Em vigor desde ano passado, a Lei Geral de Proteção de Dados (LGPD) passou a uma nova etapa, no último dia 1º de agosto. Daquela data em diante, quem violar direitos ou descumprir obrigações no processo de coleta e tratamento de dados de usuários está sujeito a punições que vão de advertências a multas de até R$ 50 milhões, limitadas a 2% do faturamento, no caso das empresas.
A nova legislação confere ao cidadão comum a titularidade de seus dados, podendo ele consentir ou não que empresas e órgãos públicos utilizem dados pessoais como nome, telefone, CPF, informações bancárias, bem como dá ao usuário também o poder de decidir a forma como tais informações serão usadas e avança na chamada cibersegurança.
Por outro lado, a LGPD impõe novos desafios às empresas que operam com esses dados. Elas precisam ter, por exemplo, um profissional ou representante encarregado também chamado de DPO (da sigla inglesa Data Protection Officer), na lida diária com tais informações. Para ajudar a explicar como organizações de diferentes portes podem transformar o que parece custo e risco em oportunidade, O POVO consultou especialistas nas áreas tecnológica, jurídica, econômica e administrativa.
Segundo o sócio-líder de cibersegurança e privacidade da PwC Brasil, Eduardo Batista, "a principal mudança na relação entre o consumidor e empresa é a transparência". Usos abusivos e não transparentes, vazamento de dados não comunicados e até compartilhamentos indevidos podem gerar sanções.
Ele pontua, contudo, que “a empresa pode se beneficiar dos programas de privacidade para estabelecer relação de confiança com seus clientes e se diferenciar no mercado em relação aos seus concorrentes".
Conforme a pesquisa mais recentemente divulgada quanto ao grau de preparação das empresas brasileiras para cumprirem as normas da LGPD, feita pela RD Station apenas 15% das corporações se consideram prontas ou em reta final de adequação à nova legislação.
De acordo com o Data Protection Officer (DPO na sigla em inglês ou encarregado dos dados) da Morphus, Paulo Nascimento, o primeiro ponto é estabelecer o encarregado, além do comitê de privacidade e proteção de dados pessoais. "Para começar, a empresa precisa ter um responsável por esse processo de governança, e esse responsável deve ser o encarregado juntamente com o comitê”.
Ele explica que a função do encarregado pode ser exercida tanto por um colaborador da empresa quanto por uma pessoa jurídica que execute o serviço de forma terceirizada.
“O encarregado atua como canal entre o controlador (dono da empresa), os titulares (clientes, funcionários, fornecedores) e a Autoridade Nacional de Proteção de Dados (ANPD)”, destaca Nascimento
“Esse profissional precisa ter sensibilidade quanto à complexidade e à quantidade dos dados tratados na organização. Ele precisa ainda ter conhecimentos de segurança da informação e conhecimentos profundos sobre a LGPD”, acrescenta.
A ANPD, a propósito, é a agência criada para regulamentar e fiscalizar o cumprimento da LGPD, bem como aplicar as punições a quem desrespeitá-la.
De acordo com o presidente da Associação Brasileira de Advogados no Ceará, Andrei Aguiar, “a base legal para o tratamento de dados tem como principal caminho o do consentimento do usuário.
Então, você pode pegar informações do seu cliente, por exemplo, e fazer uma base de dados para divulgar uma promoção? Pode, desde que haja o consentimento. Se não houver, você somente pode mantê-las, em casos excepcionais, para cumprir algum tipo de obrigação legal”.
Apesar de parecer complexo, o processo pode ser feito até mesmo usando canais digitais de uso popular.
“Para tratar dados ou você pega por escrito ou por alguma ferramenta que comprove que o consentimento foi dado. Por exemplo, você cria um grupo de WhatsApp para divulgar as promoções da tua loja. Nesse grupo, se você mandar o convite para a pessoa entrar no grupo, ela entrar e você explicar: - Gente, isso aqui é um grupo para que os clientes fiquem recebendo mensagens sobre as nossas promoções, tudo certo? Se a pessoa concordar com aquilo, você já tem como comprovar legalmente que ela consentiu”, exemplifica.
Wandemberg Almeida, membro do Conselho Regional de Economia do Ceará (Corecon-CE) ressalta, por sua vez, que além do usuário comum também os investidores devem se beneficiar de um ambiente de negócios com mais segurança jurídica e cibernética.
