Estamos caminhando rapidamente para um mundo onde tudo e todos à nossa volta estarão conectados, 24 horas por dia, todos os dias da semana. Isso porque a tecnologia está muito presente no nosso dia a dia, apesar de passar despercebida em muitas situações, seja usando um app que mostra o caminho mais rápido para casa, na procura por cotações de passagens aéreas ou por meio do chat de atendimento online de um determinado site, por exemplo. Contudo, quando acessamos a Internet, a Internet também se conecta com a gente. É uma relação de troca: oferecemos alguns de nossos dados e ela retorna facilidades para a nossa vida. Mas você saberia dizer quantas empresas ou órgãos governamentais têm informações suas e como elas são usadas? Os gigantes como Google, Facebook e Whatsapp, por exemplo, sequer precisam cobrar pela utilização de suas plataformas, já que a moeda de troca que enriquece os essas plataformas não é o real ou o dólar, mas os dados pessoais dos seus usuários. Por esse motivo, é preciso estar atento. O que pode parecer uma operação inofensiva para ambos os lados, tem se mostrado um campo bastante delicado, que pode colocar em risco a privacidade e outros direitos dos usuários, bem como a reputação das empresas. No Brasil, um dos destaques mais recentes é a decisão que envolve a Netshoes. A empresa foi condenada a pagar R$ 500 mil em indenização por danos morais coletivos após o vazamento de dados de quase 2 milhões de clientes em dezembro de 2017. A sanção, divulgada na última semana (05), foi proposta pelo Ministério Público do Distrito Federal e Territórios (MPDFT) em acordo firmado com a empresa. Outro recente caso de ciberataque envolveu a C&A, uma das maiores varejistas de roupas do país, que teve seus sistemas invadidos com roubo de informações relacionados ao Cartão Presente da marca. Hackers tiveram acesso a dados como número do cartão, CPF, e-mail, e-mail do funcionário que fez a transação, número do pedido, valor e data da compra. Diante desse cenário, foi sancionada a Lei Geral de Proteção de Dados, também conhecida como LGPD, que destina-se a regular a utilização, proteção e transferências de dados pessoais no Brasil. Com essa lei, seguindo os moldes do regulamento europeu, o país passou a fazer parte do pequeno grupo que possui legislação capaz de proteger a privacidade de dados pessoais em larga escala. As novas regras entram em vigor a partir de 2020, quando também começará a aplicação das sanções pela ANPD, a Autoridade Nacional de Proteção de Dados, que será elemento-chave na proteção de dados e terá a função de fiscalizar empresas e órgãos públicos para garantir que todos atendam as normas legais. Isto inclui garantir punições para casos de vazamento e mal uso de informações pessoais de usuários brasileiros. Com isso, vislumbra-se um cenário completamente novo para as empresas que operam com dados - basicamente todas, atualmente. Tratando-se de uma empresa que lida com o consumidor final, ela precisa de dados dos consumidores. Tratando-se de uma empresa que tem empregados, precisa de dados dos funcionários para folha de pagamento, holerites, etc. Tratando-se de uma empresa que lida com outras empresas, terá os dados do próprio parceiro comercial, como CNPJ, sede, sócios etc. Mas, afinal, de que maneira a LGPD irá impactar o mercado? Caterina Carvalho, advogada na Scharlack Advogados, explica que “o primeiro passo e grande desafio das empresas será rever e estudar novas práticas internas. É preciso analisar como está sendo feita a captação e armazenamento de dados atualmente, e como adaptá-las às novas regras aplicadas pela LGPD. Além disso, é preciso planejar e entender quais tecnologias envolver para garantir a conformidade com a nova Lei no tratamento e armazenamento dos dados coletados.” Além disso, é preciso estar atento aos principais pontos da nova Lei. O escopo de aplicação da LGPD Serão alvo da lei toda e qualquer empresa que precisar coletar, armazenar, tratar ou compartilhar dados pessoais dos usuários, que vão desde nome e e-mail até número de cartão de crédito. Isso significa que estão envolvidas as plataformas digitais, e-commerces, lojas de varejo e até empresas de recursos humanos, por exemplo. Lembre-se: quase tudo é um dado. Ou seja, você provavelmente precisará se atentar à LGPD. A Autoridade Nacional de Proteção de Dados Ainda que as novas regras para proteção de dados sejam aplicadas a partir de 2020, a ANPD já está em vigor. O órgão tem entre suas atribuições zelar pela proteção dos dados pessoais, editar normas e procedimentos sobre o tema e aplicar sanções em caso de descumprimento de regras, que incluem multa diária de 2% do faturamento limitado a 50 milhões, bloqueio ou eliminação de dados tratados de maneira irregular e suspensão ou proibição do banco de dados ou da atividade de tratamento. O profissional encarregado da Proteção de Dados Pessoais É exigência da LGPD que seja definido um encarregado interno, de preferência um especialista em proteção de dados pessoais ou de inteligência, que será designado para servir como ponte entre os titulares dos dados pessoais, as empresas coletoras de tais dados e a autoridade nacional, a ANPD. Este profissional será responsável pela comunicação dos agentes da cadeia de tratamento de dados, podendo eventualmente elaborar relatórios, avaliando riscos à segurança da informação, sugerindo medidas para mitigar a vulnerabilidade e impacto à proteção de dados pessoais. O encargo, contudo, não é mais referenciado como contratação celetista ou de exclusividade de uma pessoa natural, mas a atividade poderá ser terceirizada, seja para um escritório de advocacia, prestador de serviço ou grupo de trabalho especializado sobre o tema. Para se adequar à nova lei, é necessário que o atendimento à LGPD faça parte do plano de negócios da empresa. Isso porque será necessário identificar o banco dados pessoais coletados pela companhia, incluindo sua classificação, informações sobre quem controla, quem processa e como são transferidos e armazenados. Ainda, é preciso avaliar o nível de proteção de dados de todos os envolvidos, sejam colaboradores, clientes, parceiros ou terceiros. Após isso, será necessário definir e implantar medidas preventivas, políticas e governança de dados em toda a organização. Mas como delimitar esse conjunto de disciplinas internas? Obtenha o consentimento para o tratamento de dados É a principal exigência da LGPD e um dos pilares sobre o qual a legislação foi criada. A coleta de dados deve ser feita de uma forma clara e o titular das informações deverá estar de acordo e consciente do tratamento dos seus dados pessoais para uma determinada finalidade, que deverá sempre estar escrita de forma clara e destacada. Além disso, nos casos de comunicação ou compartilhamento de dados com terceiros, é preciso consentimento específico para o ato. Faça a revisão das políticas internas É preciso revisar as medidas de segurança adotadas pela organização para prevenir, detectar ou corrigir possíveis violações dos dados. Ao mesmo tempo que é de uma medida desafiadora, porque envolve a cultura da organização, é um passo importante que serve como atenuante em caso de eventual penalização administrativa. Elabore relatórios de impacto à proteção de dados pessoais Devem ser registradas todas as atividades de tratamento de dados, incluindo os dados processados, motivos, medidas de segurança adotadas, identificação dos agentes de tratamento etc. Revise contratos com fornecedores É preciso estabelecer novas cláusulas contratuais, exigindo a conformidade legal no tratamento dos dados pessoais, sob pena de responsabilização solidária. Por fim, lembre-se: a Lei Geral de Proteção de Dados não foi feita para dificultar a vida das empresas, mas sim proteger os dados pessoais dos usuários e garantir a conformidade das organizações em relação ao tema. A segurança de ambos deverá ser, a partir de agora, uma prioridade.
|