Por Dyogo Junqueira (*)
A convulsão na economia, provocada pela pandemia da COVID-19 está levando muitas empresas a acreditarem que o adiamento do prazo da entrada em vigor Lei Geral de Proteção de Dados Pessoais (LGPD) poderia ser um bom negócio, aliviando suas equipes da tarefa de adequação às novas regras.
O cenário criado pela pandemia levou a ser apresentada no Congresso proposta de prorrogação da entrada em vigor da Lei. O Senado aprovou a entrada em vigor fica para janeiro de 2021 e as multas e sanções sendo válidas somente a partir de agosto de 2021, mas a matéria ainda deverá ser apreciada pela Câmara do Deputados. Em uma nota técnica enviada ao Congresso, o MPF defendeu que a LGPD entre em vigor no dia 20 de agosto, como previsto pela legislação.
Pesa a favor do adiamento o argumento que apenas uma pequena parcela das empresas brasileiras iniciou o processo de adequação à Lei e que a COVID-19 empurrou as empresas a deixarem de lado seus processos internos de adequação, levando-as a dar prioridade à solução da paralisação de parte ou de toda a sua atividades a partir de março deste ano, quando a maioria dos estados brasileiros decretou o isolamento social e o fechamento das atividades não essenciais e do comércio. Somente estão a todo vapor as atividades consideradas essenciais pelo Decreto 10.282/2020.
Antes da pandemia já se cogitava o adiamento pelo fato de muitas empresas não estarem prontas para cumprir a legislação. Entendemos que as empresas não podem se apoiar no inesperado da pandemia para justificar não estarem preparadas. É verdade que muitos são os fatores que podem levar a uma empresa não estar convicta sobre se está ou não com todos os processos ajustados, mas é verdade também que a necessidade de manter as informações pessoais de clientes internos e externos em segurança é uma demanda que vem de longo tempo.
Existe uma cultura no Brasil de se deixar para a última hora – dentro do prazo legal – para se fazer as coisas na última hora. Algumas pesquisas divulgadas pela Imprensa recentemente revelaram que a maioria das empresas não estariam prontas para chegar na data prevista em condições de atenderem à LGPD e não serem penalizadas caso ocorresse algum tipo de vazamento de dentro de sua base de dados.
Medidas simples podem ajudar
Acreditamos que não importa se teremos ou não o adiamento, o que é certo é que pequenas ações lideradas pelas equipes de TI podem ajudar neste processo, ao avaliar quais processos de guarda e segurança de dados possuem em funcionamento na empresa. Um check-list pode ajudar. Já havíamos comentado anteriormente alguns procedimentos preliminares, os quais podemos retomar aqui;
1 – Conhecer a LGPD;
2 – Constituição de equipe multidisciplinar e definição do Encarregado de Proteção de Dados (EPD/DPO):
3 – Definição de papéis dos participantes da equipe multidisciplinar;
4 – Mapeamento e identificação dos dados de clientes em poder da organização;
5 – Definição das necessidades para tratamentos dos dados;
6 – Definição das ferramentas de softwares de apoio;
7 – Adequação e execução das normas;
8 – Monitoramento;
9 – Tratamento e ação;
10 – Relatórios das conformidades.
Retomamos também as seções I (artigo 46) e II (artigo 50) da Lei, que abordam a segurança e sigilo dos dados, o que nos levar a pensar na adoção de boas práticas e governança para que as empresas possam atender o que determina a Lei no quesito de proteção dos dados.
As equipes de TI devem promover uma auditoria de dados e de aplicações de software na rede corporativa a partir do uso de ferramentas de software especialmente desenhadas para estas atividades. Com esta auditoria é possível verificar quais aplicações de software estão desatualizadas, que podem apresentar vulnerabilidade de segurança, e verificação do status da integridade dos dados a partir do controle de documentos, grupos de usuários, senhas e privilégios, dispositivos, entre outros, incluindo avançar no cumprimento da LGPD. É importante adicionar nesta auditoria o gerenciamento de privilégios e de senhas de acesso a sistemas e arquivos.
Trata-se de um procedimento inicial, pois ele é vital para reportar à autoridade de dados as medidas que foram adotadas para o cumprimento da Lei. Quando a LGPD entrar em vigor – seja em agosto deste ano ou depois – a empresa certamente terá as alegações apropriadas em caso de auditoria por parte dos agentes reguladores.
(*) Dyogo Junqueira é VP de Vendas e Marketing da ACSoftware, fornecedora de tecnologias e serviços baseados nas tecnologias ManageEngine.
Fonte: Saúde Business , em 23.04.2020