“Essa maior proteção dos dados vai levar a uma melhor oferta de crédito e de investimentos. E aí começa realmente a ter uma interação maior entre as instituições financeiras e os investidores, tendo em vista a disponibilidade informações agora mais fidedignas”, projeta.
Ele conclui afirmando que “as empresas têm de olhar para a proteção de dados não como uma despesa adicional, mas como um investimento que vai proporcionar uma valorização maior do cadastro do seu cliente. Não vai ter mais aquela disponibilização para qualquer outra empresa, ‘roubar’ os dados dele e você acabar o perdendo”.
Para micro e pequenas empresas, as questões financeiras e a falta de um profissional com expertise jurídica ou tecnológica na equipe podem ser os maiores gargalos na adequação à LGPD.
Contudo, para médias e grandes empresas um dos principais desafios é envolver diversas unidades e um grupo muito grande de colaboradores na mudança da política de proteção de dados.
O diretor de Infraestrutura e Tecnologia da Informação dos Mercadinhos São Luiz, Márcio Falcão, conta que a empresa fez um trabalho de conscientização do pessoal em relação à segurança de dados. "Temos feito palestras, seminários, campanhas, lives, então, estamos sempre alertando para essa questão porque ela é a mais importante”..
Ele lembra que a rede foi uma das pioneiras na automação comercial, na tecnologia de transferência eletrônica de fundos, na utilização do sistema operacional Linux, na tecnologia de autoatendimento e no acesso remoto aos sistemas da empresa para que colaboradores pudessem executar funções em home office. Apesar desse histórico, a empresa trabalha há quatro anos com um data center terceirizado.
“O elo mais fraco de toda a cadeia de segurança da informação é exatamente o usuário, ele é mais suscetível a falha. Estamos em alerta e contamos com o usuário, que para a gente é um parceiro. A opção de migrar para um data center terceirizado é fazer melhor o que a gente sabe. Sabemos atuar tecnologicamente em supermercado, então, queríamos focar na tecnologia do nosso negócio”, explica Falcão.
O profissional destaca, por fim, que “os principais benefícios com a política de proteção de dados é a garantia da utilização e a nossa responsabilidade de tratar os dados dentro do que foi acordado com cada um desses parceiros, clientes, colaboradores, fornecedores. A gente vê isso como uma garantia para a correta utilização dos dados”.
>> Ponto de vista
Elnivan Moreira de Souza (*)
No dia 13 de agosto de 2018 foi sancionada a Lei 13.709, também conhecida como a Lei Geral de Proteção de Dados Pessoais (LGPD). Desde o dia 1º de agosto de 2021, conforme previsto na Lei, as empresas que não cumprirem os requisitos nela estabelecidos podem sofrer sanções que vão de advertência, a multas que podem chegar a 50 milhões de reais.
O principal problema é que a LGPD estabelece o que pode e o que não pode ser feito, mas é omissa sobre “como” fazer e “como” evitar o que nela é vedado. A própria Autoridade Nacional de Proteção de Dados (ANPD), órgão fiscalizador da lei, não indica de forma objetiva como esses procedimentos devem ser materializados.
Visando minimizar esse problema, apresento alguns pontos relevantes para auxiliar micro e pequenos empreendedores para adequar suas atividades aos requisitos da LGPD. De forma geral, a LGPD dispõe sobre o tratamento de dados pessoais, incluindo os meios digitais.
No que se refere ao âmbito da gestão, um dos fundamentos da LGPD são o “desenvolvimento econômico e tecnológico e a inovação”. Contudo, esse fundamento não pode se sobrepor a outros de natureza individual, como o respeito à privacidade; a inviolabilidade da intimidade, da honra e da imagem; e a defesa do consumidor. Portanto, a empresa deve assegurar a seus clientes e colaboradores a garantia ao anonimato e só utilizar os dados de clientes e colaboradores mediante consentimento.
As atividades de tratamento dos dados pessoais deverão observar 10 princípios estabelecidos pela LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
Percebam que, dos 10 princípios, a finalidade é o mais relevante, pois é a partir dela que se desencadeia a maior parte dos demais princípios. Sendo assim, assegure-se de que não irá utilizar os dados para finalidade diversa à estabelecida no termo de consentimento.
