A Lei Geral de Proteção de Dados (LGPD) fiscaliza a forma como as empresas tratam os dados pessoais dos clientes e estabelece práticas e medida protetivas contra possíveis vazamentos desses dados e ameaças cibernéticas. Atualmente, muitas empresas e organizações ainda estão em processo de adaptação dasas regras estipuladas pela LGPD. A Lei está em vigor desde 18 de setembro de 2020, com exceção às sanções administrativas, que passaram a valer a partir 1º agosto de 2021.

“Descumprir a LGPD pode resultar na suspensão das atividades da organização (caso seja relacionada a dados pessoais), impossibilitando o tratamento de dados e gerando multas que podem chegar a 50 milhões de reais”, explica Arthur Dantas Oliveira, especialista em Direito Digital e Compliance da Apura Cybersecurity, uma das maiores empresas de segurança cibernética do Brasil. Pela lei, toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, estão sob responsabilidade da empresa. Oliveira elenca algumas práticas que devem ser implementadas por empresas que tratam dados pessoais de clientes.

A primeira delas, segundo o especialista, é ter um profissional independente (DPO) encarregado pelo tratamento, organização e que reporte diretamente a alta direção do status de segurança dos dados pessoais presentes nos bancos de dados da empresa. Esse profissional é responsável por treinar e orientar os funcionários sobre como lidar com os dados pessoais que eles têm acesso, e age como ponto de contato entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Assim, é importante mapear e classificar os dados, para saber exatamente qual é o “material pessoal” que a empresa tem em seus bancos de dados. Com um relatório de impacto, é possível saber o roadmap de como os dados fluem pela empresa, incluindo onde e como são coletados; como e onde são usados; por quem, como, onde e por quanto tempo são armazenados; bem como se são transferidos para fora do país, via cloud (nuvem), por exemplo.

Outro fator de extrema relevância, de acordo com  Oliveira, é realizar testes e simulações que permitam que a empresa saiba como agir caso aconteça um vazamento. Isso porque existe um prazo legal para comunicar às autoridades quando um incidente acontece (normalmente, em torno de 72 horas).

Por fim, é fundamental as empresas e instituições terem ferramentas de monitoramento e avaliação de ameaças, para prevenir possíveis ataques cibernéticos que possam roubar os dados pessoais. O especialista menciona o BTTng, ferramenta da Apura, monitora a ocorrência de vazamento de dados pessoais e de incidentes de segurança da informação, por meio de pesquisa em fontes abertas de inteligência, como a deep web, fóruns hackers, grupos de mensagens etc.

“Em se tratando de proteção de dados pessoais, as empresas precisam estar à frente dos agentes criminosos. O BTTng permite identificar vazamentos de dados pessoais ainda não divulgados e, muitas vezes, desconhecidos da organização”, diz Arthur. Isso permite que a empresa tome ações imediatas para proteger seus ativos, corrigir os riscos de segurança da informação, proteger os direitos dos titulares de dados pessoais e, principalmente, demonstrar a conformidade com a LGPD, evitando, assim, as penalidades.

“Investir na adequação à LGPD leva segurança ao negócio, aos consumidores, aos fornecedores e ao poder público, de que a empresa leva a sério sua privacidade e segurança de dados. Isso aumenta a reputação e fortalece os negócios”, reforça Oliveira.