LGPD: vetos facilitam implementação, mas trabalho ainda é longo

Na última semana, os vetos do presidente Jair Bolsonaro ao sancionar a Lei 13.853 de 2019, a nossa Lei Geral de Proteção de Dados (LGPD), provocaram alterações significativas no texto aprovado pelo congresso – as principais tendo como motivos a necessidade de preservar modelos de negócios e dar segurança aos responsáveis pelos dados.

Mas qual vai ser o impacto disso para as empresas e, em especial, para as equipes que precisam garantir a privacidade dos dados? A verdade é que a Lei sancionada, que também cria o órgão regulatório de Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que começa a atuar em 2020 e vai ser responsável por assegurar o cumprimento da LGPD, acabou eliminando alguns dos pontos que mais preocupavam os líderes de negócio, facilitando sua implementação em um prazo considerado curto.

De qualquer forma, ainda vai ser preciso atenção às adaptações necessárias do ponto de vista técnico, o que, especialmente no caso das empresas que historicamente investem pouco em privacidade e segurança da informação, deve significar um longo trabalho pela frente.

Privacidade de dados e segurança da informação devem andar juntas

Um dos trechos não aprovados pelo presidente dizia respeito à revisão de decisões de algoritmos, determinando que uma pessoa devia fazê-las. Ou seja, aplicando o texto aprovado, caso um usuário queira que suas informações sejam eliminadas de alguma plataforma ou campanha, um sistema automatizado, baseado em algoritmos, vai poder fazer isso.

Essa decisão pode impulsionar a transformação digital nas organizações, fazendo com que os líderes de negócios se sintam mais confiantes na contratação de plataformas capazes de automatizar o trabalho de análise de dados, que, muitas vezes, pode ser repetitivo e, portanto, sujeito a erros humanos, como no caso das análises de risco de crédito.

De qualquer forma, as mudanças não mudam o fato de que privacidade dos dados está intimamente ligada à segurança da informação, e isso vai muito além da necessidade de abolir a coleta de dados sem necessidade – afinal, o próprio texto da LGPD prevê que as empresas só podem manter informações enquanto forem necessárias e, caso não atendam a esse requisito, devem eliminá-las permanentemente.

Ao associar a privacidade dos dados com a segurança da informação, as empresas precisam considerar que seus funcionários, mesmo que contem com sistemas automatizados para revisar decisões, precisam estar em dia com as boas práticas de proteção de dados, entendendo os processos e procedimentos necessários para garantir a coleta, o compartilhamento e o uso apropriado das informações sensíveis dos usuários.

Para isso, além de oferecer treinamentos constantes, as organizações vão precisar contar com as plataformas adequadas para gerir os dados sensíveis e regulados, que vão auxiliar no cumprimento das exigências de compliance.

Caem as punições, mas os danos à reputação continuam

Outra mudança importante é que os vetos derrubaram punições que a ANPD poderia aplicar caso alguma entidade violasse o disposto na LGPD, como a interrupção parcial do funcionamento do banco de dados e a proibição parcial e total de atividades relacionadas ao tratamento de dados.

Apesar de eliminar os riscos de perdas relacionados às paralisações do trabalho, a LGPD manteve a norma que afirma que todas as organizações devem informar uma violação ao poder público em até 72 horas. Além das dificuldades técnicas relacionadas a essa regra, uma vez que muitas empresas levam até 180 dias para identificar uma violação, os danos à reputação podem ser imensuráveis, gerando uma série de custos relacionados à gestão de crise junto aos clientes e parceiros.

Para vencer esse desafio, vai ser cada vez mais importante que as organizações contem com um framework de segurança que inclua soluções de análise de dados, que sejam capazes de monitorar e detectar comportamentos suspeitos nas atividades relacionadas ao uso das informações. Isso significa ser capaz de identificar e monitorar esses dados, rastreando aqueles que têm acesso a eles e destacando atividades não usuais.

*Carlos Rodrigues é vice-presidente da Varonis para a América Latina.