Sim, sua empresa vai ter de passar pela LGPD, mas não é tão ruim quanto parece

Em 14 de agosto de 2018, o Presidente da República, Michel Temer, sancionou a Lei Geral de Proteção de Dados (LGPD). Lei 13.709: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Em 8 de julho de 2019, o Presidente da República, Jair Messias Bolsonaro, alterou a Lei anterior para dispor sobre a proteção de dados pessoais para criar a Autoridade Nacional de Proteção de Dados; além de dar outras providencias. Lei 13.853: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1

Olhando com outros olhos:

Os benefícios da LGPD vão além de simplesmente garantir maior confiabilidade e respeitar a privacidade, ou criar proteção contra vazamentos de dados. Vantagens e benefícios econômicos surgem com a nova Lei, é uma oportunidade de nivelar a competitividade das empresas brasileiras no mercado internacional.

A publicação da lei coloca o Brasil em uma lista de mais de 100 países que atualmente podem ser considerados adequados para proteger a privacidade e o uso de dados. A LGPD no Brasil tem relacionamento com a GDPR (General Data Protection Regulation) na Europa, e esta, por sua vez tem validade para empresas brasileiras quando existir oferta de bens e/ou serviços para indivíduos localizados na União Europeia assim como quando existir monitoramento de comportamento de titulares de dados na União Europeia.

Se a real possibilidade de proibição pela União Europeia de que empresas brasileiras tratem dados europeus não baste, a não adequação à LGPD implica em advertência e multa. Para algumas empresas isso pode ser insignificativo, mas imagine a publicação e repercussão na mídia com uma notícia sobre sua empresa estar infringindo esta Lei. Com certeza haverá prejuízos para sua imagem e marca, e estes podem ser significantes.

Ainda não está satisfeito?

Quer um exemplo prático do que acontecerá no Brasil? Tome como exemplo a notícia publicada em 12/07/2019 na revista Istoé Dinheiro. O Information Commissioner’s Office (ICO), agência que trata da proteção de dados e informações no Reino Unido, aplicou uma multa recorde no país, de 183 milhões de libras (cerca de US$ 230 milhões), contra a British Airways, por violação de dados de 500 mil passageiros, em 2018. Link: https://www.istoedinheiro.com.br/por-violacao-de-dados-british-airways-e-multada-em-us-230-milhoes/

Em ritmo acelerado:

Ou atrasado. É muito provável que os escândalos de vazamento de dados do Facebook, além de outras redes e empresas, tenham levado diversos países a acelerarem leis de proteção de informações pessoais. Depois que a União Europeia publicou seu Regulamento Geral de Proteção de Dados – GDPR – o Senado Federal aqui no Brasil aprovou o Projeto de Lei da Câmera, nº 53, de 2018, consolidando assim como a Lei Geral de proteção de Dados – LGPD. Link: https://www25.senado.leg.br/web/atividade/materias/-/materia/133486

Disposição:

A Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Alguns modelos de negócios devem passar por adaptações, mas não deixarão de existir. Entenda que isso não é responsabilidade da TI, nem do Jurídico, mas sim responsabilidade de todos, inclusive da diretoria e conselho administrativo. A transparência pode se tornar uma vantagem competitiva.

Fundamentos:

Em resumo, a Lei fundamenta-se no respeito à privacidade, a inviolabilidade da intimidade, da honra e da imagem; e a defesa do consumidor. No inciso V do Artigo 2º a Lei inclui o desenvolvimento econômico e tecnológico e a inovação.

O desenvolvimento econômico e tecnológico e a inovação é algo presente em empresas com visão de futuro focada no crescimento. De fato em muitos ambientes a tecnologia é a espinha dorsal para o acesso e interação direta de clientes, fornecedores, parceiros de negócios e colaboradores. Não é possível pensar em proporcionar uma experiência positiva sem pensar no ambiente e sua infraestrutura tecnológica.

Um adendo: o profissional que não pensa fora da caixa está fora do mercado, esta é a realidade. Pensar fora da caixa faz a diferença em um projeto muito bem elaborado e de sucesso e mantém o profissional empregado e competitivo. Isso é indiscutível. Um bom profissional custa caro e para minimizar os impostos pagos, e diminuir o vínculo empregatício, muitas empresas contratam os colaboradores na modalidade de Pessoa Jurídica (PJ). Na área de TI isso é comum. Alguns são contratados em projetos específicos através de uma cooperativa a qual deve se filiar, outros em contratação direta mediante contrato de trabalho que repassa autonomia para o desempenho das funções no cargo que ocupa.

Aqui vai uma dica a estes profissionais: verifique seu contrato de trabalho pois você como um colaborador na modalidade PJ tem responsabilidades e poderá ser elegível em algum aspecto da Lei.

Aplicabilidade:

Aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que os tratamentos dos dados sejam realizados no Brasil, a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços, assim como quando os dados tenham sido coletados no Brasil, a pessoa ou empresa esteja prestando serviço no Brasil e os dados tenham sido processados no Brasil.

Alguma empresa foge disso? Dificilmente!

Quando não se aplica:

Em resumo, para fins exclusivamente particulares e não econômicos, para fins exclusivamente jornalístico, artísticos e acadêmicos; ou ainda para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais.

Considerações:

Dados pessoais: informação relacionada a pessoa natural identificada ou identificável.

Dados pessoais sensíveis: são dados relacionados à personalidade e escolhas pessoais, como religião, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dados anonimizados: são relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis no momento do tratamento.

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

E o que é tratamento de dados pessoais?

A lista é extensa. Considera-se toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Leia novamente a lista acima. Tem algum item que sua empresa não se enquadre? É provável que não.

Por que é tão difícil e complexo?

