A Lei Geral de Proteção de Dados trouxe alguns desafios para empresas que lidam diariamente com informações pessoais de seus clientes. Nesse novo contexto, como se adequar?

Houve preocupações nos meses anteriores a setembro de 2020, quando a Lei Geral de Proteção de Dados (LGPD) estava prestes a entrar em vigor. A principal pergunta das empresas que lidavam com bases de dados de seus clientes era: como podemos nos adequar? Até hoje, diversas pessoas ainda têm dúvidas sobre essa regulamentação, muitas vezes desconhecendo sua importância para a privacidade e a liberdade individual.

Entre os fatores positivos da LGPD, que impactam tanto indivíduos quanto empresas e organizações governamentais, estão:

• Uma regra para todos: a lei cria um cenário de segurança jurídica válido para o país inteiro.
• Consentimento como palavra-chave: nenhum dado pode ser utilizado por terceiros sem a autorização do proprietário; e, no caso de menores de idade, esse consentimento deve ser dado por pelo menos um dos pais ou pelo responsável legal.
• Definição de responsabilidade: a lei define quem são os agentes no tratamento dessas informações e a função exercida por cada um.
• Abrangência extraterritorial: a transferência internacional, isto é, o compartilhamento dos dados, pode ser feita com outros países que também protejam dados.
• Transparência e penalizações: se houver vazamento de dados, os indivíduos serão avisados; além disso, falhas de segurança geram penalidades rígidas.

A principal questão, para quem ainda não se aprofundou na lei, continua sendo: quais são as obrigações das empresas de pequeno, médio e grande porte, relacionadas ao uso dos dados pessoais dos usuários, que são considerados os ativos mais valiosos na sociedade digital? Antes de nos aprofundarmos nas determinações da LGPD, é importante compreender o contexto em que ela foi criada.

“A Lei Geral de Proteção de Dados nº 13.709/2018, que ficou conhecida como LGPD, foi inspirada no Regulamento Europeu de Proteção de Dados Pessoais, também chamado de GDPR (sigla para General Data Protection Regulation), em vigor na União Europeia desde maio de 2018”, explica Evandro Figueiredo, gerente de TI e segurança da informação na VATI.

“O GDPR, na época de sua criação, em abril de 2016, ocasionou um ‘efeito dominó’ na economia digital global, pois passou a exigir que os demais países (incluindo o Brasil) tivessem uma lei de mesmo nível para a proteção de dados pessoais”, continua Evandro. “Sem a LGPD, poderíamos sofrer algum tipo de barreira econômica ou dificuldade de fazer negócios com países da União Europeia.”

De acordo com Evandro, a rápida evolução da tecnologia, aliada à globalização e ao grande fluxo de dados que circulam entre os países, considerando também o aumento de crimes digitais e os recorrentes vazamentos de informações foram fatores que trouxeram novos desafios para a proteção desses dados. Assim, tornou-se necessário um avanço no sentido de proteger os usuários, apoiado por regulamentações mais rígidas, fazendo com que fossem priorizados os investimentos em cibersegurança e governança de dados por parte das empresas.

“O maior objetivo da lei é proteger os dados pessoais, os direitos fundamentais de liberdade e de privacidade das pessoas naturais (pessoas físicas)”, ressalta o gerente de TI. Esse objetivo é alcançado por meio da regulamentação do uso e da transferência dos dados, de seus princípios e finalidades, padronizando normas e práticas, tanto para empresas do setor público quanto do privado.

Mas o que exatamente são dados pessoais? São informações que permitem identificar um indivíduo, direta ou indiretamente (como nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização, fotografia, cartão bancário, renda, histórico de pagamentos, endereço de IP e cookies, etc.). Além disso, existem os dados sensíveis (que revelam origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, questões genéticas, biométricas, sobre a saúde ou a vida sexual de uma pessoa), os quais estão sujeitos a cuidados ainda mais específicos.

Conforme observa Evandro, quando uma empresa coleta os dados pessoais de alguém, deve existir uma finalidade específica, explícita, legítima e declarada, antes que essas informações possam ser processadas. “Se não houver também o seu consentimento, ou alguma base legal para o processamento, essa coleta é proibida e a empresa estará sujeita a multas e sanções pela Autoridade Nacional de Proteção de Dados (ANPD), que tem um papel fundamental na sociedade”, afirma. As penalizações podem ser de até 2% do faturamento anual da organização – tendo como limite o valor de R$ 50 milhões por infração.

Considerando que os dados pertencem aos indivíduos, não às empresas, isso quer dizer que o titular dessas informações possui direitos, que incluem sua exatidão e retificação, a consulta do tratamento realizado, a exclusão dos dados, a revogação do consentimento, a portabilidade, entre outros. “As empresas, que perante a lei são denominadas Controlador (sendo sua cadeia de fornecedores chamada de Operador), são responsáveis pelo tratamento e devem atender a todos esses requisitos, para que estejam em conformidade com a lei”, salienta o gerente de TI e segurança da informação na VATI.

Nesse contexto, o Controlador determina as finalidades dos dados pessoais e é responsável por garantir a segurança da informação em todo o ciclo de dados, desde a coleta até o armazenamento, cópias de segurança, transmissão e descarte seguros (após o término do tempo de retenção dos dados). Evandro completa que a empresa também deve nomear um Encarregado de Dados, ou Data Protection Officer (DPO), além de implantar uma Política de Privacidade, criando controles organizacionais e técnicos que garantam a proteção e a segurança de seus clientes. “O essencial é que a empresa respeite a privacidade do titular do dado pessoal, garantindo a proteção, o sigilo e a confidencialidade dessas informações”, conclui.

Embora a LGPD exista há mais de um ano, segundo um levantamento da Fundação Dom Cabral, realizado com empresas que possuem conselho de administração ou consultivo, 40% delas ainda não se adequaram totalmente à lei. Uma descoberta interessante desse estudo é que as empresas que já contam com um profissional na função exclusiva de DPO têm orçamento alocado para essa área e tendem a demonstrar maior interesse em contratar consultoria externa especializada ou software de apoio, para facilitar a gestão da governança de dados.

Para aquelas que ainda estão em vias de se adequar à legislação, as principais recomendações são: coletar apenas dados essenciais para a sua atividade, permitir acesso a diretórios e a redes de sistema de forma segmentada e somente a quem precisa, confirmar se os dados estão sendo armazenados em local seguro, tomar cuidado com documentos que forem impressos e não descartá-los de forma inadequada, treinar seus colaboradores sobre a lei, não guardar senhas ou dados pessoais em blocos de notas do computador e inserir um aditivo sobre a LGPD nos contratos de trabalho.