Como as empresas devem se preparar para a nova lei geral de proteção de dados

Com a nova lei, as empresas só poderão coletar e usar os dados pessoais com o consentimento do titular, que...

Com a nova lei, as empresas só poderão coletar e usar os dados pessoais com o consentimento do titular, que também poderá pedir a revogação do consentimento de uso de informações a qualquer momento e até exigir que os seus dados sejam totalmente apagados da base de dados.

Com isso, serão impactadas todas as empresas que coletam qualquer tipo de dados pessoais. E por dado pessoal entende-se qualquer informação que permita a identificação de um indivíduo como: nome, sobrenome, endereço, telefone, e-mail, número de documento, número de cartão de crédito, informações bancárias, dados médicos, etc. A lei engloba também os dados de localização, endereços de IP e também testemunhos de conexão, os chamados cookies, ferramentas que armazenam informações sobre o que um indivíduo faz na internet. Ou seja, qualquer empresa que tenha um site que use cookies para armazenar informações de usuários também terá que cumprir a lei.

Outra grande mudança é que a empresa passa a ser responsável pela segurança de todos os dados que coleta, transmite, processa e armazena. A empresa terá que provar, por meio de relatórios, que tem uma estrutura de segurança preparada para assegurar a proteção dos dados, onde quer que eles estejam armazenados. Caso a empresa seja vítima de algum incidente de segurança, como um vazamento de dados, seja acidental ou criminoso, ela será obrigada a notificar todos os clientes e poderá receber sanções como multas de até 2% do faturamento ou até R$ 50 milhões por infração.

A principal dificuldade para as empresas no cumprimento da nova lei será o tempo para adaptação, que é bastante curto. O prazo é de apenas 18 meses para as empresas se adaptarem. No entanto, o processo para criar uma estrutura de segurança capaz de proteger os dados contra vazamentos é bastante complexo. Um projeto de classificação de dados, por exemplo, demora cerca de 12 meses para ser implementado.

A nova lei irá trazer um grande avanço na segurança corporativa e isso é muito positivo, tanto para as empresas como para os consumidores. Mas o processo é mais complexo do que aparenta. Para atender às exigências de segurança da lei não basta comprar e instalar novas soluções e esperar que elas resolvam tudo sozinhas. Para a segurança ser eficaz ela depende de tecnologia, mas também de pessoas e processos.

É fundamental que todos os passos sejam adotados, desde conscientização do usuário, estabelecimentos de processos e um programa compreensivo de classificação de dados, complementados por tecnologias como DLP (Data Loss Prevention) e CASB (Cloud Access Security Broker), que protejam o dado onde quer que ele esteja, no datacenter, no endpoint, na rede, no dispositivo móvel ou na nuvem.