O que é a LGPD e como essa lei é aplicada na VERT?

A inserção dos meios digitais no cotidiano da população, incentivou e, em alguns casos, obrigou, a transação diária de um número exorbitante de dados pessoais, seja por meio de compras, redes sociais, pesquisa, trabalho, estudos... Cada movimentação de um usuário na internet exige ou gera dados (e-mail, endereço, registro de transações, número de cartões, histórico de navegação, entre outros).  Até pouco tempo atrás, não existia uma lei específica que garantisse que essas informações estavam sendo protegidas e que os usuários tinham controle sobre a forma como seus dados estavam sendo usados. 

Com o número de golpes e reclamações crescendo cada dia mais, tornou-se essencial a criação de uma norma. Assim surgiu a Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018 e em vigor desde setembro de 2020. A LGPD define regras para o tratamento de dados pessoais — coleta, processamento, armazenamento e compartilhamento — por qualquer instituição privada ou pública e pessoa física ou jurídica. Uma das principais exigências da lei é a implementação de sistemas que façam o mapeamento e gestão segura dos dados tratados
 

A VERT realiza o tratamento de dados pessoais tanto dos colaboradores quanto dos tomadores de crédito, parceiros, investidores e demais envolvidos nas operações de securitização. Portanto, a base de informações que a empresa possui é grande e os colaboradores lidam com dados diariamente. 

Vivian Costa, DPO da VERT, expõe que as empresas foram obrigadas a se adequar à LPGD, mas muitas o fazem apenas para “cumprir tabela”, sem uma real preocupação com os direitos dos titulares de dados. “A VERT tem uma visão diferente, a própria cultura da empresa defende a garantia de privacidade e  proteção de dados  e os vê como prioritários nesse processo”, declara.
“Tanto que nós fizemos um treinamento interno sobre LGPD com a intenção de instruir e alertar nossos colaboradores, não só sobre o tratamento de dados dentro da VERT, mas no cotidiano deles, para que tomem os cuidados necessários com os próprios dados pessoais, a forma como compartilham e com quem compartilham seus dados”, relatou Costa.
 

Apesar de a Autoridade Nacional de Proteção de Dados ainda não ter dado início à aplicação de sanções, a DPO da VERT explica que isso não muda o interesse da empresa em cumprir a LGPD desde já e mitigar ao máximo os riscos de vazamento de dados ou quaisquer outros problemas que possam ter com dados. “Claro que existe um olhar financeiro sobre isso, voltado a mitigar os riscos de sermos multados, mas acredito que a prioridade aqui é realmente garantir esses direitos às pessoas que compartilham seus dados com a gente”, explica. 

Vivian comenta que, pela VERT ser uma empresa do mercado financeiro que lida com dívidas, se uma base de dados de credores vazasse, por exemplo, os prejuízos poderiam ser muito grandes “porque alguém pode pegar essa base, mandar um boleto falso, pode sugerir um desconto, pode oferecer um empréstimo... isso tudo é bastante prejudicial para o titular de dados”.

A DPO conta que a primeira ação da empresa no sentido da proteção de dados foi garantir que todos os sistemas que utilizam são seguros. Todas as bases de dados possuem restrição de acesso e ferramentas de segurança que garantem que os dados estão seguros. A segunda ação foi criar mecanismos para garantir a transferência segura de dados pessoais, para isso, nas comunicações com parceiros e prestadores de serviço, os dados pessoais são intercambiados da forma mais segura possível, preferencialmente via Buckets na Amazon S3, ou com uso de criptografia. 

“Quando recebemos dados de forma incompatível com as políticas de segurança da informação da VERT, nosso time é instruído a notificar o cliente/parceiro de que essa não é a forma correta de fazer a transmissão de dados. Nós temos essa preocupação em garantir, para além da segurança do que está armazenado, que as transferências de dados entre parceiros e a VERT se dê da forma mais segura possível. Quando não é possível fazer por bucket, fazemos criptografia”, relata Vivian Costa.

Atualmente, a VERT possui um programa de privacidade, para além das políticas de segurança, política de proteção de dados e privacidade, há uma governança das diretrizes e dos procedimentos, para mantê-los sempre atualizados. Uma das exigências da Lei Geral de Proteção de Dados é exista um registro do tratamento dos dados. 

“Para garantir isso, nós fizemos entrevistas com todas as áreas que realizam tratamento de dados pessoais e realizamos um registro dessas atividades de tratamento. O mapeamento engloba: qual é a atividade que a área executa que tem tratamento de dados, quais são os dados pessoais tratados, qual é a base legal que justifica esse tratamento, como os dados em questão chegam até a VERT, como ficam guardados, por quanto tempo esses dados ficam na base, qual é o tipo de transferência e se existe um compartilhamento desses dados com terceiros ou mesmo dentro da VERT com outras áreas. As áreas ainda foram instruídas a notificar qualquer nova atividade que envolva tratamento de dados pessoais e registrarem essas informações do mapeamento”, conta a DPO da VERT.

A partir desse primeiro material, foi identificado quais eram as vulnerabilidades que existiam em cada área e criado um plano de ação para cada uma delas, para garantir a segurança desses dados. Paralelamente a isso, a empresa está aplicando um princípio da LGPD chamado “Privace By Design”, que é basicamente garantir que a privacidade seja um valor aplicável a qualquer sistema ou produto que a companhia queira desenvolver, desde sua origem. 

Vivian reitera a preocupação da VERT com a pauta e anuncia que a empresa está criando um Comitê de Segurança da Informação e Privacidade de Dados, “ele já tem o regimento escrito e já foi aprovado pela diretoria, agora falta formalizarmos e darmos início aos encontros. A ideia desse Comitê é discutirmos possíveis pontos de vulnerabilidade que sejam identificados no tratamento de dados, discutirmos quais iniciativas de negócio podem ter impacto no que diz respeito à LGPD, posicionamento, entre outras várias discussões que tenham relação com o tema”.