ou os impactos caso ocorram.

Isto significa, tomar medidas para que as vulnerabilidades sejam as menores possíveis, monitorar as ameaças que podem explorá-las, identificar rapidamente quando algo de errado ocorre e tomar de imediato as ações de contenção para que o dano provocado seja o menor possível.

Riscos na prática

A mídia tem apresentado cotidianamente exemplos de riscos que se concretizaram, não só em tragédias de proporções humanas gigantescas como em casos relacionados ao vazamento de dados pessoais.

As redes sociais tem estado muito no foco destas notícias, pela popularidade que adquiriram e pela quantidade de dados pessoais que acumulam.

Não é necessário citar os casos aqui, basta uma rápida pesquisa pelas notícias na Internet para verificar que são muito mais comuns do que se imagina. Em consequência destes casos, as autoridades legais dos vários países tem se posicionado e cobrado ações das empresas.

No Brasil, o Ministério Público e o PROCON agem firmemente na proteção dos dados pessoais com base nas leis existentes, têm aplicado multas e conduzido termos de ajustes de conduta. A entrada em vigor da LGPD deve reforçar esta atuação.

Assim, as empresas precisam estar atentas a esta realidade, os riscos de proteção de dados pessoais não são teóricos, nem afastados do dia a dia de suas operações. Também não surgiram por causa da Lei Geral de Proteção de Dados.

Nos casos recentes de vazamento de dados que envolveram grandes empresas brasileiras, os prejuízos sofridos foram na casa dos milhões de reais. Com a entrada em vigor da LGPD, apenas a multa já poderá chegar a 2% do faturamento, limitada a R$ 50 milhões.

Os riscos existem agora mesmo nas empresas, podem ter impactos legais, financeiros e de imagem muito grandes. Ignorá-los pode trazer consequências bem funestas, como a mídia cotidianamente nos lembra.

Quer saber como implantar a Lei Geral de Proteção de Dados na sua empresa? Conheça o curso LGPD Na Prática.

Curso LGPD

Sobre o autor

Carlos Bernardo é consultor de segurança da informação, formado em engenharia elétrica pela Escola de Engenharia Mauá, atua há mais de 30 anos com tecnologia da informação. Com experiência na organização de áreas e processos de segurança, têm orientado empresas na implementação das medidas técnicas e administrativas de proteção aos dados pessoais.

Quer receber os conteúdos e as novidades da Fundação Vanzolini no seu e-mail? Cadastre-se em nossa newsletter.

Comentários