É fundamental que as empresas entendam o conceito de data privacy e saibam como implementar ações para proteger os dados. Afinal, o maior patrimônio das organizações, atualmente, são os dados pessoais de clientes, parceiros e colaboradores.

Algo que poucas empresas se dão conta – e nesse segmento podem ser incluídos os escritórios de advocacia -, é de que quanto mais dados armazenados, maior se torna o risco em relação à confiança e responsabilidade da marca no caso de ocorrer uma na violação de dados.

Por essa razão, torna-se essencial o mapeamento do fluxo de dados, exigido até pela Lei Geral de Proteção de Dados (LGPD), e transparência sobre o que é feito com essas informações.

Um programa de compliance robusto, preocupa-se com o consentimento para o uso dos dados, em como gerenciar a privacidade do proprietário das informações, quem poderá acessar as informações e planejará com segurança a utilização desses dados.

Algumas das perguntas que podem ser feita na estruturação e elaboração de uma política de data privacy são:

  • Quais informações estão sendo coletadas? 
  • Como a empresa pretende usar os dados?
  • De que forma os dados podem ser acessados?
  • Os dados serão compartilhados? Com quem?

Isso apenas para começar. Porque há muito mais questionamentos que precisam ser respondidos para criar uma política o mais a prova de falhas possível.

Qual é a razão de tudo isso? O fato de que os problemas de privacidade há muito deixaram de ser centrados no rastreamento ilícito das atividades online para se tornarem problemas sociais e culturais da era atual. Portanto, é preciso alicerçar a proteção dos dados e se preparar para a nova legislação que está por vir.

Como estruturar o data privacy

Como a tecnologia está posta hoje, os dados se disseminaram em nossas vidas de uma maneira que quase não é possível medir. Quase nada pode ser feito no dia a dia sem que ocorra uma coleta de dados.

Uma simples ida de casa para o trabalho com um motorista chamado por aplicativo já deixa com a empresa uma infinidade de dados pessoais. O incessante questionamento e desconforto, até, sobre tantas informações pessoais estarem facilmente acessíveis despertou a consciência mundial para a necessidade de controle de dados. Com isso, surgiu, também, a necessidade de organizar programas de proteção de dados. Existem alguns tópicos por onde iniciá-los.

1. Mapear o fluxo dos dados

Uma das exigências do data privacy é ter pleno conhecimento de como os dados entram, por onde eles “andam” dentro da organização e como eles saem da base de informações. 

Conhecer tudo o que acontece com os dados, desde que eles são coletados até serem deletados, é uma medida para tornar mais fácil a proteção. Sem saber onde estão os dados, é mais difícil protegê-los.

Para ter esse controle, apesar de parecer, não é preciso anotar cada ação que é realizada com os dados e manter isso em um arquivo para ser consultado. Basta o documento responder:

  1. Qual é a finalidade do tratamento dos dados?
  2. Descrever as categorias dos dados e dos titulares.
  3. Indicar se há fluxo desses dados para fora da organização.
  4. Expor quais são as medidas de segurança.
  5. Disponibilizar as informações de identificação e contato do controlador.
  6. Quais são os períodos para fazer a exclusão das diferentes categorias de dados.

2. Atualizar consentimentos, avisos e declarações de coleta de privacidade

O consentimento é um dos princípios para tratamento de dados que consta na LGP. Outro é o de legítimo interesse. Este último, aliás, é um dos mais utlizados. É o que mostra uma pesquisa realizada na Europa, em que se identificou que apenas 5% do tratamento de dados tem como base o consentimento.

Um desafio para as empresas, levantado no seminário internacional Lei Geral de Proteção de Dados (LGPD), promovido pelo Superior Tribunal de Justiça (STJ), é o de desenvolver tecnologias para tornar essa prática viável.

O consentimento é a forma do detentor dos dados concordar que eles sejam tratados por quem fez a coleta das informações. Isso deve ocorrer de forma ” livre, informada, inequívoca e para uma finalidade determinada”, segundo o texto da lei.

Sendo assim, a atualização dos consentimentos, avisos e declarações de coleta de privacidade devem deixar isso muito claro para a sociedade, por escrito. Principalmente porque é responsabilidade da empresa comprovar, quando for o caso, que os dados foram obtidos de acordo com o que consta na legislação.

3. Plano de data privacy para a violação de dados e ocorrência de incidentes

A maior parte dos bancos de dados estão conectados à internet. Por essa razão, detém um certo grau de vulnerabilidade, ou seja, podem ser alvo de ataques cibernéticos, por mais protegidos que se acredita que estejam.

O plano para a violação de dados e ocorrência de incidências tem como principal função fornecer uma resposta rápida no caso de o banco de dados da empresa ser alvo de um cibercrime. Em situações assim, a instituição reguladora e os indivíduos afetados precisam ser informados de maneira ágil. Para isso, também, é que serve o plano.

Por fim, a elaboração do plano cumpre com o compromisso das empresas de garantir que os danos sejam minimizados e que seja dada uma resposta satisfatória aos interessados e à sociedade.

Qualquer empresa, seja de pequeno, médio ou grande porte, precisa olhar com urgência para a questão de data privacy. Não só para cumprir a legislação, mas, também, para ganhar sustentabilidade informacional, ética e transparência, valores que, provavelmente, serão cada vez mais observados pelos usuários.