Não é segredo que no Brasil é impossível saber onde estão nossos dados, quem os utilizam e como. Vivemos em um cenário onde não sabemos o destino das informações que cedemos - do CPF cadastrado para conseguir descontos à biometria utilizada para entrar em edifícios.
Este é um problema endêmico, muitas vezes denunciado, mas ainda sem solução. A Lei Geral de Proteção de Dados (LGPD) deveria solucionar isto, mas, devido o adiamento realizado no Senado, as punições às empresas só começarão a partir de agosto de 2021. Além disso, a Autoridade Nacional de Proteção de Dados - órgão que será responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional - ainda está em discussões embrionárias, sem uma data específica para sua criação.
Enquanto isso, desde de 2018, na Europa, a Lei Geral de Proteção de Dados da UE (GDPR) está em vigor, fiscalizando e aplicando multas - como no caso da companhia British Airways, que em 2019 foi multada em 213 milhões de euros (mais de um bilhão de reais) após ataques cibernéticos resultarem em vazamento de dados pessoais de cerca de 500 mil clientes. Hoje, no Brasil, empresas que desejam atuar em território europeu precisam atender às regulamentações da GDPR.
Sua empresa não precisa esperar que a LGPD seja implementada para começar a se adequar. Empresas que saírem na frente e adaptarem suas práticas ao compliance da lei, têm uma oportunidade única para aumentar a confiança e credibilidade junto aos clientes e parceiros - o que pode resultar em crescimento, vendas e um melhor posicionamento de marca.
Em um exemplo atual, durante a pandemia de COVID-19, o novo coronavírus, uma série de clínicas médicas no Brasil reportaram vazamentos de milhares de dados de seus pacientes. Caso a LGPD já estivesse implementada, com toda certeza isso iria gerar uma série de multas e necessidades de adequação à essas empresas.
É importante destacar também que, mesmo sem a implementação da LGPD, o Ministério Público já reconhece a prática do fornecimento de dados sem a autorização do cliente como crime. É o caso da Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT), que abriu uma investigação para apurar prática de redes de farmácias de pedir o CPF dos clientes em troca de descontos e, a partir disso, geravam, supostamente, perfis de consumo dos cidadãos e compartilhavam com parceiros, sem a devida autorização. Portanto, consumidores que se sentirem lesados podem procurar a justiça para processar empresas que vazarem seus dados.
Mas não basta somente decidir aplicar a LGPD, escrever dezenas de normas técnicas e achar que eles serão seguidas. A adequação à LGPD passa por uma mudança na cultura de segurança da informação da empresa. O compliance não é só trabalho da TI, pois muitos departamentos têm acesso a dados de clientes e colaboradores, como RH, Marketing e Jurídico, o que pode acabar gerando um incidente de segurança. É preciso lembrar da máxima: "O ser humano é sempre o elo mais fraco da corrente de segurança".
Mudar comportamentos de segurança é um desafio em todas as empresas. Com os clientes cada vez mais conscientes de sua privacidade é preciso focar os esforços em transformar os hábitos dos colaboradores e a forma como eles lidam e tratam os dados a que têm acesso. Campanhas de conscientização em Segurança da Informação são ferramentas importantes para reforçar boas práticas e educar as equipes - de forma lúdica - sobre temas complexos. Como costumamos dizer por aqui: "A Segurança é responsabilidade de todos!".