Tenho lido frequentemente artigos de advogados apresentando suas considerações sobre a Lei Geral de Proteção de Dados e muito pouca movimentação na indústria a este respeito. Em vigor desde dezembro de 2018 a lei ainda não mostrou os dentes. Na realidade só deve passar a valer no final de 2020, se não houver mais um adiamento, já em articulação.
A lei trata especificamente de dados pessoais e sua utilização sendo bastante severa na punição de desvios. A pessoa física ou jurídica que coleta e utiliza estes dados pessoais, tem a responsabilidade de garantir que seja utilizada para um fim específico e se obriga a manter segurança contra o acesso indevido até providenciar o apropriado descarte ou destruição desta informação.
Um ponto importante da lei é a obrigação de transparência para com o titular no uso dos seus dados pessoais. A qualquer momento o dono das informações deve ter acesso ao conteúdo tratado por qualquer entidade, deve ter meios de atualizá-los ou solicitar a revogação do consentimento de uso.
Como especialista em Segurança da Informação não posso deixar de alertar para enorme risco para toda e qualquer entidade que colete e armazene dados que permitam identificar um indivíduo. No seu artigo 46, a lei deixa explicita a responsabilidade do detentor das informações com relação a adoção de medidas de segurança, técnicas e administrativas para proteger os dados pessoais de “situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
A nova abordagem sobre a proteção de dados exige uma revisão das práticas administrativas e tecnológicas das empresas. Adotar medidas de proteção de dados passa por identificar os dados tratados pelo negócio, criar mecanismos de proteção, sejam processuais ou tecnológicos; definir meios de monitoramento contínuo da efetividade destes mecanismos, criar ações para reação a eventos de segurança e, por fim, definir um plano de recuperação de um eventual acidente. Tudo isso considerando o treinamento de todos os seus colaboradores e fornecedores nestas novas práticas.
Há muito trabalho a se fazer nos próximos 12 meses.