A legalidade da proteção de dados não é um assunto novo no Brasil, em 2014 (10 anos atrás) a Lei do Marco Civil da Internet (Lei 12.965) foi sancionada dando início a uma série de mudanças técnicas e principalmente na mentalidade e na necessidade das empresas se adequarem à nova lei. Quatro anos depois, tivemos a LGPD (Lei 13.709) sancionada em 2018 que entrou em vigor somente em setembro de 2020. Desde então, temos o nosso maior desafio: termos rapidez nas mudanças e implementações de novos processos na operação do provedor mantendo a conformidade com a Lei.
Agora imagine você trabalhando em um provedor de internet, cujo mercado é exigente, saturado e de muita competição, onde cada cliente é disputado rua a rua com a fortíssima concorrência com outros provedores e grandes operadoras pressionando as margens de rentabilidade para baixo. O seu provedor oferece serviços essenciais conectando várias residências e empresas de todos os portes nas suas áreas de atuação. Esse provedor empresa nunca implementou qualquer norma ou diretriz de segurança, os dados pessoais dos seus clientes como: nome completo, endereço, RG e CPF, biometria (selfies), históricos de navegação, informações de pagamento são armazenados sem qualquer controle ou política de acesso, e os funcionários possuem a mesma senha padrão criada e conhecida por todos para acessarem o principal sistema de cadastro da empresa. O time comercial pressiona pela implantação de novos serviços para agregar valor ao produto, como os conhecidos SVAs, para atraírem mais clientes e com isso cria uma demanda enorme de integração de sistemas e ampliação da rede de acesso descontrolada, incluindo acesso a parceiros de serviços, tudo isso dentro de duas semanas, porque a equipe de implantação irá entregar um novo bairro para início das vendas. É um caos generalizado.
Os riscos de manter uma empresa operando desta forma são enormes, pois um incidente de segurança pode resultar em perda de dados estratégicos ou, pior, vazamento de dados pessoais, o que pode levar a multas severas, danos financeiros irreparáveis e, consequentemente, danos à reputação da empresa. Como consequência, os clientes insatisfeitos irão cancelar o serviço, a confiança na marca será destruída, e até a perda de crédito, já que atualmente alguns bancos realizam a avaliação de conformidade de segurança para avaliação de crédito. Além disso, a falta de conformidade com a LGPD pode resultar em penalidades que vão desde notificações até multas pesadíssimas.
Agora imagine esse mesmo provedor após a implementação das diretrizes da LGPD e dos métodos mais modernos de segurança e compliance. Cada processo de coleta, armazenamento e tratamento de dados pessoais é realizado com base em políticas de segurança robustas. Um Encarregado de Proteção de Dados (DPO) foi nomeado para supervisionar a conformidade com a lei. Os dados dos seus funcionários, parceiros e clientes são criptografados e anonimizados (processo que oculta ou modifica dados pessoais) e acessíveis exclusivamente ao pessoal autorizado, todos os procedimentos e políticas de segurança estão claras e em vigor para responder rapidamente a qualquer incidente, com uma equipe treinada e preparada para minimizar quaisquer danos e principalmente trabalhando e atuando na prevenção das perdas, assim garantindo a estabilidade da empresa e a transparência perante o mercado.
A empresa não só evita multas e penalidades, mas também fortalece a confiança de seus clientes, a transparência e o compromisso com a proteção de dados melhoram significativamente a reputação da marca, consequentemente os clientes satisfeitos tornam-se defensores da marca, e a empresa se posiciona como líder em conformidade e segurança de dados no mercado de provedores de internet.
Como chegar lá?
Não existe uma receita de bolo para implementação dos métodos de segurança, mas para alcançar um estado melhorado, é crucial e fundamental entender como sua empresa funciona para depois implementar os principais itens da LGPD. Antes de tudo realize uma Análise de GAP, ou seja, faça uma análise de como sua empresa está e como deseja que ela esteja no futuro, assim trace um plano de tarefas para executá-las. Abaixo relacionarei alguns aspectos que sua empresa deve focar:
- Nomeie um Encarregado de Proteção de Dados (DPO)
O DPO é responsável por garantir que a empresa esteja em conformidade com a LGPD. Ele atua como um ponto de contato entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Este é um passo crucial e fundamental para a conformidade, pois o DPO tem conhecimento da LGPD e é capaz de implementar as políticas e procedimentos necessários.
- Mapeamento e Inventário de Dados
O mapeamento de dados é essencial para entender quais dados são coletados, onde são armazenados e como são tratados. É necessário realizar um inventário completo, documentar todos os processos, entender quais possuem riscos e quais medidas de proteção serão adequadas, nesse ponto cada processo tem a sua particularidade e proteção necessária, seja uma proteção sistêmica ou uma nova metodologia implantada.
- Políticas de Consentimento e Transparência
A LGPD exige que o consentimento dos titulares dos dados seja claro, informado e explícito. Caso possuam políticas de consentimento, revisem-nas pelo menos a cada 6 meses (devido à grande mudança que nossa operação determina) e caso não possua crie políticas e termos de uso para informar aos seus clientes como seus dados serão tratados e utilizados.
- Implementação de Medidas de Segurança
Adote medidas técnicas e processuais para proteger os dados pessoais, essas técnicas vão desde criptografia, controle de acesso até o monitoramento contínuo de atividades suspeitas.
- Procedimentos de Resposta a Incidentes
Mantenha sua equipe treinada como uma tropa de elite para uma pronta resposta, documente o passo a passo com procedimentos claros para identificar, relatar e mitigar esses incidentes rapidamente, seguindo as exigências da ANPD.
Conclusão
Pela minha experiência, o maior desafio na implementação da segurança e as normas da LGPD nos provedores é encontrar um processo que atenda todos os requisitos técnicos de segurança, atenda as normas de conformidade, que não engesse a operação e essencialmente mantenha uma confortável experiência do cliente.
A implementação da LGPD é uma necessidade legal e estratégica. Ela não só evita penalidades, mas também melhora a segurança dos dados, fortalece a confiança dos clientes e protege a reputação da empresa. CEOs, executivos, gerentes e técnicos de TI devem trabalhar juntos para garantir que cada aspecto da LGPD seja cumprido, criando um ambiente seguro e confiável para todos.
Gustavo Leão
Gerente de TI – Azza Telecom
 a Lei do Marco Civil da Internet (Lei 12.965) foi sancionada dando início a uma série de mudanças){kind=link}