Quase um ano após a entrada em vigor da Lei Geral de Proteção de Dados, a LGPD, começam a valer no dia 1º de agosto as sanções relacionadas a ela. A partir desta data, as empresas que estiverem em desacordo com a legislação estarão sujeitas a advertências, multas de até 2% de seu faturamento (limitadas a R$ 50 milhões) e até ao bloqueio ou à eliminação dos dados.
Além disso, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por aplicar as punições, pode obrigar a companhia a divulgar publicamente a infração cometida, resultando em danos claros à sua reputação.

Ainda assim, muitas empresas não adequaram completamente suas operações à nova lei. De acordo com dados de pesquisa da E-Commerce Brasil, apenas 30% das companhias estão totalmente preparadas para atuar de acordo com as demandas da LGPD.

As mudanças incluem, por exemplo, a necessidade de consentimento expresso do titular das informações para que os dados sejam armazenados para determinado fim, e a criação da figura do DPO (Data Protection Officer), o encarregado por atuar como canal de comunicação entre empresa, cidadão e a agência reguladora.

Mesmo entre aquelas que já estão em conformidade com as novas regras, contudo, ainda há pontos que devem ser observados para evitar vazamentos ou o tratamento inadequado de dados pessoais. O sócio-diretor do Grupo IRKO Flávio Luque Bastos explica que minimizar os riscos requer uma combinação de ações de segurança da informação, jurídicas e de governança.

O primeiro grupo de medidas servirá para coibir ameaças externas aos servidores da empresa. “Temos dois fatores importantes no cenário atual. O primeiro é a nova fase da LGPD, com a aplicação de sanções e uma fiscalização que irá além dos objetivos educacionais. O segundo é uma tendência de aumento nas ameaças de ataques cibernéticos, em razão do home office e da multiplicidade de plataformas utilizadas hoje pelos colaboradores das empresas”, diz.

O cuidado jurídico envolve os termos da lei: contratos, acordos, propostas etc. – tudo deve prever cláusulas de privacidade e confidencialidade. Já o trabalho de governança consistirá em mapear e gerir os processos de negócio que tenham relação com dados pessoais.

Bastos indica três pontos que devem servir para nortear as ações das companhias neste contexto:

Invista em infraestrutura

Mesmo durante um período economicamente desafiador, é preciso que as companhias direcionem parte de seus investimentos para uma infraestrutura de cibersegurança. Esses recursos devem ser utilizados em softwares e equipamentos que tornarão mais seguras as atividades do dia a dia.

O Firewall, por exemplo, é uma barreira básica de proteção da rede. Já um anti-phishing protege os usuários de e-mail de mensagens fraudulentas ou maliciosas em geral, que contêm links para páginas que infiltram ameaças na rede por meio daquele computador.

O ideal é que ocorra um escaneamento inteligente e um monitoramento em tempo real contra todo tipo de ameaça. Desse modo, a proteção de dados não será prejudicada mesmo se houver algum arquivo infectado.

“A migração para o teletrabalho e um futuro que indica a adoção de regimes híbridos também exigem outras medidas de proteção. Deve-se evitar, por exemplo, o uso de equipamentos pessoais ou ferramentas de trocas de mensagens gerais, como o WhatsApp, para a realização de tarefas corporativas”, diz Bastos.

A conexão por meio de uma VPN (Virtual Private Network) também é recomendada, já que garante uma conexão segura para acesso a dados confidenciais de clientes e outras informações sensíveis.

Treinamento das equipes
“Esses cuidados, no entanto, não tornarão a empresa completamente imune a problemas”, afirma o sócio da IRKO. “Para elevar a segurança e fazer uso adequado das informações pessoais coletadas, é preciso um grande esforço de treinamento das equipes envolvidas.”

É importante indicar que os colaboradores não cliquem em links suspeitos, não instalem softwares piratas e não baixem arquivos desconhecidos, por exemplo. Também há como definir as regras para ter senhas fortes nos acessos do usuário ao sistema, assim como exigências para que elas sejam trocadas a cada 180 dias.

O ideal é que seja desenvolvida uma política que contenha as principais orientações e regras para o compartilhamento de arquivos e o uso dos recursos digitais dentro e fora do escritório, além de esclarecer quais são as informações confidenciais.

Depois da elaboração, é necessário divulgá-la amplamente e realizar treinamentos para garantir o entendimento de todos e tirar dúvidas.

Atenção aos parceiros

Assim como um tropeço de um único colaborador pode colocar toda a rede em risco, ter parceiros que não estejam atentos à segurança da informação pode prejudicar todos os esforços feitos pela empresa para evitar problemas.

Por isso, é importante que, além de adequar suas próprias operações, a companhia esteja atenta às medidas tomadas por todos aqueles com quem tem parcerias comerciais.

“A digitalização de processos trouxe inúmeras facilidades, mas também significa que tudo está interconectado. É preciso, portanto, analisar todos os componentes de sua cadeia de informação, a fim de garantir que tudo esteja em conformidade com a lei”, afirma Flávio Luque Bastos.