5 anos de LGPD no Brasil: como a norma mudou o dia a dia de empresas e perspectivas de cidadãos
A Lei Geral de Proteção de Dados (LGPD) completa, no dia 14 de agosto, cinco anos desde a sua promulgação no Brasil. Com o objetivo de regulamentar a forma como as informações são coletadas, armazenadas, processadas e compartilhadas, ela tem gerado diversas discussões e impulsionado mudanças significativas nas práticas de privacidade e segurança de dados de pessoas e empresas em todo o país.
A norma aderiu tanto peso em âmbito nacional que a Autoridade Nacional de Proteção de Dados (ANPD) já tem aplicado sanções no que tange o descumprimento da lei e dado sequência a investigações nesse sentido. Por outro lado, ainda há muito trabalho a ser feito. Em 2021, por exemplo, dados de mais de 223 milhões de pessoas e de 40 milhões de empresas foram vazados – de acordo com informações do DefCon-Lab. Portanto, as companhias precisam se atentar para como a segurança dos seus sistemas está sendo tratada.
De acordo com Marcio Guerra, Cofundador e diretor de Marketing e Inovação da MD2 Consultoria, empresa especializada em soluções de governança e privacidade de dados, apesar da lei ser aplicável para todos os setores, empresas de TI têm um papel significativo nessa adaptação. “Os responsáveis por companhias de infraestruturas de tecnologia da informação, que carregam consigo dados de outras empresas, devem revisar os seus sistemas a fim de identificar e corrigir vulnerabilidades. Também devem implementar medidas de segurança técnicas e organizacionais adequadas, como a criptografia de dados, a segregação e monitoramento de acesso e o controle de logs”, explica.
Quando se fala em contratos com fornecedores de serviços de tecnologia, no entanto, é sempre importante ressaltar que eles devem ser revisados para garantir que estejam de acordo com as exigências da LGPD – principalmente em relação ao compartilhamento de dados pessoais.
Ao longo desse período desde a promulgação, é possível observar que muitas empresas ainda não empreenderam esforços significativos para alcançar a diligência necessária, nem demonstraram algum compromisso com a conformidade à lei. Há companhias que estabeleceram processos formais para o tratamento de dados, mas não costumam realizar atualizações ou darem uma atenção adequada à gestão dos ativos de dados, de acordo com os registros das atividades de tratamento necessários.
Do mesmo modo, muitas vezes a administração dos dados que devem ser excluídos ou anonimizados também não é contemplada. Isso tudo acarreta não apenas grandes pendências técnicas e riscos legais – que vão além das possíveis sanções e multas por parte das autoridades regulatórias –, mas também potenciais litígios judiciais.
“Na prática, pode haver uma transgressão dos direitos fundamentais de liberdade e privacidade dos indivíduos que interagem com a empresa. Isso ocorre quando se faz uso de dados de maneira ilícita, sem a devida justificação legal, uma finalidade clara ou a definição de um período de vigência adequado”, acrescenta Guerra.
Além de todas essas consequências, a reputação da empresa pode ser severamente afetada, resultando em perda de confiança por parte dos clientes e parceiros comerciais. “Em geral, a LGPD estabelece um conjunto claro de obrigações e responsabilidades relacionadas à proteção de dados particulares. Dessa forma, contar com uma assessoria jurídica e de tecnologia é, atualmente, um ótimo caminho a percorrer”, destaca Guerra.