Outra dúvida: Quem faz o tratamento desses dados? Há duas figuras: o controlador e o operador. Em nosso caso, o controlador é a empresa e o operador a pessoa indicada pela empresa. O contato do operador indicado pela empresa deve ser divulgado em local de fácil acesso, preferencialmente no site da empresa.
As principais atividades do operador são: acolher solicitações e reclamações dos clientes, adotar providências necessárias; recepcionar órgãos fiscalizadores; orientar funcionários, colaboradores e outros parceiros da empresa.
Além do Termo de Consentimento, outro documento que as empresas precisam elaborar é o Relatório de Impacto à Proteção de Dados Pessoais. Observados esses pontos, sua empresa reduzirá bastante as chances de ser autuada por descumprir a LGPD.
(*) Doutor em Administração, coordenador de Pesquisa e professor do curso de Administração do Centro Universitário Christus
>> Entrevista
Karina Gaya (*)
O POVO - Quais são os principais pontos que uma empresa deve atentar para se adequar à Lei Geral da Proteção de Dados (LGPD)? Como agir, por exemplo, em caso de vazamento de dados?
Karina Gaya - Inicialmente, entender que dado pessoal é toda e qualquer informação relacionada a pessoa física identificada ou identificável e que a LGPD visa proteger o tratamento desses dados. A empresa deve entender onde estão os dados pessoais em cada setor, quais medidas de proteção são adotadas e fazer um planejamento de adequação dos seus procedimentos à Lei.
Em caso de vazamento de dados, entendendo-se vazamento como um incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais, além de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, a empresa deverá fazer uma comunicação à Autoridade Nacional de Proteção de Dados Pessoais (ANPD), bem como ao titular dos dados afetados, nos termos da LGPD.
OP - Nesse sentido, qual a importância da figura do encarregado (ou DPO)? Ele deve ser necessariamente um profissional de Tecnologia da Informação?
KG - Pela LGPD, o Encarregado de Dados tem como principal missão atuar como como canal de comunicação entre a empresa, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD), que, inclusive, já pode aplicar sanções administrativas. O DPO é importante para atuar, juntamente com uma equipe multidisciplinar, visando as medidas de adequação da empresa à LGPD, especialmente adoção de práticas a serem tomadas em relação à proteção de dados pessoais. Este profissional não precisa ser necessariamente da área de TI, alguns possuem formação jurídica e outros em Segurança da Informação. É importante o sólido conhecimento da Lei Geral de Proteção de Dados e o suporte de uma multidisciplinar.
OP - Além de definir responsabilidades às empresas quanto à proteção de dados, inclusive com a possibilidade de punição com multas pesadas, a LGPD pode trazer uma cultura de maior atenção à cibersegurança dentro do ambiente organizacional?
KG - Com certeza, pois a LGPD traz em seu texto a obrigação adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
OP - Do ponto de vista do usuário, o que ele deve ganhar com a LGPD? Como ele pode fazer para realmente usar a lei como instrumento para ter mais segurança dos seus dados pessoais e sensíveis?
KG - O usuário, entendido na Lei como titular de pessoais, passa a dispor de um órgão regulador voltado especialmente à proteção de seus dados pessoais, que é a ANPD, que pode ser acionada diretamente em caso de violação à lei. O titular também passa a dispor de mecanismos de consulta perante os agentes de tratamento de seus dados pessoais, que devem facilitar seu livre acesso, por meio de consulta facilitada e gratuita. O titular tem direito a revogar o consentimento que tenha dado para realização do tratamento de seus dados e, também, deve ser informado, além de portabilidade e revisão de decisões automatizadas.
OP - Para finalizar com a previsão de transferência internacional pode ajudar a melhorar a cooperação entre diferentes países no sentido de um mundo mais ciberseguro?
KG - A LGPD não impede a transferência internacional de dados pessoais, porém sob determinadas condições, como por exemplo: somente pode ocorrer para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na própria LGPD, quando o controlador dos dados pessoais oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, dentre outras.
Ou seja, o nível de proteção de dados do país estrangeiro ou do organismo internacional será premissa de autorização para realização para a transferência internacional de dados, de forma a tornar o mundo mais ciberseguro.
(*) DPO da Golden Technologia e Sócia da Cabral e Gaya Advogados