Debatendo os incidentes de segurança envolvendo os dados pessoais, uma preocupação cada vez mais comum no mundo digital atual, o Fórum de Assuntos Trabalhistas do mês de junho, evento promovido pela ABIMAQ/SINDIMAQ e a ABINEE/SINAEES, trouxe as principais estratégias para garantir a proteção de dados dos titulares na figura dos profissionais responsáveis que realizam o tratamento dessas informações, de modo que assegure os direitos e os ‘quereres’ de todas as partes envolvidas nessas operações.
De acordo com o advogado Henrique Rocha, especialista em direito digital e sócio na Peck Advogados, graças ao momento legislativo regulatório que o tema passa, a segurança das informações pessoais traz riscos e oportunidades para as organizações. A lei foi discutida, votada, implementada, e ensejou na inclusão de uma Emenda Constitucional 115, que trata da existência do direito fundamental à privacidade à proteção de dados pessoais.
“Uma legislação que está indo para o sexto ano e que conta com uma série de capítulos que foram construídos com muito esforço por profissionais e entidades. Recentemente, em fevereiro de 23, foi publicada a norma de dosimetria das sanções envolvendo as multas. Oriunda da lei geral de proteção de dados, isso mostra que temos plena eficácia e capacidade sancionatória por parte da autoridade.”
Segundo Henrique Rocha, é preciso ficar atento e avaliar o artigo 48 da LGPD (Lei Geral de Proteção de Dados). Nele, determina-se que nos casos em que haja ou exista, ainda que sob suspeita, uma alta probabilidade de risco relevante para o titular, uma comunicação dos fatos para a ANPD (Autoridade Nacional de Proteção de Dados). Para isso, algumas características ainda precisam ser mais esclarecidas e construídas pela autoridade junto com a sociedade e associações.
Lei 13.709/2018 - LGPD
A aplicação da lei envolve todo tipo de tratamento de dados pessoais no território nacional. Atualmente existe uma previsão também no tocante ao tratamento de dados para investigações criminais, que está em Brasília, para a promoção do processo legislativo penal. “Com isso, passamos a ter a criação e revisão de todas as políticas, normas e procedimentos das empresas, adequando os processos operacionais que envolvam os dados pessoais”, analisou Henrique.
Para o especialista, o artigo 6, que trata sobre a segurança e a prevenção, irá direcionar de forma substancial o papel das empresas no tocante e a adequação à legislação. “Será preciso aplicar características de segurança, medidas técnicas, administrativas e organizacionais, trabalhando com a conscientização da equipe, e implementar um processo de Gestão de Risco relacionados à proteção de dados.”
O processo é de fundamental importância, pois, de acordo com Rocha, este tipo de matéria já está sendo discutido nas cortes superiores para estabelecer como será feito o entendimento para o grau de responsabilidade referente às infrações e responsabilização oriundas da LGPD. “A ideia é que as empresas e seus funcionários tenham uma gestão destes riscos, observando negócio, informação e ação, para inibir a existência de vulnerabilidades e ameaças, diminuindo o impacto e aumentando as medidas de segurança, porque assim você consegue proteger sua companhia.”
Prevenção estratégica e respostas aos incidentes
Para Henrique Rocha, apesar da lei e a série de recomendações apresentadas pela APND no decorrer dos anos, é preciso que as empresas sempre atualizem e ajustem seus programas de prevenção à proteção de dados. Números recentes apontam que o Brasil, no segundo semestre do ano passado, superou os Estados Unidos na quantidade de usuários que tiveram seus dados violados. “É importante que todos estejam preparados para esse tipo de situação. A adoção de sistemas em nuvem, por exemplo, pode ajudar, mas não assegura 100% de eficácia. Portanto, realizar simulações de crise de forma constante pode ser a melhor saída para a organização estar apta a enfrentar um tipo de incidente.”
A resposta que a organização terá contra qualquer eventualidade, dependerá muito da dinâmica do incidente, das contribuições que o controlador tenha feito, e da própria agilidade da ANPD sobre o caso. “Para cada categoria de dado eu tenho uma base legal, uma forma de tratar, uma medida mitigatória própria. Se eu trato de dados pessoais sensíveis ou de larga escala, por exemplo, é recomendável a criação de um relatório de impacto à proteção de dados pessoais. Por isso que o investimento nessa área não pode ser visto como custo, e sim investimento para o bem da companhia”, concluiu Rocha, destacando os inúmeros dilemas e cuidados a serem refletidos e discutidos sobre como lidar com esses incidentes.
O evento, que contou ainda com a participação das advogadas Anne Angher, Juliana Gonçales e Camilla Toledo – DPO da ABIMAQ/SINDIMAQ; e Fernando Carnavan e André Saraiva - SINAEES, está disponível através do link https://abimaq.org.br/academia