O GDPR
(General Data Protection Regulation, ou Regulamento Geral sobre Proteção de
Dados
) é uma lei de 2016, sancionada em todo território da união europeia
que diz respeito à segurança e privacidade dos dados de seus cidadãos, tanto
internamente como na esfera internacional, e que entrou em vigor em 25 de maio
de 2018.

Nem três
meses se passaram e sua versão brasileira, a LGPD (Lei Geral de Proteção de
Dados), foi aprovada. Ela valerá a partir de agosto de 2020, mas muitas
empresas já se mobilizam para entrar nos trilhos. Isso porque, ao descumprir as
normas de segurança e privacidade estabelecidas, as empresas correm o risco de
punições bem graves, como multas de até 2% do faturamento anual da empresa ou
no valor máximo de R$ 50 milhões.

A GDPR já é válida na Europa, mas a LGPD ainda não
é no Brasil. Como ela pode estar impactando o mercado?

Engana-se
quem pensa que não é necessário se ajustar às novas normas. Se adequar à LGPD
agora, é um passo adiante de empresas que buscam reforçar a segurança dos seus
dados e minimizar falhas lá na frente.

Toni
Herbert
, diretor de Risk Advisory
Service/IT na BDO Brazil, avalia a situação atual como obrigatória para que as
empresas comecem a se mobilizar.

Tanto
em relação ao GDPR como ao LGPD, apesar do governo brasileiro ter adiado para
agosto de 2020, a lei já é válida e devemos atender. Claro que em seu período
de ‘vacância’, os incidentes não incorrem em multas, porém isso apenas no
Brasil, porque quando falamos em GDPR, se a empresa mantém negócios com o território
da União Europeia, deve efetuar um risk assessment
(avaliação de
risco) para avaliar sua exposição”.

Quais cuidados as empresas têm tomado para entrar
em regularidade com a GDPR e a LGPD?

O
movimento das empresas que buscam reforçar seu setor de Segurança da Informação
está repleto de insights e iniciativas que visam a proteção de dados.

Como
Herbert mencionou acima, realizar um risk assessment é um dos primeiros passos
para entender a relevância dos seus dados e quais os tratamentos mais
recomendados.

“Em
seguida [ao risk assessment], com os riscos inerentes elencados, avaliar a
maturidade dos controles potencialmente já existente para, então, efetuar o
design da informação necessária ao negócio. Claro que, isso tudo falando em
dados pessoais”
complementa
Herbert.

Os
percalços que leis como a GDPR e LGPD criam são inúmeros. E é importante
entender que a questão de se adequar às novas normas não existe apenas no
âmbito interno das empresas, mas no externo, em conjunto. Afinal, essas
mudanças chegaram para mudar o mercado — e não apenas os processos.

Por isso,
as empresas que já estão se movimentando, começam a enfrentar alguns desafios
em comum, buscando respostas que satisfaçam a legislação e seus usuários.

Sobre
esse assunto, Herbert acredita que é preciso “estabelecer regras e canais
transparentes de tratamento dos dados dentro das próprias organizações,
promover um melhor conforto aos cidadãos de que seus dados não estejam sendo
manipulados e ou compartilhados indevidamente
”.

Sendo assim, as leis de proteção de dados, como
GDPR e LGPD, possibilitam o desenvolvimento de alguma habilidade?

É natural
que a situação obrigatória da GDPR e LGPD traga benefícios às empresas. Tanto
no ambiente digital como fora dele, a abordagem da Segurança da Informação
tende a amadurecer e, cada vez mais, se profissionalizar.

Para
Herbert, exemplos desse desenvolvimento não faltam:

“Já
podemos dizer que as empresas que atuam com análise comportamental de
consumidores terão de remodelar seus métodos. Os software house também terão de
aplicar novos mecanismos e critérios de segurança em seus sistemas, como por
exemplo, ter a possibilidade de extrair um relatório do sistema com
anonimização dos dados”.

A herança
prematura que os recentes escândalos relacionados aos dados detidos por grandes
empresas é profundo, mas serviu para elucidar o valor desse ativo. O mercado de
hoje, em todas as suas esferas, é construído em cima dos dados.

Muito
além do desenvolvimento que mencionamos acima, a aplicação dessas mudanças já
muda o mindset das empresas. “A própria alta administração e/ou
conselho de administração tem despendido tempo em suas reuniões estratégicas
para discorrer sobre o assunto, pois negligenciar o tema pode até impactar na
extinção da companhia
” contextualiza Herbet.

Leis como
GDPR e LGPD já estão moldando a forma de realizar negócios e principalmente, de
manipular os dados. E não importa, do simples primeiro nome de uma pessoa até o
número do seu cartão de crédito, tudo é valioso, pessoal e principalmente
confidencial. Segurança é o mínimo que essas pessoas esperam de quem guarda
tais informações.