LGPD: a gestão segura e consciente para o “novo petróleo”

Uma máxima do Direito diz que não importa se você não conhece a lei: ainda assim é crime não cumprí-la. Esse é o caso muito específico da LGPD – Lei Geral de Proteção de Dados, que entrou em vigor em 17 de setembro.

Publicada no Diário Oficial em uma sexta-feira, já na segunda-feira seguinte havia uma ação do Ministério Público contra uma empresa. Se os dados são o “novo petróleo”, agora deverão ser usados de forma consciente e, principalmente, de forma segura.

Se uma empresa já foi acionada juridicamente, nada impede que pessoas físicas façam o mesmo ao se sentirem lesadas e, ainda que as sanções não estejam completamente regulamentadas (só deverão ser praticadas a partir de agosto de 2021), a imagem de uma empresa pode sair muito arranhada ao se ver nessa situação.

Vale lembrar o caso emblemático de vazamento de dados, ocorrido em 2018, com o Facebook, que atingiu cerca de 30 milhões de usuários. Além do montante de usuários que foram atingidos, o vazamento ganhou uma repercussão ainda maior por estar ligado ao uso indevido de dados da Cambridge Analytica, que na época fazia propaganda política para a campanha presidencial de Donald Trump e também para o Brexit.

As consequências foram desastrosas: em um dia, o Facebook perdeu cerca de US$ 35 bilhões em valor de mercado. Portanto, é necessário se adequar à legislação para não correr o risco de sofrer as penalidades, que são pesadas (a multa em dinheiro varia de 2% do faturamento e chegar ao máximo de R$ 50 milhões), e ter dores de cabeça com a opinião pública, comprometendo a reputação da empresa.

A lei brasileira é muito semelhante à de sua similar europeia, que serviu de inspiração para os legisladores brasileiros. Já há dois anos em uso, a GDPR (General Data Protection Regulation) consolidou a preocupação da União Europeia em relação à proteção de dados dos cidadãos da Zona do Euro e é uma legislação mais complexa que a nossa, com 99 artigos, enquanto a LGPD tem 65, fruto de uma maior necessidade de acomodar diversos países com diferentes legislações e costumes.

Neste sentido, cito o exemplo da Estônia, um país que tem sido referência para legisladores, uma vez que se trata de uma das sociedades mais conectadas do planeta.

Lá, o acesso a informações pessoais é relativamente fácil, o que faz com que o legislador tivesse o cuidado de tornar muito clara a responsabilidade do manuseio e tratamento desses dados por empresas públicas ou privadas. O titular da informação é sempre avisado quando seus dados são acessados e ele pode cobrar diretamente a entidade ou profissional que fez a consulta para saber seus motivos.

Assim, informações médicas, por exemplo, estão disponíveis para qualquer hospital do país, tornando mais fácil o acesso ao histórico do paciente caso ele seja atendido em outras cidades. Porém, se algum médico ou entidade acessar essas informações, o cidadão é automaticamente avisado e pode cobrar explicações.

Basicamente, quem trabalha com dados de pessoas físicas deve estar atento para observar os seguintes parâmetros: proteção e segurança dos dados; clareza sobre a coleta e tratamento; direito ao esquecimento com a exclusão completa (com exceção de casos previstos em outras bases legais); portabilidade; atualização e correção.

Certamente, o impacto maior da nova lei recai sobre o segmento B2C, com pessoa física como cliente final, mas não se engane: quem está no B2B e precisa prestar serviços para essas empresas, também terá de se adequar rapidamente para atendê-las, como é o caso das centrais de atendimento ao cliente, empresas de hospedagem compartilhada de armazenamento de dados e documentos, entre outras.

Para isso, a organização precisa fazer um levantamento de toda e qualquer fragilidade relacionada ao tratamento de seus dados, estabelecer políticas rígidas de coleta e manuseio dessas informações, assim como estabelecer um ambiente de segurança e proteção que reduzam ao máximo a exposição a riscos de vazamentos ou roubo de dados, trabalhando apenas o necessário da informação para suas atividades e garantindo a inviolabilidade dos dados que possam personalizar o titular.

Pode parecer um investimento alto, mas é só pensar nas consequências legais e estimar o prejuízo que a notícia de um vazamento de dados, ou tratamento inadequado de informações, pode causar nas ações de sua empresa ou em sua imagem perante a opinião pública.

Afinal, se o consumidor não confia na sua empresa, por que iria gastar dinheiro comprando seus produtos ou serviços?

*Paulo Poi é diretor de GRC – Governance, Risk and Compliance para a América Latina da Cipher