A Lei Geral de Proteção de Dados (LGPD), que regulamenta a utilização, proteção e transferência de dados pessoais no Brasil, promete impactar diretamente todas as empresas que, de alguma forma, estejam envolvidas com o tratamento e armazenamento deste tipo de informação. Similar à GDPR (General Data Protection Regulation), legislação adotada recentemente pela Europa com o mesmo propósito, a LGPD estabelece a obrigatoriedade de maior transparência na coleta e direcionamento desse conteúdo, exigindo clara anuência prévia do titular e ampliando a responsabilidade sobre eventuais incidentes como vazamentos ou roubo de dados, com sanções que podem chegar a R$50 milhões. Se, por um lado, o desafio da adequação será significativo, por outro pode estimular a formação de um ambiente de negócios mais seguro e mais atrativo para potenciais investidores.
“A proteção de dados já era exigida em maior ou menor grau em algumas instâncias, mas agora o Brasil tem uma lei específica que contempla não só a confidencialidade e integridade das informações, mas também sua disponibilidade, ou seja, quem acessa, em quais circunstâncias e com qual nível de autonomia”, destaca a diretora geral da Kroll no Brasil, Fernanda Barroso. Para assegurar a conformidade, as corporações terão que realizar um mapeamento dos processos que envolvem o tratamento de dados, identificar possíveis vulnerabilidades, implementar controles mais eficientes, adotar recursos avançados como a criptografia, monitorar continuamente os incidentes e estipular uma política de prevenção e gestão de crises.
“No Relatório Global de Fraude & Risco 2017/2018 da Kroll, constatamos que 84% dos executivos brasileiros vivenciaram algum tipo de fraude em suas empresas no ano passado, sendo que as ocorrências relativas a não conformidades ou violação a regulamentos internos estavam entre as mais frequentes, seguidas pelas fraudes financeiras e roubo ou perda de dados, mas os procedimentos exigidos pela LGPD reduzirão sensivelmente o nível de risco das operações, contribuindo positivamente para a imagem do país e das companhias nacionais no mercado internacional”, acredita.
Para a diretora da Kroll, há ainda em certa medida uma visão equivocada de que esta é só mais uma lei e que suas diretrizes não sairão do papel. “Traçando um paralelo recente, o padrão PCI-DSS, criado pelo PCI Security Standards Council para garantir o cumprimento de requisitos mínimos de segurança para todas as empresas que atuem com processamento eletrônico de pagamentos, até hoje não é exatamente obrigatório, mas o patamar de proteção obtido por quem segue suas diretrizes fez com que fosse adotado por todos os grandes players, e quem não está em conformidade já está perdendo negócios, pois é cada vez mais solicitado como requisito básico para os fornecedores”, exemplifica Fernanda. “Espera-se que o mesmo aconteça com a LGPD e, mais ainda, que se fomente uma nova cultura, em que as empresas reconheçam que estar em compliance dá segurança, mas que estar em segurança é muito mais do que estar em compliance: é desenvolver e colocar em prática um programa abrangente e permanente de gerenciamento de riscos, envolvendo pessoas, regulamentação e reputação”, ressalta o executivo.
