AUTORIA

Ana Lacanna

TRADUÇÃO

GERENTE RESPONSÁVEL

DIRETOR RESPONSÁVEL

Hoje, podemos afirmar que os dados pessoais têm se tornado cada vez mais valiosos. Ao coletar dados, uma empresa ganha mais assertividade para oferecer seus produtos ao cliente que tem mais possibilidade de adquiri-los. Quando ocorre essa transação, outros dados são gerados para serem utilizados para outras finalidades e assim estabelece-se um ciclo infindável de geração de informações e oportunidades.

Isso é o que vem acontecendo em empresas como a Alphabet, Amazon, Apple, Facebook e Microsoft. Com a captura de dados dos seus usuários, o Google pode ver o que as pessoas pesquisam, o Facebook o que compartilham e a Amazon o que compram.

A afirmação de que os dados pessoais se tornaram mais valiosos é embasada pela divulgação dos diversos números a seguir:

  • 4,1 milhões de vídeos assistidos por dia no Youtube (Fonte: Data Never Sleeps)
  • 2 bilhões de usuários no Facebook (Fonte: Techcrunch)
  • 3,6 bilhões de buscas diárias no Google (Fonte: ANCHAM, 2019)
  • 3,7 bilhões de pessoas na internet (Fonte: ANCHAM, 2019)
  • 200 bilhões de reais. Brasil perderia até 2021 por não ter lei de privacidade (Fonte: ANCHAM, 2019)
  • 281 bilhões de e-mails enviados (2018) (Fonte: The Radicati Group Inc.)
  • 1 trilhão de dólares. Valor de mercado alcançado por Apple e Amazon (Fonte: ANCHAM, 2019)
  • 2,3 trilhões de dólares. Valor do fluxo de dados no PIB Mundial (Fonte: ANCHAM, 2019)
  • 2,5 quintilhões – dados gerados pela humanidade diariamente (Fonte: Estudo da Business Software Alliance – BSA)
  • USD 3,86 milhões – Custo médio total da consequência de um vazamento de dados pessoais

Uma vez compartilhado um dado, é impossível contê-lo. Mas da mesma forma que essa coleta pode ser benéfica para as organizações, também pode ser prejudicial. O Facebook é um bom exemplo disso.

A plataforma se envolveu em um escândalo junto com a empresa de ciência de dados Cambridge Analitica, após traçar o perfil e a personalidade de 50 milhões de eleitores dos EUA, permitindo com que Trump, atual Presidente da República, vencesse as eleições.

Como consequência deste cenário, medidas passaram a ser tomadas para que houvesse o consentimento dos usuários antes dos dados serem compartilhados. A Europa foi a responsável por essa mudança, ao criar a lei que regulamenta a proteção de dados, o GDPR (General Data Protection Regulation).

A lei tem o objetivo de regulamentar como as empresas podem utilizar, armazenar e compartilhar os dados dos seus clientes, funcionários e usuários de sistemas digitais.

Na Europa, a necessidade de sigilo é muito levada a sério. As empresas europeias têm até 72 horas para comunicar ao usuário um eventual vazamento de dados.

Além disso, o titular dos dados tem uma série de direitos. Ele pode solicitar o acesso e a portabilidade às informações, a retificação do dado, o bloqueio ou a eliminação de dados excessivos, a exclusão dos dados pessoais que já foram tratados, informações sobre o compartilhamento de dados ou a revogação do consentimento, por exemplo.

O fato é que a Europa está muito mais avançada neste assunto do que o resto do mundo, com destaque para a Alemanha, conhecida na Europa como o “berço da proteção de dados”. Os EUA, por exemplo, ainda não possuem uma lei que visa à proteção de dados. Por conta disso, algumas empresas no Brasil que possuem seus servidores na Europa os estão migrando, por exemplo, para o território americano visando reduzir custos financeiros, já que a lei exige uma adequação e burocracia que muitas organizações não querem implementar.

Mas o ponto positivo de todas essas mudanças, é que esse regulamento impulsionou a discussão sobre o tema no Brasil e fez com que o governo brasileiro tomasse medidas em relação aos dados dos usuários. No dia 14 de agosto de 2018, foi sancionada a Lei de nº 13.709/18 – Lei Geral de Proteção de Dados Pessoais (LGPD).

O que motivou a criação da lei no Brasil foi a falta de um marco regulatório específico sobre a proteção de dados, que deixava o país em uma posição delicada internacionalmente. Alguns aspectos exigidos pelo GDPR como, por exemplo, a reciprocidade da proteção aos dados pessoais não era atendida pela legislação brasileira.

A vigência da LGPD está prevista para agosto de 2020. Durante este período de 11 meses, as empresas precisarão se adequar às melhores práticas: estruturar um programa de governança em privacidade, criar uma equipe multifuncional de privacidade, realizar treinamentos para toda a organização, proceder com o data mapping dos dados pessoais que consiste do inventário dos dados e a verificação das bases legais utilizadas na coleta, revisar os contratos com parceiros, fornecedores e funcionários, tratar dos consentimentos dos titulares, criar protocolos de resposta e notificação de violação, entre outros.

Com a entrada em operação da LGPD, o território brasileiro contará com uma lei que dispõe sobre “o tratamento dos dados pessoais, inclusive nos meios digitais, por pessoa física ou jurídica, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Os dados pessoais são as informações de uma pessoa natural. Esses dados de maneira isolada ou agregada permitem a identificação de uma pessoa ou a categorização de algum tipo de comportamento, como nome, endereço, CPF, e-mail, idade, estado civil, situação patrimonial, entre outros.

