• Cristiano Pimenta

A Política do Desapego na Era LGPD


São Paulo, outubro de 2019 – em ritmo acelerado, caminha as implicações de conformidade, que instituiu em definitivo no Brasil, o tema Proteção de Dados Pessoais, causando transformações no âmbito organizacional e provocando em muitos, da euforia à desolação, do ceticismo à devoção, muitas dúvidas. Ao certo, o que não pode é ficar apenas contemplativo, ou nada a fazer, uma vez que o tempo, já traçado, sinaliza que você pode estar em muito atrasado para atingir os requisitos da Lei e dificilmente irá afastar, a provável, penalidade nos resultados do seu negócio.


A jornada que começou em agosto de 2018, quando foi sancionada a Lei 13.709 de 2018, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.


Com uma cultura do “melhor guardar, pois um dia posso precisar”, as empresas ao longo do tempo construíram um enorme arsenal de dados, um bem “intangível” de alto valor para o negócio, uma fonte inesgotável de consumo e consulta, sem travas, sem dogmas, inclusive sem pudor quanto ao seu uso e destino. Agora, o que vemos, o mesmo arsenal de dados, sem o rigor da Lei, volta-se como uma “bomba” prestes a explodir, com efeito direto na alta administração.


As orientações básicas sobre o dado pessoal, ou seja, a informação relacionada a pessoa natural, identificada ou identificável. Ou sobre o dado pessoal sensível, tipificado na Lei, como: Origem racial ou étnica, Convicção religiosa, Opinião política, Filiação a sindicato ou organização de caráter religioso, filosófico ou política, Saúde, Vida Sexual, genética ou biométrica (quando vinculada a pessoa natural), são insumos para organizar os dados, porém não são suficientes para ajudá-lo a descobrir onde estão tais dados.


Nos deparamos com empresas que possuem acima de 2.800 bases de dados e naturalmente, tendem a não ter um inventário efetivo sobre o que, onde e como estes dados estão sendo utilizados, armazenados e acessados. Como as aplicações interagem com tais dados, seus relacionamentos com entidades externas, a exemplo de parceiros de negócios. No minuto seguinte à entrada em vigor da Lei, você estará preparado para responder a simples pergunta do Titular?


“Prezado(a) Empresa,
Em atendimento à Lei 13.709/2018, que me confere o direito de proteger meus dados pessoais, solicito com base nos requisitos do Art. 17, 18 e 19, sem prejuízo dos demais: confirmação da existência de tratamento dos meus dados pessoais, e em caso positivo o acesso aos dados. Estando atento ao prazo legal de resposta, aguardo manifestação.”

Nada simples, pois imagina 300 (trezentos) pedidos em menos de uma hora, onde a escala de demanda, não está diretamente proporcional ao seu número de clientes, pois também poderá receber pedido de consulta de pessoas que sequer um dia fizeram negócio com sua empresa, e no tempo da Lei, precisará emitir um informe sobre a condição do requerente. Sabendo que outras demandas podem também ser solicitadas, como a eliminação dos dados, correção entre outras ações.


Sem dúvida, ser diligente é a melhor atitude, então execute com a maior brevidade possível o reconhecimento do ambiente, procurando identificar numa amostragem segura, quais os dados relevantes para a Lei, onde estão distribuídos e qual o nível de controle tem sob sua dinâmica de uso. Análise os resultados com uma visão de Riscos, compreenda quais os Gaps identificados e sua complexidade, organize um roadmap com ações estruturadas, e implemente um programa que envolva as principais lideranças.


Mantenha uma monitoração constante e atribua conceito de “privacy by design” para evitar retrabalho, não aceite enxugar gelo, cada aplicação e banco de dados que entram em produção sem o devido atendimento aos requisitos legais, vão lhe custar mais dinheiro, seja para corrigir os erros, ou para cobrir os recursos jurídicos frente à multas e/ou indenizações.


Vale lembrar que desde a Lei nº 12.965, de 23 de abril de 2014, que estabeleceu os princípios, garantias, direitos e deveres para o uso da internet no brasil, em específico nos seus artigos 10, 14 e 21, abordavam questões relevantes quanto à Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas. Enquanto o próprio código do consumidor, em algum momento, sinalizou que os dados pessoais do consumidor deveriam ser preservados, mantidos em sigilo e utilizados exclusivamente para os fins do atendimento.


Por fim, esteja atento ao “Termo Finalidade”, não é à toa que aparece pelo menos trinta vezes na Lei, ele poderá apoiá-lo na prática do desapego e rapidamente reduzir os riscos. Se não tem finalidade, suportada pela Lei, esqueça!!


Cristiano Pimenta, possui MBA em Serviços de Telecomunicações - UFF/RJ, Pós-graduação em Gestão - Fundação Dom Cabral/MG, Master en Dirección de Recursos Humanos, Desarrollo Digital de Talento – IEP/Madri, Graduação em Tecnologia da Informação – UNISUL/SC.


É Diretor de Advisory & Cybersecurity na PwC. Sua trajetória profissional ao longo de mais de 20 anos de experiência, inclui atuações de liderança na Arcon/Nec Soluções de Segurança Cibernética, Telemig Celular, Amazônia Celular e Vivo | Telefônica. Módulo Security, Microsiga, RM Sistemas, Petrobras.

35 visualizações
SIGN UP AND STAY UPDATED!
  • Grey LinkedIn Icon
  • Grey Twitter Icon
  • Grey Google+ Icon
  • Grey Facebook Icon

© 2023 by Talking Business.  Proudly created with Wix.com

  • LinkedIn Social Icon