Como já se sabe, a Lei Geral de Proteção de Dados implicará na adaptação a parâmetros mais restritos de tratamento de dados em território nacional – e ainda pairam muitas dúvidas sobre o seu texto final, que depende do trâmite da Medida Provisória 869/2018 perante o Legislativo.
Contudo, independentemente da regulamentação da LGPD, é evidente que aquele empresário descuidado quanto aos impactos da norma enfrentará enorme desvantagem perante o mercado. Inclusive, os efeitos da chamada MP da Liberdade Econômica (Medida Provisória n° 881/2019) se tornarão inúteis quando o empreendedor desconsiderar os riscos, legais e reputacionais, de não estabelecer uma política de governança em proteção de dados.
Apesar da existência de manuais e cartilhas, pequenos e médios empresários ainda têm muitas dúvidas sobre suas responsabilidades e as possíveis soluções para a implementação de um sistema de governança em proteção de dados.
Existe ainda um longo caminho a ser percorrido pela sociedade para, ao mesmo tempo, diminuir os riscos de ataques cibernéticos, impor maior respeito à titularidade dos dados pessoais e não sufocar as inovações. É importante que as startups não sejam atingidas por regras muito restritivas ou desproporcionais que possam afetar os esforços dos empreendedores brasileiros.
Conforme definição da Organização Internacional para Padronização (ISO) e da Comissão Eletrotécnica Internacional (IEC), a maioria dos Sistemas de Informação padecem de fragilidades inerentes à sua atividade, à medida em que não foram inicialmente projetados tendo a segurança dos dados como um dos seus objetivos principais.
Empresas menores, principalmente aquelas em que o modelo de negócio está ligado a Big Data, estarão bastante expostas, tendo que se adaptar aos novos ventos rapidamente, sem esperar pela efetiva vigência de leis e normas que as obriguem a tal.
Ao implementar um sistema de governança, é importante focar no planejamento e desenvolvimento de novos negócios, pois algumas utilidades e aplicações dos dados podem ser prejudicadas se a sua necessidade não for corretamente considerada e prevista, inclusive nos casos em que houver necessidade de consentimento específico de tratamento para fins comerciais.
As empresas, e principalmente suas áreas comerciais, devem observar com afinco o plano de segurança cibernética, garantindo respeito às regras internas de governança para evitar comprometimento à integridade dos dados e o acesso indevido a eles.
Para isso, as regras internas de tratamento de dados, incluindo acesso e manuseio comercial, devem ser transparentes e levadas ao conhecimento de todos por meio de treinamento específico dos funcionários e colaboradores. Afinal, dúvidas sobre as obrigações ou os deveres podem facilitar a ocorrência de incidentes, que passam a ser muito custosos para a empresa – seja pelas multas, sanções, indenizações ou a perda reputacional decorrente de um incidente de segurança cibernética.
Diante desse cenário, será imprescindível que o esforço seja concentrado desde o gestor executivo da empresa até os prestadores autônomos. Isso permitirá que o aumento da proteção dos dados seja efetivo, reduzindo riscos cibernéticos e criando um ambiente propício para o desenvolvimento e crescimento do país. Para empreendedores, sugere-se a leitura e análise dos padrões de segurança da informação indicados pela norma de certificação ISO/IEC 27000.
* Paulo de Tarso Andrade Bastos Filho é advogado especialista em compliance, que atua na implementação de programas de governança nas áreas de tratamento de dados pessoais, livre concorrência , tributário e anticorrupção.
Fonte: PEGN