As mudanças no mercado com os avanços tecnológicos e grandes crimes de invasão e vazamentos de dados pelo mundo têm chamado a atenção para o valor dos dados individuais coletados. Você deve se lembrar, por exemplo, das denúncias de que a rede social Facebook teria vazado informações de 87 milhões de usuários para parceiros. Não é de se estranhar que, por conta desse cenário, uma tendência mundial de regulamentação destes dados esteja se consolidando.
No Brasil, a Lei Geral de Proteção de Dados é uma dessas iniciativas. Aprovada em agosto de 2018, ela entrará em vigor em 2020 e demanda a adaptação de todos os tipos de negócios que coletam, armazenam ou circulam dados de seus clientes, funcionários e fornecedores. Você não entendeu errado. Todos os tipos de negócios: desde dentistas que organizam as informações dos pacientes que atendem a empresas de logística com suas frotas e até, claro, empresas de tecnologia.
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) foi sancionada pelo então presidente Michel Temer em 14 de agosto de 2018. Fruto de um amplo debate sobre a segurança da informação, o texto determina regras para coleta e tratamento de dados de pessoas, empresas e instituições públicas. Além disso, também aponta os direitos dos titulares, as estruturas legais de fiscalização e as penalizações para quem não se adequar.
Em 2019, por meio de Medida Provisória, o atual presidente modificou alguns parâmetros, mas mantendo o prazo de adaptação até o início de 2020. Por isso, é essencial que todos os tomadores de decisões estejam cientes do que é preciso mudar. As empresas que descumprirem a lei podem receber multas de até 50 milhões de reais, de acordo com seus faturamentos.
Facebook e Cambridge Analytica
A LGPD foi desenvolvida a partir de experiências internacionais como o Regulamento Geral de Proteção de Dados (GDPR, em inglês), aprovado em 2016. Na prática, foi uma atualização de outra legislação, de 1995, depois da repercussão das perigosas relações entre Facebook e Cambridge Analytica.
As informações de 87 milhões de usuários teriam sido vazadas para a empresa consultoria e marketing político. Com os dados e sem autorização dos titulares, foram criadas campanhas políticas que, suspeita-se, tiveram influência nos resultados do plebiscito para a saída do Reino Unido da União Europeia e da eleição de Donald Trump para a presidência dos Estados Unidos da América (os dois eventos ocorreram em 2016).
Nesse cenário, a segurança dos dados pessoais, que já vinham sendo encarados como os principais ativos corporativos, ganhou relevância também para o público em geral. O serviço de streaming Netflix possui um documentário de elabora bem a discussão, além de trazer detalhes sobre a atuação da Cambridge Analytica. Chama-se “Privacidade Hackeada” (The Great Hack, 2019) e vale a pena conferir.
O que diz a lei brasileira?
Com a lei, toda coleta de informação deve ser claramente definida ao titular. Ou seja, é preciso explicitar a finalidade da coleta. Os titulares poderão requerer o acesso a todos os dados armazenados e, inclusive, solicitar a remoção dos que não estiverem de acordo. Também deverão ser informados os repasses das informações a terceiros. Decisões automatizadas a partir do tratamento dos dados, como análises de crédito, poderão ser revisadas pelos titulares.
Outro ponto crucial da legislação é o estabelecimento do que são os chamados “dados sensíveis”, que merecem maior cuidado. De acordo com a LGPD, dados sensíveis são aqueles “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”
Controlador, Operador e Encarregado
Para o correto manejo dessas informações, as empresas deverão contar com, pelo menos, um controlador, um operador e um encarregado. Eles serão responsáveis, respectivamente, pela tomada de decisão e tratamento dos dados; execução dos tratamentos. e a mediação entre as empresas, o público e as autoridades responsáveis.
O período de adaptação é imprescindível para que cada empresa faça um diagnóstico minucioso e construa sua própria estratégia de segurança da informação, levando em consideração os parâmetros da LGPD. A confiabilidade e a disponibilidade desses dados é fundamental para evitar crises e mitigar consequências que podem impactar desde a perda de rendimentos, reputação, processos legais ou, em última instância, multas de até 2% do faturamento (com teto de 50 milhões de reais).
Autoridade Nacional de Proteção de Dados (ANPD)
A ANPD, Autoridade Nacional de Proteção de Dados, será o ente governamental responsável pela fiscalização, controle e recepção das denúncias. Na configuração atual da lei, ela funcionará como uma espécie de agência reguladora, subordinada à presidência da república. As atividades iniciarão com a entrada da LGPD em vigor, ou seja, no ano que vem.
Todas essas mudanças têm impacto direto na rotina das empresas. Ou seja, é necessário criar uma Política Interna de Segurança da Informação ou, eventualmente, adaptar as existentes. Desde formulários digitais integrados, bancos de dados seguros, sistemas de ouvidoria e rápida resposta precisam ser desenvolvidos e incrementados.
Nesse sentido, o investimento interno na capacitação da equipe e a busca por parceiros eficientes deve estar no planejamento de todas as empresas, levando-se em consideração as proporções de cada caso.
Contratar uma consultoria para não correr riscos de multas e sanções futuras é uma decisão estratégica enquanto a lei ainda não está valendo. E a Any Consulting preparou um time multidisciplinar para ajudar empresas a se prepararem para a Lei Geral de Proteção de Dados. Aqui no blog, seguiremos abordando o assunto. Mas, caso já queira tirar dúvidas ou se aprofundar em entender a realidade do seu negócio, entre em contato com a gente!