Após escândalos envolvendo o vazamento de dados da rede social Facebook, vários países se apressaram em elaborar leis de proteção de informações pessoais. No Brasil, foi sancionada a LGPD - Lei Geral de Proteção de Dados (lei 13.709/18) - em agosto de 2018 e estabelecido um prazo para a adaptação: em um ano acaba o limite final para que as empresas se adequem às novas regras. O prazo é agosto de 2020.

De acordo com o professor Emmanoel Monteiro, coordenador dos cursos de gestão em TI da Estácio Natal - unidade Alexandrino, a LGPD é aplicada a todas as empresas em todos os setores da economia, possuindo abrangência extraterritorial, ou seja, toda empresa que tiver negócios no país deve se adequar a ela, mesmo que sejam apenas informações básicas sobre clientes - como nome, endereço, idade, estado civil, telefone, e-mail, situação patrimonial, números de documentos, fotos, informações geradas durante a navegação na internet, etc.

Pelo texto, órgãos públicos e empresas privadas só poderão coletar e utilizar dados com o consentimento da pessoa, que poderá pedir a interrupção da coleta de informações, a portabilidade e exclusão dos dados. Caso haja descumprimento das normas, há previsão de multa diária de até 2% do faturamento da empresa infratora, limitada, no total, a R$ 50 milhões por infração.

Alguns negócios que não se entendiam como relacionados à coleta e tratamento de dados estão identificando seu envolvimento com essas atividades e necessitarão fazer as adaptações, como a definição de um Comitê de Segurança da Informação para analisar os procedimentos internos em alinhamento as regras da nova lei.  “As empresas de grande porte já possuem estruturas que podem se adaptar às regras da nova lei. No entanto, as pequenas e médias empresas poderão ter mais dificuldade, pois terão que fazer novos investimentos em processos de trabalho, capacitação de pessoal e tecnologias”, pontua.

Conjuntamente, é indicado que as empresas invistam em softwares que facilitem a gestão do ciclo de vida dos dados pessoais (data mapping & data discovery) e a implementação de técnicas de anonimização (os dados anonimizados não serão considerados dados pessoais pela lei, desde que o processo não seja reversível).