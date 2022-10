No dia 27 de setembro, o Data Protection Forum, organizado pela plataforma TI Inside, reuniu diversos especialistas para debater temas como proteção de dados e privacidade no contexto da aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD). Embora o mercado tenha amadurecido nesses quesitos desde a promulgação da lei, em 2018, as empresas ainda precisam realizar adequações antes que a Autoridade Nacional de Proteção de Dados (ANPD) comece a aplicar as penalidades previstas pela LGPD. Confira as dicas dos especialistas presentes no evento.

No primeiro painel do fórum, os palestrantes Gustavo Artese, titular da Artese Advogados, e Victor Isaac, responsável pela área de privacidade da MRV, explicaram quais são as expectativas em relação à fiscalização da ANPD e as ações que as empresas devem priorizar no atual momento.

Lidando com dados pessoais De início, Gustavo ressaltou que o objetivo da ANPD é construir um modelo de aplicação de sanções que induza o comportamento adequado conforme a LGPD, recompensando aqueles que cumprem a regulação. "A jurisprudência da ANPD definirá as questões de risco e ajudará as organizações a mensurarem efetivamente o que está em jogo, ao avaliarem os riscos de suas atividades", afirma o especialista. Em seguida, os palestrantes citaram alguns princípios que devem ser levados em conta ao lidar com dados pessoais. Por exemplo, a finalidade (ter propósitos legítimos e explícitos); a necessidade (utilização apenas de dados estritamente necessários); o livre acesso (acesso ao tratamento e à integralidade dos dados); a qualidade (dados exatos, claros, e atualizados); a transparência (informações precisas aos titulares de dados); a segurança (medidas técnicas e administrativas que protejam os dados pessoais); a prevenção (medidas para evitar danos aos titulares); a não-discriminação (não utilizar dados para fins discriminatórios, ilícitos ou abusivos); a responsabilização e a prestação de contas (demonstração de adoção de medidas de cumprimento das normas). Para Victor, é recomendável fazer com que os princípios de proteção de dados sejam incorporados e mantenham sua relevância no dia a dia das empresas. "É preciso, também, manter o equilíbrio entre a conformidade com a lei e a funcionalidade e o crescimento do negócio", acrescenta.

Incidentes de segurança No bloco seguinte do evento, estiveram presentes Gustavo Batistuzzo, gerente técnico no Instituto Brasileiro de Peritos, Fábio Aspis, regional senior data privacy counsel no Rabobank Brasil e Marcelo Guedes, coordenador-geral de tecnologia e pesquisa da ANPD. Segundo Batistuzzo, um incidente de segurança pode ser classificado como "qualquer tratamento de dados que fuja ao que a empresa esperava", sendo que "tratamento" se refere a qualquer ação que se faça com o dado (acessar, ler, copiar, criptografar ou mover). Logo, um incidente está relacionado à violação na segurança de dados, em decorrência de eventos adversos como o acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração ou vazamento dessas informações. Frequentemente, a identificação de incidentes de segurança é uma tarefa complexa, pois algumas organizações não contam com sistemas de monitoramento de dados. "Existe um despreparo no que se refere ao tratamento de dados, principalmente daqueles não-pessoais, como os dados financeiros", diz o profissional. "As empresas precisam ser capazes de investigar os incidentes e avaliar se eles devem ser comunicados à ANPD". Na mesma linha de raciocínio, Marcelo enfatiza: "É importante entender que o tratamento de um incidente ocorre antes do próprio incidente, a partir de um tratamento prévio, ou seja, a implementação de controles que previnam ou mitiguem os riscos de segurança de informação". Na sequência, Fábio afirmou que, para identificar um incidente, é preciso observar se houve a quebra de algum dos pilares da segurança da informação: confidencialidade (o acesso a informações sensíveis só deve ser feito por pessoas autorizadas), integridade (não há alteração indevida da informação) e disponibilidade (a informação está disponível para usuários autorizados quando necessário). Quanto à notificação do incidente à ANPD, Fábio critica os critérios subjetivos trazidos pela legislação: "Há diversos pontos pendentes de regulação e explicação. Por exemplo, aspectos como o volume de dados precisam ser especificados". Além disso, o prazo curto de notificação estabelecido pela lei –de dois dias úteis, contados da data do conhecimento do incidente– é alvo de críticas. Os especialistas também abordaram a necessidade de se adotar boas práticas. Por exemplo, as empresas devem ter equipes multidisciplinares, com os times jurídicos e de segurança se comunicando bem. Outra recomendação são as medidas preventivas simples, como o uso da criptografia e senhas em planilhas com dados de clientes. É válido, ainda, empregar medidas corretivas, que mitiguem os danos de eventuais incidentes, além de sempre prestar contas (ser accountable), documentando as ações da empresa, caso seja necessário comprovar sua boa fé à ANPD. Por fim, é importante ter critérios objetivos para identificar incidentes de segurança, evitando, assim, a sobrenotificação destes.