A segurança da informação é um quesito que tem grande peso e correlação com a nova Lei. Um termo conhecido aos profissionais de TI é “defesa em profundidade”, que na realidade é um termo emprestado dos militares, que se refere a táticas empregadas para criar camadas de defesas para impedir o progresso de um atacante, forçando-o a esgotar seus recursos disponíveis, em outras palavras, é destinado a identificar, mitigar e erradicar ataques.

Não basta mais estar seguro, sua empresa precisa mostrar que está segura. Por mais forte que um mecanismo de segurança possa parecer, não se deve depender apenas dele, do contrário, um único mecanismo de segurança com problemas pode comprometer a segurança como um todo.

Além disso, nas organizações é comum ter dados estruturados e não estruturados, com perfis ou hierarquias distintas de acesso aos dados, e registros contínuos de eventos para fins de auditoria. O backup e o armazenamento são tão comuns que as vezes nem se pensa em criptografa-lo. Lembre-se de que quando solicitada a remoção dos dados, ela deve ser permanente, inclusive dos backups.

É demorada e morosa a análise de todas as atividades de tratamento de dados. Identificar os tipos de coleta ou a forma de obtenção de consentimento envolverá várias pessoas e setores. Várias medidas de segurança poderão ser envolvidas a fim de se ter um diagnóstico de governança e segurança de dados. É enorme o trabalho de adequar os procedimentos internos e criar um compliance para assegurar a obtenção e conformidade das autorizações necessárias ao tratamento dos dados observando todas as obrigações legais.

E por fim, os parceiros de negócios são envolvidos no cumprimento dos procedimentos que asseguram a ampla informação dos titulares e aí poderá entrar a revisão e criação de documentos, políticas e processos. Isso demora.

O tratamento dos dados deve observar:

Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; ou seja, os mesmos que foram informados ao titular no momento da obtenção do consentimento.

Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; ou seja, deve-se processar somete os dados que são necessários para atender a finalidade.

Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios, ilícitos e abusivos.

Observe no artigo 7º da Lei, que o direito dos titulares é algo excelente para quem é titular, e algo complexo para quem detém e trata os dados. O consentimento do titular é pré-requisito em muitas ocasiões, além de que que, no Artigo 8º está explícito que deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

Dentre outros direitos dos titulares, temos o direito de obter do controlador a confirmação da existência de tratamento; o acesso aos dados; a correção de dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou eliminação de dados desnecessários; a portabilidade dos dados a outro fornecedor de serviço ou produto; a eliminação dos dados; e a revogação do consentimento.

Dicas valiosas:

É notado que muitas empresas já começaram a adequação, estão antecipando a dor de cabeça. Não sou especialista no assunto, entretanto, após participação em alguns eventos sobre a Lei Geral de Proteção de Dados, pude constatar alguns pontos valiosos que agregam valor diante da complexidade do assunto.

Primeiro, lembre-se como sua empresa lida com dados pessoais. Coleta ou trata dados pessoais no exercício de suas atividades? Coleta ou trata dados de seus empregados ou colaboradores? Recebe, produz, classifica, armazena, acessa, transmite, processa, armazena ou modifica dados pessoais? Possui meios ou medidas para proteger os dados?

Comece logo.

Crie um comitê ou grupo de trabalho para conduzir o tema. É fundamental o apoio do Jurídico, diretoria e TI, e se houver necessidade, uma assessoria externa. Mantenha os envolvidos regularmente informados sobre as atividades e evoluções dos processos. A adequação da lei necessita o engajamento multidisciplinar. Entenda que é pouco provável dar estes passos sozinhos com recursos internos.

Crie um mapa de dados e tenha o controle do inventário de ativos como softwares e aplicativos. Faça entregas pequenas e frequentes, assim perceberá a evolução do assunto e envolvimento das pessoas. Não esqueça do mundo off-line pois informações armazenadas ou tratadas de forma off-line também são regidas por Lei.

Segmentar o passado, o legado, do presente e futuro pode facilitar. Revise contratos com fornecedores, parceiros e outras partes.

O perímetro de segurança não está na empresa, mas sim nas pessoas. É necessário conscientização e treinamento. Segmentar redes, ter recursos de autenticação, política de compliance e um gerenciamento de segurança é fundamental.

É provável que tenha investimentos financeiros. A ampla ocorrência de vazamento de dados resultou na valorização de empresas que lidam adequadamente com dados. A segurança não pode ser vista apenas como despesas, mas como o meio de propulsão para alavancar negócios e fidelizar de clientes, além de evitar danos à imagem da marca.

Valor X Complexidade:

Podemos aproveitar a nova Lei para colocar a casa em ordem e tirar proveito das políticas, normas, processos e compliance para não ficar apenas na análise descritiva. Então quando ocorrer um fato, a pergunta “o que aconteceu?” não será mais necessária. Estejamos preparados para responder a pergunta “o que vai acontecer?” e não simplesmente “o que aconteceu?”. E vamos mais além, no prescritivo, então estejamos preparados para responder “o que fazer quando acontecer?”.

Outros benefícios:

Outro lado positivo é que podemos ter uma análise de dados combinada aos negócios, onde Big Data, Analytics e Machine Learning contribuem para a antecipação de tendências e análises comportamentais com maior precisão.

O desenvolvimento de novos negócios e produtos é na prática a inovação, e traz consigo maior assertividade e personalização na oferta de novos produtos e serviços ao público. Com isso há uma ampliação dos consumidores alvos. Pense no marketing direcionado para cada grupo de consumidor em potencial.

A proteção de dados tem sua importância atrelada diretamente aos negócios, pode favorecer a inovação, fomentar novas práticas e tecnologias em diversos setores.

É uma boa oportunidade de nos adequarmos.