A Lei n० 13.709, de 2018 (Lei Geral de Proteção de Dados Pessoais (LGPD)) dispõe sobre o tratamento, com o fim econômico pelos agentes, dos dados pessoais, inclusive digitais.
No dia 01.08.2021 passou a valer os artigos 52, 53 e 54, da LGPD, com previsão de sanções administrativas para os infratores, como prazo para correção, multas de até 2% do faturamento e diária, publicização da infração, bloqueio e eliminação de dados, suspensão do banco de dados, suspensão ou vedação do exercício da atividade de tratamento de dados, etc.
Na dosimetria das penalidades serão considerados diversos aspectos, entre eles a existência de mecanismos internos para minimizar o dano e a implementação de boas práticas de governança.
Uma das prerrogativas para a abertura e funcionamento de organizações modernas, mesmo as pequenas e médias, é a existência de aparato mínimo de informática e telecomunicações (internet, wi-fi, rede de computadores, aplicativos para registro das operações e armazenamento dos dados, etc.).
Toda organização deve ter política mínima de informática, a ser seguida por todos os funcionários. Somente funcionários autorizados, com chaves e senhas registradas, podem acessar e atualizar os aplicativos e dados. Os acessos e alteração de dados devem ter histórico do ocorrido (nome e chave do funcionário, histórico das alterações realizadas, etc.). A organização deve ter política de cópia da base de dados, para garantir a continuidade do negócio, no caso de incidentes. A administração e os funcionários de informática devem agir no sentido de evitar interrupção dos sistemas nos horários de funcionamento do estabelecimento. Na dúvida, a empresa deve contratar consultoria para avaliar seus procedimentos de informática.
No caso de organizações maiores, com grande quantidade de dados, devem ter além do mínimo, acima mencionado, setores de governança incumbidos de tratar os dados. As bases de dados devem ser criptografadas, para evitar a leitura por terceiros não autorizados. Os incidentes, erros e problemas devem ser registrados, catalogados e tratados para solução. As alterações no sistema de informática somente podem ser feitas com autorização de setor específico, para garantia da aderência das alterações à política da empresa.
As ocorrências causadoras de danos (materiais e à imagem) e os acessos não autorizados à base de dados devem ter procedimento interno de averiguação. No caso da ocorrência ou suspeita do cometimento de crimes, devem ser adotados procedimentos jurídicos e policiais.
As falhas e fraquezas nas políticas internas de informática (acesso, tratamento de dados, segurança, etc.) sempre ocasionaram investidas de criminosos, mas, com a LGPD, passaram a poder caracterizar infrações e até acarretar punições. Com isso, as empresas devem adotar políticas internas aderentes à LGPD, certificadas por consultoria externa especializada.
