A partir de agosto de 2020, as companhias terão que garantir a proteção dos dados pessoais de seus colaboradores que circulam em dispositivos móveis corporativos. É o que obriga a Lei Geral de Proteção de Dados (Lei 13.709), sancionada em agosto de 2018.

O objetivo é regular como empresas devem tratar dados pessoais nos meios digitais, garantindo proteção aos direitos fundamentais de liberdade e de privacidade das pessoas.

É certo que as novas exigências tendem a movimentar, em especial, as áreas de TI (desenvolvedores e analistas), de Governança Corporativa e Compliance. São esses profissionais que definem o que precisa ser feito para que a empresa atenda à nova legislação.

Mas o que estabelece a lei?

• Define regras para todos os aspectos que envolvem a coleta, o uso, o tratamento, o compartilhamento e a proteção de dados por empresas privadas e órgãos públicos: basicamente, o usuário tem garantido o direito de proteção sobre qualquer ação referente às suas informações pessoais.
• Detalha os direitos dos donos dos dados: na prática, os colaboradores de uma empresa podem escolher quais dados pessoais podem ser coletados, acessados e usados pelo empregador. E eles terão de dar consentimento para esta utilização. Isso envolve, inclusive, informações disponíveis em dispositivos móveis corporativos, que passam a estar sujeitos às regras definidas na lei.
• Estipula punições para as empresas que não cumprirem as normas: as penalidades estão estabelecidas em até 2% do faturamento da empresa, limitada no total de até R$ 50 milhões por infração. Antes da multa, as empresas são notificadas e recebem um prazo para se adequar.

O que muda paras as empresas?

A maioria terá de rever e instituir políticas internas para assegurar conformidade com a nova legislação, principalmente as que têm de gerenciar dispositivos móveis. Até porque a LGDP estabelece que a companhia tem de demonstrar como está seguindo as normas.

Diante disso, a adoção de políticas de segurança da informação se torna essencial. Ela deverá garantir:

• Mapeamento de dados sensíveis previstos em lei (pessoais, sensível, criança, público, anonimizado)
• Identificação de departamentos, meios (físico ou digital), operadores internos e externos para rastrear todo tipo de fonte de vazamento ou exposição da empresa à lei
• Tratamento de dados para torná-los anônimos quando necessário, por exemplo
• Auditoria constante sobre este tratamento
• Controle do consentimento e anonimização para atender possíveis pedidos dos donos de dados e da futura agência reguladora
• Criação de banco de dados para controlar todos os pedidos de proteção dos donos dos dados
• Intensificação da proteção contra vazamentos e roubo de informações
• Medidas contra divulgação de dados pessoais sensíveis
• Elaboração de procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento de dados pessoais
• Plano de comunicação para informar órgãos fiscalizatórios e a imprensa sobre incidentes de segurança que acarretem risco ou dano às pessoas donas dos dados

A lei também vale para os colaboradores que utilizam o próprio smartphone?

Sim, a empresa é responsável pelos dados corporativos que circulam nos dispositivos, independentemente se eles são cedidos pela companhia ou são próprios dos funcionários. Isso significa que companhias que adotam o chamado BYOD (Bring Your Own Device, que na tradução significa “Traga seu próprio dispositivo”) não estão isentas de responsabilidade pelo vazamento ou utilização de dados mesmo nesses casos. Esse aspecto reforça a importância de ter um programa de segurança da informação para dispositivos móveis que respeite a lei. O tratamento das informações pessoais precisa ser feito dentro das especificações da LGPD.

E como a SAFIRA responde à LGPD?

Todos os dias, nós temos acesso a dados sensíveis dos usuários das cerca de 100 mil linhas de telefonia das mais de 80 empresas que gerenciamos: não somente de comportamento de uso de voz e dados celulares, como também de aplicativos utilizados e até localização (dependendo do tipo de gestão que realizamos). Por este motivo, participamos ativamente de fórums e discussões sobre a aplicação da LGPD.

Mesmo antes de a LGPD se tornar o que é hoje, nós já trabalhávamos ativamente em um planejamento de gestão para manter a compliance de dados, além da importância de estarmos alinhados com o contexto de Transformação Digital.

Algumas das adaptações que estamos realizando hoje são, por exemplo, pedir autorização diretamente ao usuário para que possamos capturar dados específicos que nossos aplicativos de negócios enviam diretamente a nossas plataformas de inteligência. Os dados capturados são tratados por nossos software com o intuito de otimizar recursos das operações de telecom e ajudar os colaboradores a melhorarem sua performance no ambiente corporativo.

Por prática interna e contratos estabelecidos com nossos clientes, uma vez que os serviços são rescindidos, adotamos como prática excluir imediatamente todas as informações levantadas ao longo do período de prestação dos serviços.

A LGPD ainda exige que tenhamos um “encarregado” definido (nome dado pela lei), que será a pessoa incumbida pela segurança do tratamento de dados coletados. Assim que a legislação entrar em vigor, sua identidade e informações de contato estarão disponíveis publicamente no site da SAFIRA. Privacidade e transparência sempre foram muito importantes para nós.