Uma das preocupações recentes nas organizações brasileiras é a adequação às exigências da Lei Geral de Proteção de Dados Pessoais (LGPD - nº 13.709), que entrará em vigor, provavelmente, em agosto de 2020, ou seja, quem ainda não iniciou seu processo de análise, tipificação de dados, relatórios de impactos, adequações e etc, está mais do que atrasado, visto que a adequação é muito delicada, trabalhosa e requer muita dedicação e profissionalização.
A LGPD criou normas e procedimentos claros de como às organizações devem coletar, armazenar, processar e compartilhar informações de clientes, colaboradores, parceiros, fornecedores, entre outros.
Dentre várias preocupações, uma delas é quanto ao uso das plataformas em cloud, visto que a lei exige que o armazenamento dos dados sejam em território nacional, o que se tornou um grande ponto de interrogação, visto que os grandes players do mercado em serviços cloud não são nacionais e, na maioria das vezes, não sabemos a localização destes datacenters, além disso, a lei exige que a oferta de bens, serviços, operações de tratamento e coleta de dados pessoais sejam realizadas em território nacional.
Será necessário que as organizações estejam atentas as novas demandas legais, localização destes datacenters, normas, procedimentos, políticas de segurança, balanceamento de cargas, formas de acesso, backups e etc, escritas, e se estão de acordo com a legislação, visto que será de sua responsabilidade qualquer problema que ocorrer com os dados armazenados nestas estruturas.
Além destas questões, outras precisam ser analisadas, não somente pela LGPD, mas no que tange à segurança e proteção de dados:
Utilização de criptografias, tokenização e anoniminização de dados e arquivos estruturados e não estruturados;
Gerenciamento de risco, implementando medidas protetivas e preventivas que identifiquem possíveis problemas de segurança e deem "margem" para que sejam evitados e/ou sanados;
Privacy by Design, que é uma abordagem adotada ao criar novas tecnologias e sistemas, garantindo a segurança e a proteção dos dados;
Cuidados com os relatórios de notificação à incidentes, documentos importantes que devem ser constantemente revistos;
Monitoramento de todo ciclo processual de segurança e proteção de dados, entre outros pontos importantes.
A LGPD está prestes a entrar em vigor e por isso é fundamental tomar todas as medidas necessárias para ficar em conformidade, e não se esqueça que, de acordo com o artigo 41 da lei, "o controlador deverá indicar o encarregado pelo tratamento de dados pessoais", ou seja, a contratação de um DPO se faz mais do que necessária e importante neste momento, para que este possa acompanhar todo o desenrolar destas atividades e atuar nos pontos críticos.
Graças a votação e aprovação da MP 869/2018, o controlador pode indicar o Encarregado de Dados como um profissional e/ou empresa terceira (pessoa jurídica), dando maior flexibilidade, visto que, ao assumir esta posição, o prestador de serviço contribuirá, de forma mais abrangente, a uma série de atividades junto à empresa para que o Programa de Privacidade ganhe efetividade prática, como por exemplo:
Gestão do Programa de Privacidade;
Atualização periódica do Data Mapping;
Opinar e monitorar os Relatórios de Impacto à Proteção de Dados Pessoais;
Dar efetividade a gestão das respostas às requisições dos titulares;
Apoiar no desenvolvimento de projetos;
Monitorar e fiscalizar a conformidade;
Treinar e comunicar visando a conscientização plena de todos os envolvidos;
Monitorar novas regulamentações da LGPD e normas setoriais;
Relacionamento com as autoridades.
Entenda mais em https://www.fernandesvasconcellos.com.br/dpo-as-a-service.