Hoje comemoramos o Dia Internacional da Proteção de Dados Pessoais. Essa data foi instituída na União Europeia, em 2006, mas hoje se tornou uma iniciativa global que, inclusive, a partir deste ano, é apoiada pela ANPD, nossa Autoridade Nacional de Proteção de Dados. Aproveitamos a data para trazer algumas dicas e informações sobre a proteção de dados pessoais na sua empresa:
- Dados pessoais não são apenas os dados cadastrais.
Quando pensamos em dados pessoais, logo nos lembramos de informações como nome, CPF e RG, endereços e outras informações que identificam alguém. No entanto, a LGPD (Lei Geral de Proteção de Dados) define que dados pessoais são quaisquer informações relacionadas à pessoas físicas identificadas ou que possam ser identificadas. Assim, dependendo do contexto, diversas outras informações podem ser dados pessoais, como históricos, mensagens e análises sobre uma pessoa – isso mesmo se não houver identificação direta de quem essa pessoa seja!
- Pergunte-se para que sua empresa usa dados pessoais e se eles são mesmo necessários.
A LGPD determina que nenhum dado pessoal pode ser coletado nem utilizado se não for necessário para uma ou mais finalidades específicas. Assim, se você não consegue justificar para que motivo você precisa coletar ou manter os dados pessoais armazenados, é provável que você não deva coletá-lo e nem possa usá-lo. Por outro lado, a LGPD traz diversas possibilidades para uma empresa embasar o uso dos dados pessoais e, dependendo do propósito desse uso, pode ser possível fazê-lo mesmo sem o consentimento das pessoas a quem se referem.
- Conhecer seus processos internos é fundamental para qualquer empresa.
Não é possível proteger a privacidade dos dados adequadamente sem conhecer os processos da empresa. Os fluxos de informações, seus propósitos e atividades correspondentes vão determinar o que pode ou não ser feito legalmente com os dados e que tipo de proteções e salvaguardas são necessárias. Conhecer bem o uso dessas informações, inclusive saber se elas serão compartilhadas com terceiros, é importante também para dar a devida transparência às pessoas afetadas, pois esse é um dos requisitos da LGPD para o uso de dados pessoais.
- Segurança e privacidade devem ser preocupações constantes de toda a empresa.
Um projeto de adequação não é garantia de proteção de dados e não será efetivo se a empresa não se dedicar à segurança e à privacidade desses dados no dia a dia. Um encarregado, ou comitê, devem levar conhecimento e engajar todos os empregados da empresa para que conheçam e respeitem as regras e boas práticas. Assim, evitam-se vazamentos e a criação de riscos à proteção de dados. É importante destacar que o Brasil foi o segundo país que mais apresentou aumento no prejuízo total de um vazamentos de dados entre 2019 e 2022 e teve um prejuízo total médio de US$1,12 milhão em decorrência deles nesse ano. Ataques mal-intencionados foram a principal causa dos vazamentos, sendo que, no Brasil, isso representou 47% dos casos, enquanto 28% foram decorrentes de falhas nos sistemas e os outros 25%, de erro humano (cf. Relatório do Custo de Violação de Dados 2021 da IBM).
- A governança em privacidade e proteção de dados, além de evitar riscos, traz valor para a empresa.
Conhecendo seus processos e suas necessidades quanto à segurança, a empresa consegue racionalizá-los e implantar outros tipos de medida de governança e responsabilidade que podem, até mesmo, gerar ganho de valor. Pelo terceiro ano seguido, pesquisas mostram que o retorno em investimentos em privacidade vem subindo cada vez mais, atingindo em média 1,9 vezes o valor investido, e, no Brasil, 83% das empresas que iniciaram projetos de governança em proteção de dados verificaram impacto positivo (cf. Cisco 2022 Data Privacy Benchmark Study).
A proteção de dados pessoais vem sendo um dos temas mais importantes nos últimos anos com relação à governança e gestão de riscos empresariais e tende a ganhar ainda mais destaque em 2022, com o início da atuação preventiva e punitiva da ANPD.
Aliás, por falar na ANPD, ela publicou hoje mesmo o Regulamento de aplicação da LGPD, para agentes de tratamento de pequeno porte. Esse novo regulamento flexibiliza a aplicação de algumas normas da LGPD no caso de micro e pequenas empresas e de startups, desde que elas não realizem atividades de alto risco à privacidade nem participem de grupos econômicos com de alto faturamento. Os principais benefícios para elas são a desnecessidade de indicação de um encarregado pelo tratamento de dados pessoais, também chamado “DPO”, os prazos em dobro para cumprimento de deveres legais e a possibilidade de realizar alguns ônus da LGPD de modo simplificado. Nos próximos dias, comentaremos este novo regulamento.
Caso tenha interesse em maiores informações, nossa equipe de Privacidade e Proteção de Dados Pessoais está à disposição para ajudá-los!