Proteção de Dados Pessoais já é uma realidade global. No Brasil ainda não a vemos como palpável, porque, apesar da aprovação da MP 869/18, a vigência da LGPD ainda demorará mais de doze meses. Mesmo que existam lacunas, já que vários itens ainda dependem da atuação e da regulamentação da Agência Nacional de Proteção de Dados (ANPD), fica cada vez mais concreto o futuro do tratamento de dados baseado na existência mínima de parâmetros para proteção.

Nesse sentido, e com base em regras mínimas de governança que as empresas passam a ser obrigadas a observar, trago como sugestão 10 pontos fundamentais para cumprir com as exigências legais:

Incluir a necessidade de proteção dos dados pessoais no plano de negócio
Se você quer empreender ou já está empreendendo, saia na frente. Ter que buscar adaptação aos parâmetros de tratamento de dados mais avançados em plena operação vai ser mais difícil e mais custoso.

Considere desde o começo um investimento fixo em TI, aconselhamento jurídico e técnico e eventual desenvolvimento de plataforma capaz de interagir com o sistema da ANPD que será desenvolvido. Considere, ainda, uma verba para outros possíveis gastos que possam surgir relacionados ao tratamento de dados.

Compliance é a única solução
É preciso investir tempo e dinheiro – e não há alternativa. Para aqueles agentes de tratamento de dados que estiverem planejando burlar ou se esquivar da aplicação das normas de privacidade ou proteção de dados (ou ainda torcendo para a LGPD “não pegar”), não percam seu tempo. Use esse tempo planejando como melhor se adequar.

Parcerias devem sempre ser consideradas
O Ponemon Institute é uma cross section das 500 maiores empresas do mundo. Não é à toa que tais empresas investem num veículo para aprimorar a segurança cibernética, criando laços entre todos os segmentos e interessados na privacidade e proteção de dados.

Para as empresas menores é ainda mais fundamental procurar parceiros do segmento, assim como a integração entre setores diferentes, seja para trocar ideias, baratear os custos ou aprimorar regras de segurança.

Evite atalhos
Aquelas promessas de solução mágica tendem a não funcionar para instituir governança corporativa efetiva. Alterar acordos de confidencialidade e contratos de prestação de serviços, usando termos aparentemente modernos, como Advanced Analytics e SAAS (Software as a Service), não garante aderência a nenhuma norma ou regulamento. Para observância de padrões mínimos, os empreendedores e operadores que atuam com tratamento de dados terão muito trabalho duro pela frente.

Treinamento é chave
As pessoas são os elos mais fracos de um sistema de governança de proteção de dados. Investir nelas faz muito sentido e é muito mais barato que os custos com multas legais, indenizações e perda reputacional com um incidente envolvendo dados pessoais.

A segurança cibernética e do sistema de governança depende principalmente do envolvimento de todos os agentes de tratamento. Para se envolver de forma eficiente, as pessoas precisam estar preparadas.

Planeje o futuro do seu produto
Com regras mais restritas na obtenção do consentimento para tratamento dos dados, é fundamental ter uma ideia bastante consistente de quais dados poderão se tornar vitais para o modelo de seu negócio. Ter que obter o consentimento dos titulares depois de desenvolver uma aplicação para dados ainda não autorizada poderá inviabilizar ótimos projetos.

Aprimoramento constante
A governança de dados demanda proatividade – tanto no sentido de buscar se adaptar às Leis sempre em alteração quanto para aprimorar o sistema de segurança em geral. Os desafios vão sempre crescer e é preciso estar em movimento constante.

Atualmente, as empresas contam com defesas estáticas, como antivírus e firewalls, previamente definidos. Enquanto isso, os novos golpes estão sendo desenvolvidos por cyber criminosos através do uso de inteligência artificial (AI). Ou seja, a dinâmica de atuação dos ataques será cada vez mais eficaz, com ações planejadas e capacidade de rápido aprimoramento.

Diminua a incerteza
Governança implica em querer saber. A tática do avestruz não vai funcionar frente às pressões da população, a atuação da ANPD e do Ministério Público, além do litígio fomentado pelos particulares e as entidades de classe. Não se pode perder de vista qualquer potencial descumprimento ou ilicitude, até porque o ônus da prova será dos agentes de tratamento de dados.

Prontidão
Deve-se sempre lembrar que os prazos para as empresas são exíguos, na medida em que essas deverão estar prontas para prestar esclarecimentos aos titulares sobre eventual tratamento de dados. Há também a necessidade de observar os princípios da Lei em informar eventuais incidentes de segurança imediatamente aos interessados e às autoridades. Não haverá tempo para adaptar-se à LGPD durante incidentes para aqueles que não se prepararam para a vigência da Lei.

Seja aberto e cristalino
Quanto maior a transparência e honestidade do agente de tratamento de dados ao determinar como os dados pessoais serão tratados, melhor será para a empresa, inclusive face aos princípios da LGPD quanto à obtenção específica de consentimento.

Na esfera internacional, vale observar o exemplo dos legisladores americanos que, ao estabelecerem os parâmetros de consentimento através do Gramm-Leach-Bliley Act, indicaram modelos para consentimento de dados com grande especificidade – inclusive em relação a tempo de tratamento, objetivo no tratamento, possíveis parceiros que terão acesso aos dados, ações de marketing que poderão ser realizadas com tais dados, entre muitos outros detalhes previstos.