Grandes provedores de serviços na nuvem também precisam se adaptar, sustenta Robson Andrade, diretor da Zadara, empresa de armazenamento com isolamento de dados. “Com relação às melhores práticas, fala-se de criptografia. Porém, a garantia tem de ser do cliente. Não adianta o datacenter ter a chave da criptografia, a chave tem de ser da empresa contratante. A lei diz isso claramente”, explica.
No caso de armazenamento na nuvem, os dados ficam todos no mesmo lugar. “Para assegurar a proteção, é necessário um isolamento físico dos dados. Para provar que o dado vazou, precisa ver onde ele está. Se está junto com outros, não dá nem para fazer perícia”, justifica.
Por conta dessa complexidade, Andrade estima que quase 80% das empresas, incluindo as grandes, que detêm dados mais sensíveis, ainda não se movimentaram para se adequar à lei. “Se for olhar no funil, quem gera dado não é a pequena empresa. São as administradoras de cartão de crédito, seguradoras, planos de saúde, bancos. Cerca de 50 grandes empresas detêm 30% do volume de dados do Brasil”, sustenta. O diretor diz, ainda, que o Brasil assinou um tratado com a União Europeia. “Se o prazo para vigorar for dilatado, o tratado é interrompido”, aponta.
A especialista em direito digital Isabela Pompilio explica que, para se adaptarem, as empresas têm no mercado a oferta de diversos softwares que garantem monitoramento e gestão dos dados, com base nas diretrizes da LGPD. “Os custos de implementação poderão variar a depender do porte da companhia, suas necessidades e cultura organizacional”, diz.
A lei também prevê a criação de um Comitê de Segurança dentro das empresas, bem como a designação de um Encarregado de Proteção de Dados, que seria a figura do chamado de Data Protection Officer (DPO) na GDPR (lei da UE). “O ideal é que esse profissional, que poderá ser terceirizado, tenha conhecimento jurídico, de segurança de informação e de governança, uma vez que será responsável por supervisionar a estratégia usada na preservação de dados e colocá-la em prática”, defende.
Segundo Isabela, não há determinação de prazo específico para o armazenamento dos dados pessoais, sensíveis ou não. “A ausência de fixação de prazo determinado se explica em razão das diversas finalidades que cada empresa pode emprestar aos dados que possui. O término do tratamento dos dados pessoais ocorrerá principalmente quando for verificada que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada”, explica.
A advogada explica, ainda, que, caso as empresas forem vítimas de hackers, poderão se defender em procedimento administrativo, com ampla defesa.
A Presidência da República, responsável pela criação da Autoridade Nacional de Proteção de Dados, transfere a competência sobre o tema para a Casa Civil. Procurada, a pasta, no entanto, não respondeu até o fechamento desta edição. (SK)