São dados importantes que dizem respeito apenas à pessoa que os possui, assim como os dados sensíveis, que se referem às características que permitem a identificação dos donos desses dados, como a origem racial ou étnica, as convicções religiosas, opiniões políticas, organizações de caráter religioso, filosófico ou político, referentes à vida sexual, dados genéticos ou biométricos etc.

Então, é muito importante que haja um controle do tratamento dessas informações, que engloba toda a operação realizada com os dados pessoais, desde a entrada do dado, passando pelo período de permanência, até a sua saída.

Entre essas ações estão: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, alteração, transferência, difusão e extração.

Para a realização deste processo é necessário entender seus principais personagens e conceitos:

  • Titular: pessoa brasileira ou não. É quem possui os dados pessoais.
  • Controlador: pessoa física ou jurídica, privada ou governamental, que toma as decisões referentes ao tratamento dos dados.
  •  Operador: pessoa física ou jurídica, privada ou governamental, que realiza o tratamento dos dados pessoais em nome do Controlador.
  • Encarregado (DPO – Data Protector Officer): pessoa física ou jurídica, indicada pelo controlador e operador, que vai atuar como uma ponte e um canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados).
  • ANPD (Autoridade Nacional de Proteção de Dados): autoridade pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

Portanto, todos que lidam com dados pessoais devem respeitar a LGPD. A lei LGPD se aplica a todas as organizações dos setores público ou privado, de todos os portes e segmentos, e também às pessoas físicas que fazem uso de dados pessoais.

Sanções severas serão aplicadas às organizações que não se adequarem às práticas exigidas pela lei em relação à governança, política cibernética, segurança da informação, treinamento aos profissionais, conscientização e sensibilização dos colaboradores da importância da privacidade e sigilo dos dados, entre outras.

Essas sanções podem chegar à multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, limitada no total a R$50 MM por infração.

Diferentemente do GDPR, a LGPD não regulamentou de forma específica o prazo para que as empresas comuniquem à ANPD e ao titular dos dados, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A Lei menciona apenas que a comunicação deverá ser feita em “prazo razoável”, conforme definido pela autoridade nacional. 

Em quais circunstâncias a empresa poderá efetuar o tratamento de dados

A empresa pode realizar o tratamento de dados em diversos casos: quando tiver consentimento do titular dos dados, quando houver cumprimento de uma obrigação legal ou contratual, no exercício regular dos direitos, na execução de políticas públicas, na tutela da saúde, na prevenção à fraude, entre outros.

Lembrando que o tratamento de dados pessoais de crianças e adolescentes devem ser realizados em seu melhor interesse, como, por exemplo, para seguro saúde, seguro de vida, entre outros. Nestes casos, é necessário o consentimento dos pais ou de um responsável legal.

A lei trabalha muito a questão do princípio e, por isso, é preciso transmitir ao usuário que consentiu a finalidade da captura do dado, seja através da emissão de nota fiscal ou de um endereço para entrega, por exemplo. Ou seja, as empresas não podem coletar dados aleatórios sem uma efetiva necessidade. Caso isso aconteça, todos os setores poderão ser afetados.

A realidade da proteção de dados no Brasil

Desse modo, vemos que o desenvolvimento da proteção de dados está acontecendo aos poucos no Brasil e no mundo. Porém, apesar dessas medidas estarem ganhando espaço, esse tema ainda é embrionário em muitas empresas brasileiras.

As organizações estão, neste momento, exigindo das consultorias seminários e treinamentos de conscientização e sensibilização dos funcionários e demandando consultoria por diagnóstico.

Após a fase atual de diagnóstico, onde as empresas estão “arrumando a casa” e verificando onde estão os dados, os contratos, se há compartilhamento de dados ou se há consentimento, a próxima fase será a implementação da LGPD, onde serão estabelecidos os programas de governança, privacidade, políticas, softwares, revisão dos contratos, processos, realizados por uma equipe multifuncional composta por profissionais de TI, compliance e da área de direito.

As empresas precisam ter a consciência de que a LGPD não é um destino. É uma jornada contínua. As organizações devem estar constantemente atentas às questões de governança, privacidade, políticas, informações atualizadas, monitoramento contínuo e avaliações periódicas, que deverão ser cumpridas a pedido da ANPD.

Sendo assim, é necessária uma mudança geral na cultura da empresa, para que todos estejam conscientes da importância da proteção de dados e dos requisitos que acompanham a nova lei, pois ela gera impacto tanto para as organizações como para os clientes e funcionários.

Leia mais em entrevista da Bip à Revista Brasil Energia: https://bipbrasil.com.br/og-se-adapta-a-lei-de-protecao-de-dados/

Leia Também

Ativos Virtuais

Ativos virtuais são a representação digital de valor que pode ser negociada ou transferida por meios eletrônicos e utilizada para realização de pagamentos ou com propósito de investimento

Leia +

Ativos Virtuais

Ativos virtuais são a representação digital de valor que pode ser negociada ou transferida por meios eletrônicos e utilizada para realização de pagamentos ou com propósito de investimento

Leia +

Ativos Virtuais

Ativos virtuais são a representação digital de valor que pode ser negociada ou transferida por meios eletrônicos e utilizada para realização de pagamentos ou com propósito de investimento

Leia +