22/10/2019
Por Odilon Costa*
Mais de 100 países têm leis específicas voltadas à proteção de dados (LGPD) dos cidadãos e alguns dispõem de uma Autoridade Supervisora de Dados independente, com poderes para garantir a obediência à codificação. Em todos os países em que houve aderência à lei de proteção de dados, ocorreu melhorias na dinâmica dos negócios.
De acordo com a pesquisa KPMG International: Guardians of trust – Who is responsible for trusted analytics in the digital age (de 2018), 92% dos executivos não confiam no processo de Data Analytics da sua empresa, o que torna altamente recomendável a contratação de um prestador externo de serviços. Veja seis tópicos recomendados ao estabelecer a LGPD:
Estabeleça princípios que permitam ao usuário conhecer e gerenciar os dados obtidos: além do consentimento explícito, caberá à empresa que recebe essas informações municiar o usuário com tudo o que ele precisa saber, tendo o direito de visualizar, corrigir e excluir dados que tenham sido coletados. O tratamento das informações será permitido se estiver dentro das hipóteses previstas na proposta, como obrigações legais, contratuais e proteção do crédito;
Adote um conjunto de controles que permitam manter a guarda somente dos dados dos usuários ativos e habilitar um processo seguro de portabilidade: dados pessoais deverão ser excluídos após o encerramento da relação entre o cliente e a empresa; os titulares das informações poderão corrigir dados que estejam de posse de uma empresa; a transferência de dados pessoais só poderá ser feita a países com nível "adequado" de proteção de dados;
Mantenha trilhas de auditoria para os princípios de causalidade: a lei determina que, para cada decisão automatizada feita por uma empresa, ela deve ser capaz de explicar como chegou a ela;
Implante e aprimore sistemas de segurança da informação: além de as empresas coletarem somente os dados necessários aos serviços prestados, deverão existir medidas de segurança para proteger os dados pessoais de acessos não autorizados e de "situações acidentais ou ilícitas" de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. É preciso criptografar esses dados e assegurar o direito do usuário ao anonimato, com o objetivo de coibir a exposição dos usuários em eventuais vazamentos. Cabe ao responsável pela gestão dos dados o dever de comunicar casos de "incidente de segurança” que possam trazer risco ou dano ao titular das informações – por meio, por exemplo, de vazamentos ou ataques de hackers;
Crie mecanismos para suportar possível “responsabilidade solidária”: a lei estabelece papéis e responsabilidades entre controladores e operadores em caso de violações, com possível aumento de ações civis pelos titulares de dados em caso de vazamentos. A expectativa é um cuidado extra referente as decisões de uso de dados, além de melhorar a definição da relação e dos controles entre empresas;
Implemente um programa de governança em privacidade que, no mínimo: Demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais; seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; seja adaptado à estrutura, à escala e ao volume de suas operações; estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; tenha planos de resposta a incidentes e remediação e seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
* Odilon Costa é CEO da Tree Solution
Aviso: A opinião apresentada neste artigo é de responsabilidade de seu autor e não da ABES – Associação Brasileira das Empresas de Software