A discussão acerca da proteção de dados no Brasil ganhou um novo capítulo, o ataque cibernético na quinta-feira,19, sofrido pelo e-commerce da Lojas Renner.

O ataque em questão é bastante conhecido no mundo virtual e tem nome próprio, ransomware, que consiste no uso de softwares para sequestro de dados de uma empresa ou de um órgão relevante e em troca os criminosos cobram resgates em quantias financeiras ou benefícios.

Devido a essa atividade ilícita, um dos maiores nomes do varejo do país teve seu site fora do ar por quase dois dias, prejudicando não só as vendas, mas principalmente a marca e a reputação da companhia, já que a sua segurança virtual foi posta à prova e não correspondeu às expectativas.

Nesse sentido, o Procon paulista prontamente se manifestou apresentando notificação à rede varejista, solicitando esclarecimentos sobre o plano de proteção e recuperação executado até o momento, bem como explicações acerca do processo de tratamento de dados.

Com o caso em questão, fica cada vez mais claro a necessidade de as empresas associarem segurança digital à segurança jurídica em uma relação de codependência. Com a Lei Geral de Proteção de Dados – LGPD -, as empresas e demais entidades passam a seguir uma série de obrigações que objetivam proteger a privacidade da pessoa física.

A partir disso, o RA&A separou algumas dicas para as empresas que buscam maior segurança de dados e cumprimento das responsabilidades impostas a partir da LGPD:

1. Crie um comitê interdisciplinar para o processo de adequação

É sabido que o processo de adequação à Lei Geral de Proteção de Dados impacta todas as áreas de uma empresa, por isso, para o entendimento completo da entrada, tratamento, saída e segurança dos dados é necessário que áreas diferentes façam parte do processo, pois a recepção de informações é feita por diversos canais distribuídos em setores diferentes, como tecnologia, financeiro, gestão de pessoas e etc.

2. Mapeie o fluxo de dados da empresa

O mapeamento dos dados é o processo de entendimento do ciclo de vida de um dado na sua empresa. É de extrema importância porque só assim se terá uma visão do que é coletado e como dar a correta destinação. Como guia as seguintes perguntas podem ser seguidas:
Que dados a minha empresa coleta?
Qual a finalidade dessa coleta?
Quem tem acesso aos dados e como esse acesso é organizado?
Como esses dados são repassados para terceiros e qual o embasamento legal?
Como esses dados são descartados?

3. Conte com tecnologia avançada e com protocolos de verificação

Se a sua empresa tem loja virtual, ou, de algum modo coleta dados pessoais, por exemplo, por meio de campanhas de marketing, é necessário lançar mão de plataformas seguras. Um exemplo disso é o certificado SSL, aparato que adiciona uma camada a mais de proteção em websites, tornando a conexão criptografada, ou seja, as informações enviadas a partir daquele site não podem ser acessadas ou roubadas.

4. Assegure que exista uma comunicação transparente e acessível com o titular do dado

O titular do dado é a pessoa física que a Lei Geral de Proteção de Dados, LGPD, visa proteger. Por isso, em acordo com a lei em questão, o titular do dado precisa ser informado sobre o que está sendo coletado, qual a finalidade da coleta e quais os procedimentos de tratamento dos dados.
Além disso, é necessário estabelecer canais de comunicação de fácil acesso para qualquer contato que o titular queira fazer.

5. Revise contratos, políticas de privacidade e demais documentos

Todos os documentos da empresa que envolvem manipulação de dados, como contratos, devem passar por revisão visando estarem em acordo com o que a lei estabelece para proteção de dados.
Em conjunto a essa medida, documentos de governança devem ser produzidos e utilizados de forma pedagógica para que a equipe em sua totalidade entenda o que os procedimentos de adequação representam. Como exemplo, destaca-se o regimento interno, termos de compromisso e código de ética.

6. Conte com profissionais especializados

Contar com profissionais especializados fará toda a diferença no processo de adequação a Lei Geral de Proteção de Dados; desde engenheiros de dados que conseguiram criar camadas de proteção, proporcionando um ambiente virtual e físico mais seguro, até advogados que formataram o plano de recepção, tratamento e descarte de dados personalizado para a empresa em questão. Como exposto no primeiro tópico, o entendimento de que os procedimentos para conformidade à lei em questão são frutos de esforços entre áreas afins é ponto chave para a segurança de qualquer pessoa jurídica.