Em diversas palestras, reuniões e debates relacionados aos efeitos da edição da Lei Geral de Proteção de Dados, os profissionais da SST se deparam com alguns equívocos que revelam a importância da iniciativa legal e a urgência de se implantar os programas de conformidade.
Relacionamos a seguir os 5 enganos mais recorrentes sobre a Lei Geral de Proteção de Dados e como esses equívocos colocam em risco a segurança da informação das empresas.
1. A lei não se aplica à minha empresa, não tratamos dados pessoais
Nada mais equivocado que achar que a lei geral de proteção de dados está voltada ao tratamento de dados pelas grandes empresas de tecnologia. O fato é que toda empresa faz tratamento de dados. Os dados pessoais de seus empregados, clientes e fornecedores como nome, endereço de e-mail, foto, dados biométricos, histórico de compras, tudo isso está sujeito às novas regras que, se ignoradas, podem ocasionar multas relevantes.
2. Minha empresa agora só poderá fazer uso de dados pessoais com o consentimento expresso dos titulares
Outro equívoco comum. A lei consolida direitos dos titulares de dados e consagra a importância do consentimento como a hipótese mais segura de tratamento. Contudo, existem outras nove hipóteses de tratamento de dados que dispensam o consentimento. Antes de eliminar todos os dados ou abandonar projetos, vale a pena uma criteriosa análise dos dados processados e da finalidade de tratamento.
3. Elaboramos uma política de privacidade. Já estamos em conformidade com a lei
A política de privacidade é uma declaração importante que transmite ao mercado, parceiros, colaboradores, funcionários e autoridades a adoção de medidas de segurança da informação e proteção de dados, mas não tem valor se não refletir mecanismos técnicos e estruturação corporativa que de fato assegurem a proteção dos dados pessoais. Além disso, a politica de privacidade, na forma da atual lei, deve contemplar uma série de informações que assegurem aos titulares de dados pessoais transparência, acessibilidade e confiança.
4. Não vendemos e não compartilhamos dados pessoais, logo não há risco.
Este engano pode custar caro à empresa. A venda ou compartilhamento de dados pessoais, dentro das regras impostas pela lei, é muito menos arriscada que subestimar os riscos de incidentes de segurança usualmente relacionados ao despreparo de corpo funcional e insuficiência das medidas técnicas de proteção de dados. É muito importante que as empresas busquem opinião especializada para avaliar os riscos em seus processos e rotinas de tratamento.
5. Nossa estrutura de tecnologia é moderna e segura. Já estamos em conformidade
Não basta uma estrutura de segurança em tecnologia da informação adequada para cumprimento das regras da lei. Os colaboradores de todos os níveis devem estar cientes de seus papéis específicos no tratamento de dados. Uma política de segurança da informação e a estruturação da governança de privacidade são cruciais para assegurar que o fator humano e a ação maliciosa de terceiros não tornem sem efeito os investimentos efetuados nas ferramentas de proteção de dados.
FONTE: Silva Santana & Teston Advogados
Comentários