Onde estão os dados pessoais na sua empresa: LGPD entra em vigor com pesadas sanções para quem não se adequar
Com a entrada em vigor da nova Lei Geral de Proteção de Dados (Lei nº 13.709/2018), é esperada a fiscalização cada vez mais intensa sobre a segurança dos dados pessoais. O mercado vê com apreensão as severas implicações financeiras – e de reputação – às quais as organizações estarão sujeitas a partir de dezembro de 2020. Dessa forma, é vital ter absoluto controle sobre onde estão os dados pessoais na sua empresa.
As organizações devem aceitar que, a partir de agora, têm a obrigação legal de proteger e manter seguros os dados pessoais aos quais são confiados. Onde isso não acontecer, medidas serão tomadas por parte da nova Autoridade Nacional de Proteção de Dados, que – espera-se – será instituída nos próximos meses. No entanto, como os dados pessoais geralmente estão “espalhados” por toda a organização, saber exatamente onde estão e como protegê-los, na prática, não é uma tarefa simples.
Apesar de a LGPD estar funcionando como um grande holofote para o tema de privacidade e proteção de dados, e já impactar a maneira como os dados pessoais são mantidos e processados no mercado brasileiro, organizações de todos os segmentos têm falhado em abordar o tema com o melhor e mais seguro viés tecnológico, capaz de mapear a existência de dados pessoais, contribuir para a redução de risco e outros benefícios que a tecnologia pode trazer.
Onde estão os dados pessoais na sua empresa
A condução de um correto processo de mapeamento de dados, aliado à utilização da tecnologia de “data discovery” – incluindo fichas cadastrais, documentos impressos, servidores de arquivos, notebooks e e-mails – pode ajudar a entender rapidamente quais dados pessoais sua organização possui, onde estão e quem os acessa. Esse é um passo importante para reduzir o risco de armazenar dados que não são compatíveis com a nova regulamentação e manter o “compliance” da política de proteção de dados da sua organização.
No entanto, a implantação de um processo de mapeamento de dados apenas para atender à conformidade com a LGPD significa que, muito provavelmente, a sua organização pode estar perdendo uma vantagem competitiva – esse processo tem o potencial de oferecer muito mais para a sua organização.
Com redes corporativas cada vez maiores e mais complexas, operando dentro das organizações por décadas, ao custo de um armazenamento absolutamente barato, é natural que colaboradores tenham se acostumado a ter uma quantidade interminável de espaço, onde podem guardar qualquer informação, inclusive dados pessoais.
A maioria de nós, em algum momento, já pensou: “salvarei esta informação, porque pode ser útil no futuro”. No entanto, quando nos desligamos de uma organização, nosso legado é deixado para trás – em alguns casos, permanentemente – sem que ninguém saiba o que contém. Pela nossa observação no mercado nacional, o processo de levantamento de dados eletrônicos que não são mais necessários, tem sido algo negligenciado nas rotinas das organizações – mas é um controle simples de ser adotado, por exemplo, com o apoio da tecnologia de “data discovery”.
O que vem por aí?
Os dados pessoais continuarão existindo e ganhando cada vez mais importância no mundo dos negócios. Numa época em que são comparados ao novo petróleo, nunca foi tão crítico – e necessário – entender o que são, onde estão e quem os acessa. É um risco de alto impacto não saber quais dados sua organização armazena, quais informações eles contêm ou quanto eles podem custar no futuro. A capacidade de descobrir e entender os dados armazenados – julgando se são potencialmente prejudiciais ou úteis – colocará as organizações em uma posição estrategicamente mais forte e regulamentarmente segura, não apenas aumentando a conformidade com a legislação vigente, mas também ganhando valor com os dados que até então desconhecem.
Em pesquisa recente foi possível observar que uma organização brasileira de médio porte contém, em média, 30 milhões de registros de dados pessoais dos quais sequer tem conhecimento da existência. Na maioria das vezes, são dados pessoais relacionados a funcionários e clientes mantidos em não conformidade com a LGPD. Mas não apenas isso. Após a descoberta desses dados é primordial conscientizar Conselho, Administração e Lideranças da Organização para permitir que tomem decisões sobre o que fazer com os dados encontrados.
Na execução dos trabalhos, é essencial envolver uma equipe multidisciplinar focada não apenas em identificar atividades de tratamento de dados, mas ainda, interpretar quais dados pessoais possuem, contribuindo com a redução do seu risco e ganhando valor através deles. Desde o mapeamento de dados até o correto descarte deles, deve-se aliar a tecnologia à capacidade técnica de análise e correção de profissionais com boa capacidade analítica. Por fim, é indispensável desenvolver o trabalho em estreita colaboração com as equipes internas de todas as áreas. Isso significa que todos os procedimentos serão revisados sob esta nova ótica da privacidade e que, além disso, poderão continuar a colher os benefícios de hoje, no futuro.
Gabriel Buzzi
*Gerente da Baker Tilly Brasil, líder de Privacidade e Proteção de Dados no Rio de Janeiro. Conduz projetos voltados à auditoria das demonstrações financeiras e trabalhos especiais de avaliação, desenvolvimento e implantação de controles internos, privacidade e proteção de dados. É professor da Pós-Graduação em Diplomacia Corporativa, pós-graduado em Política Internacional e especialista em Finanças Corporativas pela FGV.
