Ainda assim, muitas empresas não adequaram completamente suas operações à nova lei. De acordo com dados de pesquisa da E-Commerce Brasil, apenas 30% das companhias estão totalmente preparadas para atuar de acordo com as demandas da LGPD.
Mesmo entre aquelas que já estão em conformidade com as novas regras, contudo, ainda há pontos que devem ser observados para evitar vazamentos ou o tratamento inadequado de dados pessoais. O sócio-diretor do Grupo IRKO Flávio Luque Bastos explica que minimizar os riscos requer uma combinação de ações de segurança da informação, jurídicas e de governança.
O primeiro grupo de medidas servirá para coibir ameaças externas aos servidores da empresa. "Temos dois fatores importantes no cenário atual. O primeiro é a nova fase da LGPD, com a aplicação de sanções e uma fiscalização que irá além dos objetivos educacionais. O segundo é uma tendência de aumento nas ameaças de ataques cibernéticos, em razão do home office e da multiplicidade de plataformas utilizadas hoje pelos colaboradores das empresas", diz.
O cuidado jurídico envolve os termos da lei: contratos, acordos, propostas etc. - tudo deve prever cláusulas de privacidade e confidencialidade. Já o trabalho de governança consistirá em mapear e gerir os processos de negócio que tenham relação com dados pessoais.
Bastos indica três pontos que devem servir para nortear as ações das companhias neste contexto:
Invista em infraestrutura
O Firewall, por exemplo, é uma barreira básica de proteção da rede. Já um anti-phishing protege os usuários de e-mail de mensagens fraudulentas ou maliciosas em geral, que contêm links para páginas que infiltram ameaças na rede por meio daquele computador.
O ideal é que ocorra um escaneamento inteligente e um monitoramento em tempo real contra todo tipo de ameaça. Desse modo, a proteção de dados não será prejudicada mesmo se houver algum arquivo infectado.
"A migração para o teletrabalho e um futuro que indica a adoção de regimes híbridos também exigem outras medidas de proteção. Deve-se evitar, por exemplo, o uso de equipamentos pessoais ou ferramentas de trocas de mensagens gerais, como o WhatsApp, para a realização de tarefas corporativas", diz Bastos.
A conexão por meio de uma VPN (Virtual Private Network) também é recomendada, já que garante uma conexão segura para acesso a dados confidenciais de clientes e outras informações sensíveis.
Treinamento das equipes
"Esses cuidados, no entanto, não tornarão a empresa completamente imune a problemas", afirma o sócio da IRKO. "Para elevar a segurança e fazer uso adequado das informações pessoais coletadas, é preciso um grande esforço de treinamento das equipes envolvidas."
É importante indicar que os colaboradores não cliquem em links suspeitos, não instalem softwares piratas e não baixem arquivos desconhecidos, por exemplo. Também há como definir as regras para ter senhas fortes nos acessos do usuário ao sistema, assim como exigências para que elas sejam trocadas a cada 180 dias.
O ideal é que seja desenvolvida uma política que contenha as principais orientações e regras para o compartilhamento de arquivos e o uso dos recursos digitais dentro e fora do escritório, além de esclarecer quais são as informações confidenciais.
Depois da elaboração, é necessário divulgá-la amplamente e realizar treinamentos para garantir o entendimento de todos e tirar dúvidas.
Atenção aos parceiros
Por isso, é importante que, além de adequar suas próprias operações, a companhia esteja atenta às medidas tomadas por todos aqueles com quem tem parcerias comerciais.
"A digitalização de processos trouxe inúmeras facilidades, mas também significa que tudo está interconectado. É preciso, portanto, analisar todos os componentes de sua cadeia de informação, a fim de garantir que tudo esteja em conformidade com a lei", afirma Flávio Luque Bastos.
