A criação da LGPD (Lei Geral de Proteção de Dados), estabelecida em 2018 e vigente a partir de 2020 - com a aplicação de multas desde 2021 - levou empresas dos mais diversos portes e segmentos a uma corrida quanto ao entendimento da legislação, seu escopo, implicações e adequações necessárias.
De início, a maioria delas destinou investimentos a serviços de consultoria para ter um diagnóstico do que precisava ser feito. Não faltaram críticas quanto à abrangência da nova lei, considerada genérica e aberta a muitas interpretações. O fato é que a LGPD é uma realidade e as empresas não podem mais estar à margem da conformidade.
O que esperar então da LGPD para 2023? Bem, não há dúvidas de que agora é a hora de partir efetivamente para a execução do plano desenhado na fase de consultoria. A GDPR (General Data Protection Regulation), legislação europeia na qual a LGPD se inspirou, foi com o tempo agregando uma série de emendas para torná-la mais efetiva e menos genérica, para assim facilitar o entendimento das regras e possibilitar a fiscalização por parte dos órgãos reguladores. Espera-se que o mesmo aconteça no Brasil, com a inclusão de emendas e normatizações no texto inicial da lei.
A ANPD (Agência Nacional de Proteção de Dados), órgão federal responsável por fiscalizar a LGPD, foi recentemente transformada em autarquia para ter mais protagonismo e trazer mais confiabilidade ao sistema regulatório. Outro fator para o amadurecimento da lei é a prerrogativa da OCDE (Organização para a Cooperação e Desenvolvimento Econômico) de que as nações integrantes possuam legislação em vigor para tratar da proteção aos dados. Tendo em vista a ambição do Brasil de se unir à OCDE, é fundamental que a LGPD seja cumprida em sua totalidade.
Mais do que multas, o que está em jogo com a LGPD é a reputação das marcas
Embora a aplicação de multas seja uma questão crítica, há um ponto tão sensível ou mais: a confiança dos consumidores. Hoje a sociedade como um todo está muito mais atenta e vigilante a tudo o que envolve a privacidade de seus dados, e qualquer escândalo ou vazamento pode colocar em risco irrecuperável a reputação de uma marca.
Dessa forma, há alguns caminhos que apontam boas práticas para a adequação à LGPD:
1-) O primeiro ponto é "enxergar" a informação a ser protegida, ter visibilidade, descobrir e classificar essas informações, saber o que está anonimizado e o que não está, e onde esses dados estão armazenados.
2-) O passo seguinte é a proteção das informações em si, que normalmente estão em bancos de dados. A orientação é fazer a criptografia de todo o banco de dados. Vários técnicos argumentam que a criptografia pode deixar as respostas do banco de dados mais lentas, mas esse é um item crucial, pois mesmo que a informação vaze, ela não poderá ser identificada.
3-) Quando a criptografia dos dados não é possível por qualquer razão, a recomendação é que os dados sejam anonimizados. A anonimização é um processo pelo qual os dados são descaracterizados. Isso significa que, mesmo que a informação vaze, não será possível interpretá-la da forma correta.
4-) Estar integralmente em conformidade é um trabalho recorrente. Com exceção da criptografia do banco de dados, todos os outros passos precisam ser periodicamente revisitados, sobretudo a descoberta e classificação de informações, uma vez que novos dados são lançados no sistema o tempo todo.
5-) Por fim, coloque o consumidor no centro de sua estratégia de LGPD, pois pela lei ele tem direito ao rastreamento completo de seus dados sempre que solicitar. Essa confiança do cliente se reflete diretamente em fidelização e crescimento dos negócios. Lembre-se: sua reputação não pode estar em risco.
*Edson Carlotti, CTO da Leadcomm