A Lei promove uma mudana de paradigma e exige o esforo para o estabelecimento de uma nova cultura. O regime jurdico que ela institui se diferencia por ser essencialmente principiolgico, de normas abertas – ela no determina as aes especficas a serem adotadas pelos agentes de tratamento de dados, mas d os parmetros a serem seguidos e estabelece os resultados a serem alcanados.

Incumbe ao agente de tratamento de dados avaliar a sua atividade, o risco que ela apresenta para os titulares das informaes pessoais que ele utiliza e ento eleger e implementar as medidas que entender necessrias e suficientes para proteger a privacidade e os direitos destas pessoas.

Trata-se de um mecanismo no qual se assenta a LGPD, denominado Abordagem Baseada no Risco, que torna o regime modulvel e confere liberdade ao agente de tratamento para instituir as medidas que melhor se ajustem ao seu modelo de negcio, considerados o contexto do tratamento, o volume e as categorias de dados pessoais envolvidos, visando sempre sua proteo.

Tradicionalmente, medidas de segurana da informao so utilizadas para a proteo das informaes da organizao, com direcionamento daquelas mais robustas para as informaes sigilosas ou estratgicas.

Se antes, o foco na proteo da informao empresarial, induzia a critrios baseados na convenincia do negcio, a LGPD acaba por impor um novo foco e, consequentemente, uma alterao ou adio de critrios na implementao das medidas de segurana, uma vez que elas devem estar voltadas proteo de terceiros – os titulares dos dados pessoais.

Esta nova realidade introduz maior rigor no tratamento das informaes internas, quando se tratar de dados pessoais. No preciso que haja a violao dos pilares tradicionais da Segurana da Informao – quebra da confidencialidade, da integridade ou da disponibilidade da informao – para que se configure um incidente de segurana com dados pessoais. Basta que o seu tratamento pela organizao se realize em desconformidade com a LGPD.

Um exemplo o do o informao de natureza pessoal. Ele deve ser segmentado, com autenticao de quem a, mediante o uso de senha individual e intransfervel, e com registro do que foi feito, para que seja auditvel. Somente deve ter o a dada informao pessoal quem, dentro da organizao, tenha necessidade de o fazer, para cumprimento das suas atribuies, sob pena de se configurar o incidente de o no autorizado aos dados.

dever do agente de tratamento de dados proteg-los de o no autorizado e de situaes acidentais ou ilcitas, de uso indevido (art. 46 da LGPD).

O compartilhamento de senhas e o envio de informaes da empresa para e-mail pessoal so exemplos de situaes que j foram chanceladas pela Justia do Trabalho como aptas a ensejar a dispensa por justa causa, por improbidade e quebra da confiana. Se tais circunstncias eram pertinentes s grandes organizaes, com a LGPD a sua gesto a a constituir uma exigncia para toda e qualquer pessoa jurdica, bem como pessoa natural no exerccio de atividade econmica, no que tange a tratamento de dados pessoais.

A organizao precisa instituir as regras internas para segurana dos dados, informar e treinar os colaboradores, alm de proceder a alteraes nos respectivos contratos, bem como proceder responsabilizao daqueles que as descumprirem, como forma de implementar os princpios da proteo de dados pessoais.

Situaes que antes no suscitariam preocupaes de sigilo por parte da organizao aram a estar no foco das medidas de segurana da informao quando h dados pessoais envolvidos. A proteo dos direitos e liberdades dos titulares dos dados deve-se fazer em primeiro plano, j que o princpio do privacy by design impe a considerao da proteo de dados desde a concepo do produto ou servio.