Em vigor desde ano passado, a Lei Geral de Proteção de Dados (LGPD) passou a uma nova etapa, no último dia 1º de agosto. Daquela data em diante, quem violar direitos ou descumprir obrigações no processo de coleta e tratamento de dados de usuários está sujeito a punições que vão de advertências a multas de até R$ 50 milhões, limitadas a 2% do faturamento, no caso das empresas.
A nova legislação confere ao cidadão comum a titularidade de seus dados, podendo ele consentir ou não que empresas e órgãos públicos utilizem dados pessoais como nome, telefone, CPF, informações bancárias, bem como dá ao usuário também o poder de decidir a forma como tais informações serão usadas e avança na chamada cibersegurança.
Por outro lado, a LGPD impõe novos desafios às empresas que operam com esses dados. Elas precisam ter, por exemplo, um profissional ou representante encarregado também chamado de DPO (da sigla inglesa Data Protection Officer), na lida diária com tais informações. Para ajudar a explicar como organizações de diferentes portes podem transformar o que parece custo e risco em oportunidade, O POVO consultou especialistas nas áreas tecnológica, jurídica, econômica e administrativa.
Segundo o sócio-líder de cibersegurança e privacidade da PwC Brasil, Eduardo Batista, "a principal mudança na relação entre o consumidor e empresa é a transparência". Usos abusivos e não transparentes, vazamento de dados não comunicados e até compartilhamentos indevidos podem gerar sanções.
Ele pontua, contudo, que “a empresa pode se beneficiar dos programas de privacidade para estabelecer relação de confiança com seus clientes e se diferenciar no mercado em relação aos seus concorrentes".
Conforme a pesquisa mais recentemente divulgada quanto ao grau de preparação das empresas brasileiras para cumprirem as normas da LGPD, feita pela RD Station apenas 15% das corporações se consideram prontas ou em reta final de adequação à nova legislação.
De acordo com o Data Protection Officer (DPO na sigla em inglês ou encarregado dos dados) da Morphus, Paulo Nascimento, o primeiro ponto é estabelecer o encarregado, além do comitê de privacidade e proteção de dados pessoais. "Para começar, a empresa precisa ter um responsável por esse processo de governança, e esse responsável deve ser o encarregado juntamente com o comitê”.
Ele explica que a função do encarregado pode ser exercida tanto por um colaborador da empresa quanto por uma pessoa jurídica que execute o serviço de forma terceirizada.
“O encarregado atua como canal entre o controlador (dono da empresa), os titulares (clientes, funcionários, fornecedores) e a Autoridade Nacional de Proteção de Dados (ANPD)”, destaca Nascimento.
“Esse profissional precisa ter sensibilidade quanto à complexidade e à quantidade dos dados tratados na organização. Ele precisa ainda ter conhecimentos de segurança da informação e conhecimentos profundos sobre a LGPD”, acrescenta.
A ANPD, a propósito, é a agência criada para regulamentar e fiscalizar o cumprimento da LGPD, bem como aplicar as punições a quem desrespeitá-la.
De acordo com o presidente da Associação Brasileira de Advogados no Ceará, Andrei Aguiar, “a base legal para o tratamento de dados tem como principal caminho o do consentimento do usuário.
Então, você pode pegar informações do seu cliente, por exemplo, e fazer uma base de dados para divulgar uma promoção? Pode, desde que haja o consentimento. Se não houver, você somente pode mantê-las, em casos excepcionais, para cumprir algum tipo de obrigação legal”.
Apesar de parecer complexo, o processo pode ser feito até mesmo usando canais digitais de uso popular.
“Para tratar dados ou você pega por escrito ou por alguma ferramenta que comprove que o consentimento foi dado. Por exemplo, você cria um grupo de WhatsApp para divulgar as promoções da tua loja. Nesse grupo, se você mandar o convite para a pessoa entrar no grupo, ela entrar e você explicar: - Gente, isso aqui é um grupo para que os clientes fiquem recebendo mensagens sobre as nossas promoções, tudo certo? Se a pessoa concordar com aquilo, você já tem como comprovar legalmente que ela consentiu”, exemplifica.