A difícil tarefa dos profissionais de TI e governança na regulação dos dados

A pandemia da covid-19 acelerou o processo de transformação digital das empresas, com isso temos cada vez mais dados armazenados nos Data Centers, seja em cloud ou privado. Por esse motivo é fundamental que todos os profissionais conheçam as leis que regulamentam a privacidade das informações. No Brasil, temos três leis que regulamentam o uso de dados: a Lei do Call Center; a Lei de Acesso à Informação e a Lei Geral dos Dados Pessoais, o objetivo deste artigo é examiná-las sob o ponto de vista de TI e Governança dos dados.

Em 2008 foi promulgado o decreto 6523/08 para regulamentar a Lei nº 8.078/1990 que implementou o Código de Defesa do Consumidor e definiu as normas gerais sobre o SAC. A nova lei que ficou conhecida como “Lei do Call Center” definiu o que é um SAC, serviço de atendimento telefônico das empresas prestadoras de serviços, com função de resolver com o consumidor questões relacionadas à informação, dúvida, reclamação, suspensão ou cancelamento de contratos e serviços, e criou alguns parâmetros de atendimento.

Dentre as evoluções trazidas pela Lei podemos destacar:

• Ligações gratuitas para o SAC;
• Agilidade no atendimento das reclamações e cancelamentos;
• Limites para o tempo em espera e regras para acelerar o atendimento.

Outra inovação da Lei foi regulamentar o armazenamento e acesso à informação, o decreto coloca as coisas na perspectiva correta, os dados são dos clientes que podem solicitar o acesso ao histórico das conversas a qualquer momento, a empresa pode armazenar os dados, porém com a perspectiva de acelerar o processo de atendimento e oferecer um serviço de qualidade.

Art. 11. Os dados pessoais do consumidor serão preservados, mantidos em sigilo e utilizados exclusivamente para os fins do atendimento.

Art. 13. O sistema informatizado deve ser programado tecnicamente de modo a garantir a agilidade, a segurança das informações e o respeito ao consumidor.

Em 2011, foi instituída a LEI Nº 12.527, conhecida como “Lei de acesso à informação”, seu objetivo é garantir que os órgãos públicos ou empresas que utilizam verbas públicas possam dar publicidade de suas ações, principalmente dados que permitam que a sociedade civil acompanhe a utilização dos recursos. Conforme indicado no artigo 8, deve ser garantido, no mínimo, as seguintes informações:

I – Registro das competências e estrutura organizacional, endereços e telefones das respectivas unidades e horários de atendimento ao público;

II – Registros de quaisquer repasses ou transferências de recursos financeiros;

III – Registros das despesas;

IV – Informações concernentes a procedimentos licitatórios, inclusive os respectivos editais e resultados, bem como a todos os contratos celebrados;

V – Dados gerais para o acompanhamento de programas, ações, projetos e obras de órgãos e entidades; e

VI – Respostas às perguntas mais frequentes da sociedade.

Por último abordaremos a LGPD, lei nº 13.709 aprovada em agosto de 2018, que é a principal mudança que ocorreu no Brasil sobre privacidade de dados. A Lei define que informação é qualquer dado que permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, por exemplo, endereço de IP (Protocolo da Internet) e cookies, localização via GPS, informações sobre data e local de nascimento, prontuário de saúde, telefone, endereço residencial ou comercial, dados bancários, renda, histórico de pagamentos, hábitos de consumo e lazer, entre outros.

Um ponto principal da Lei LGPD é o consentimento, a autorização do cliente é a base central para armazenamento da informação e o seu tratamento, porém existem exceções. Por exemplo, é permitido tratar dados sem consentimento se isso for indispensável para cumprir uma obrigação legal ou executar política pública prevista em lei.

As três leis trazem como pontos centrais a gestão da informação, a regulação do acesso e sua divulgação.

No caso da Lei do Call Center, já havia a indicação que a informação é privada, a empresa é apenas a gestora, ela pode reter as informações para cumprir a Lei. Portanto, os dados devem ser preservados e acessados em benefício do cliente, seja para esclarecer uma dúvida, reclamação ou acelerar o processo de atendimento.

A Lei de acesso à informação tem como objetivo garantir o acesso aos dados públicos. Um dos objetivos do Estado é recolher impostos para transformá-los em serviços para população, ao permitir que qualquer pessoa possa questionar e verificar a utilização dos recursos a lei permite que a sociedade civil elabore mecanismos de controle. Esse objetivo sobrepõe os interesses pessoais, portanto, nas situações cobertas pela Lei de acesso a informação, é possível ter acesso aos dados pessoais sem infringir a LGPD. Por exemplo, os órgãos públicos divulgam nomes, cargos e salários dos servidores públicos.

Os dados coletados na interação digital com os clientes são fundamentais para possibilitar o desenvolvimento e o aprimoramento de novas tecnologias, como inteligência artificial e internet das coisas. De acordo com a LGPD, para que esses dados possam ser utilizados é preciso que eles sejam anonimizados. A FIESP, no seu relatório sobre a LGPD, indica “Dados anonimizados ou que passam por processo de anonimização não são dados pessoais (art. 5º, III e XI): o dado anonimizado é relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Já a anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.

A preocupação com a proteção de dados deve fazer parte da rotina de todos os profissionais, é imperativo analisar, mapear os sistemas e criar mecanismos de segurança mais robustos. Os sistemas devem proteger os direitos dos clientes e permitir que as empresas utilizem as informações coletadas para desenvolver soluções inovadoras.

*Antonio Vieira Silva é Gerente de Business Support System(BSS) da Open Labs