167 views 10 mins

em Manchete Principal
sexta-feira, 31 de janeiro de 2020

Lei Geral de Proteção de Dados: as organizações e o mercado estão preparados?

Vinicius Parmezani (*)

A velocidade com que o mundo digital evoluiu na última década mundialmente trouxe um aumento exponencial do volume de informações coletadas e armazenadas digitalmente.

Consequentemente, a preocupação com o tratamento aos dados vem protagonizando o debate público. No Brasil, cerca de 80% dos consumidores temem que seus dados sejam roubados ou mal utilizados. A apreensão não é à-toa: um terço dos internautas já sofreram algum mau uso de seus dados pessoais.

Para 85% dos usuários de internet, o fato de não poder deletar o histórico digital pessoal gera medo e 87% preocupam-se com o recebimento de publicidade de organizações com as quais nunca tiveram nenhum contato. São muitas vulnerabilidades no mundo das informações que trafegam pela internet e o maior desafio dos consumidores é saber como proteger-se.

Um ano após a implementação do Regulamento Geral sobre Proteção de Dados em toda a União Europeia, GDPR, na sigla em inglês, e da publicação da Lei Geral de Proteção de Dados no Brasil, o país segue em transição para a adoção dos requisitos determinados para implementação definitiva até agosto de 2020. Mas o mercado já demanda iniciativas de segurança.

Foto: assespro-rs/reprodução

Bancos, instituições de saúde, empresas de marketing digital e outros segmentos que utilizam intensivamente dados pessoais devem passar por alterações na sua forma de atuação. Então, qualquer organização que coleta ou processa dados sensíveis, deve implantar políticas e os procedimentos exigidos. E embora esses setores sejam mais sensíveis, vale lembrar que as áreas de Recursos Humanos também manipulam considerável quantidade de dados de seus colaboradores.

É claro que todos que manipulam dados de pessoas físicas diariamente na organização precisam entender detalhes da proteção de dados e os principais requisitos da legislação. Mas, além disso, a companhia deve realizar um processo de conscientização com colaboradores de todas as áreas para que conheçam os processos básicos da manipulação de dados e exigências que atendam a lei.

Por isso, é necessário prover comunicação, monitoramento interno e treinamento para todos os colaboradores. É uma das condições da norma, inclusive. O principal desafio é conhecer a quantidade de dados e informações que a empresa gerencia e colhe. Então é preciso antecipar-se porque a partir do ano que vem, alguém pode bater na porta de qualquer empresa para saber se está cumprindo a LGPD.

O Grupo Bureau Veritas já possui norma técnica para atender as exigências da LGPD, oferecendo serviços de auditoria, qualificação e certificação para que empresas de pequeno e grande porte adaptem-se à lei e garantindo que tenham compliance com regras e protocolos estabelecidos pela LGPD. Ter uma certificação com companhias especializadas é uma das melhores formas de proteger, disseminar a confiança e demonstrar que uma marca tem compromisso com a proteção dos dados com que atua.

Foto: EBC/ABr/Reprodução

A norma técnica criada traduz às organizações como é possível coletar, manipular e manter volume de dados sensíveis e utilizar as informações dos clientes sem comprometer os direitos das pessoas.
O fato é que está próxima a data limite para que as empresas assegurem a confidencialidade de dados de pessoas e entrem em conformidade com os demais requisitos decretados.

Então, a partir do segundo semestre de 2020, a lei prevê uma notificação obrigatória e multas que podem chegar a 2% do faturamento da companhia, limitando-se a R$ 50 milhões. Mais um motivo para que empresas de todas as áreas de negócio busquem conhecer as minúcias da nova legislação.

(*) – É Brazil Country Chief Executive.

LGPD: novas regras entrarão em vigor em agosto

A Lei Geral de Proteção de Dados (LGPD) estabeleceu regras de coleta e tratamento de informações de pessoas, empresas e instituições públicas, os direitos de titulares de dados, as responsabilidades de quem processa esses registros e as estruturas e formas de fiscalização e eventuais reparos em caso de abusos nesta prática. Essas novas regras entrarão em vigor em agosto próximo. O período de adaptação foi definido pelos legisladores com o argumento de que os diversos atores envolvidos precisavam de tempo para se organizarem de modo a dar conta das exigências.

Foto: spcm.com/reprodução

Chegado ao meio deste caminho, sobram desafios para empresas, cidadãos, órgãos públicos e autoridades regulatórias. Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada uma categoria chamada de “dado sensível”, informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação. Mas quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil.

A norma valerá para coletas operadas em outro país desde que estejam relacionadas a bens ou serviços ofertados a brasileiros. Mas há exceções, como a obtenção de informações pelo Estado para segurança pública. Ao coletar um dado, as empresas deverão informar a finalidade. Se o usuário aceitar repassar suas informações, como ao concordar com termos e condições de um aplicativo, as companhias passam a ter o direito de tratar os dados (respeitada a finalidade específica), desde que em conformidade com a lei.

A Lei previu uma série de obrigações, como a garantia da segurança dessas informações e a notificação do titular em caso de um incidente de segurança. A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de “legítimo interesse” desses, embora essa hipótese não tenha sido detalhada, um dos pontos em aberto da norma.

De outro lado, o titular ganhou uma série de direitos. Ele poderá, por exemplo, solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por “legítimo interesse”) e para qual finalidade. Caso os registros estejam incorretos, poderá cobrar a correção. Em determinados casos, o titular terá o direito de se opor a um tratamento. A lei também permitirá a revisão de decisões automatizadas tomadas com base no tratamento de dados (como as notas de crédito ou perfis de consumo).

Segundo a Febraban, as instituições financeiras também estão se movimentando para se adaptar às obrigações da LGPD. Entre as medidas neste sentido estão a nomeação de responsáveis pela proteção de dados, a obtenção de consentimento dos clientes para a utilização de seus dados em diversas finalidades, a atualização de documentos como contratos e políticas internas, a adequação de contratos com fornecedores e a processos para atendimento aos novos direitos dos clientes.

Para o diretor-executivo no Brasil da empresa de segurança da informação Kaspersky, Roberto Rebouças, há ainda muita falta de compreensão de companhias sobre a adequação às regras da LGPD. “A sensação é que a gente tem que empresas acham que não serão afetadas, que não tem nada de muito extraordinário. Empresas têm funcionários, tem folha de pagamento, têm dados dos funcionários. Até mesmo um dentista tem que tomar cuidado com vazamento de dados do cliente dele”, exemplifica.