16/12/2019 08:52:03 Prepare-se para a Lei Geral de Proteção de Dados

Fonte: Marco Feltrin - Revista Mercado em Foco/ACIL 

“Preencha aqui seus dados e concorra gratuitamente…”. Quem nunca se deparou com uma tela dessas na internet? A tentação de ganhar algo apenas repassando algumas informações pessoais é grande. Mas há um risco. Provavelmente aquela ligação indesejada, de um número desconhecido, oferecendo um produto que você não teria demostrado nenhum interesse em adquirir, tenha vindo desta isca em forma de promoção.

Para evitar casos como este o então presidente Michel Temer sancionou, em agosto do ano passado, a Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020. O objetivo é regulamentar o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas.

O Regulamento Geral de Proteção de Dados, implantado na Europa desde maio de 2018, é a base do texto e é válida para qualquer empresa que tenha arquivado dados de clientes, mesmo que sejam as mais básicas, como nome e endereço de e-mail.

O prazo de dois anos para que a lei entre em vigor serve para que as empresas organizem suas informações e coloquem em prática as ações de transparência. Com pouco menos de um ano pela frente, ainda dá tempo do empresário se preparar. “O primeiro passo é fazer um diagnóstico para descobrir onde estão possíveis vazamentos de dados dentro da corporação. Vai ser preciso rever a política de segurança dos dados da empresa, ter algumas validações e bons serviços de firewall e antivírus. Isso na área técnica. Na questão jurídica, ter documentos que autorizem e protejam uma eventual divulgação de seus clientes”, aponta o presidente da Central de Inovação, Desenvolvimento e Negócios Tecnológicos (Cintec), Ronaldo Couza, que também faz parte da diretoria da ACIL.

A lei vai exigir a presença de uma nova figura dentro das empresas: o encarregado, nome adaptado ao português para o que o regulamento na Europa chama de Data Protection Officer (DPO). Ele terá a tarefa de fazer a ponte entre a empresa, os clientes e a Autoridade Nacional de Proteção de Dados, agência responsável pela fiscalização.

Segundo a advogada e especialista em Direito Digital Renata Capriolli Zocatelli Queiroz Passi caberá ao encarregado utilizar medidas que protejam os dados de acessos não autorizados. “Ele terá que comprovar que implementou estas medidas dentro da empresa, as chamadas boas práticas de segurança. Essa lei foi muito inteligente, porque o encarregado fica como responsável por viabilizar todas as informações para comprovar que estes dados estão armazenados de forma segura”.

A nova lei, no entanto, ainda não é clara com relação à contratação deste encarregado, se ele precisa fazer parte do time de colaboradores da empresa ou se o serviço pode ser prestado de forma terceirizada. “A agência ainda deve regulamentar esta situação. Pode ser que ela edite uma norma e a partir dela seja exigida a contratação apenas para grandes empresas. O texto, hoje, dá a entender que é válido para todas, independente do porte. O que se espera é que esta pessoa tenha saber jurídico. Por isso, o ideal é procurar orientação em um escritório de advocacia especializado. A partir disso, fazer o diagnóstico de como está a empresa e apontar medidas técnicas de segurança. A consultoria com advogados e um especialista em Tecnologia da Informação vão viabilizar a segurança exigida pela lei”, orienta Renata.

A LGPD estabelece sanções para empresas que não armazenarem de forma segura ou fizerem mau uso dos dados de seus clientes. A primeira delas é uma advertência por parte da Autoridade Nacional de Proteção de Dados com prazo para que medidas de proteção sejam adotadas.

Multa pesada

O próximo passo é uma multa de 2% do faturamento da empresa, com limite máximo da sanção em R$ 50 milhões. Caso as irregularidades continuem, a empresa pode sofrer multas diárias, ser obrigada a tornar pública a informação de que está agindo em desconformidade com a lei e até ter os dados bloqueados. “A gente sabe que a imagem da empresa é fundamental, então essa divulgação seria muito prejudicial. As empresas 100% digitais, que dependem dos dados para viabilizar seu negócio, podem inclusive morrer se não cumprirem as regras e sofrerem esse bloqueio”, alerta a advogada.

O presidente da Cintec, Ronaldo Couza, espera que a fiscalização de fato aconteça, já que mexer no bolso é a melhor forma de fazer o brasileiro cumprir a legislação. “Multa assusta. É uma maneira das empresas se adequarem e terem a ciência de que, se ela não fizer isso, corre o risco de ser multada. É como qualquer infração. Quem passa no sinal vermelho precisa ter a consciência de que pode causar um acidente, ter danos pessoais e materiais. Se não acontecer nada, mas um guarda presenciar, ele vai multar. Quem não seguir a lei tem que ser punido”.

Até mesmo o governo federal poderá sofrer as sanções. Se a lei já estivesse em vigor em abril deste ano, haveria multa para um caso registrado no Ministério da Saúde. O banco de dados do Sistema Único de Saúde (SUS) foi exposto, com dados de 2,4 milhões de usuários como nome completo, endereço, CPF e data de nascimento.

Um relatório divulgado pelo Centro de Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov) mostrou que 9.981 ataques que comprometiam a segurança digital de órgãos federais foram registrados no ano passado. Destes, 20% foram vazamento de dados, quando a informação fica acessível por ter sido mal protegida ou por um hacker ter explorado uma falha de segurança.

Mudança de cultura

A expectativa é de que a nova lei venha acompanhada de uma mudança cultural em relação ao cuidado com os dados pessoais. Para a advogada e mestre em Direito Negocial Taísa Scripes, os consumidores passarão a ficar mais atentos com o destino das informações que eles divulgam por aí. “Nossos dados valem muito. Indicam nossas preferências, o que a gente faz, onde frequentamos. Para uma empresa poder vender algo personalizado, isso vale ouro. A lei vem para que a empresa capte aquilo que ela precisa e para proteger o consumidor de não informar mais que o necessário. Não existe almoço de graça. A gente repassa os dados e alguém ganha dinheiro com isso. O último grande vazamento de dados que teve no Facebook, foram os próprios funcionários que denunciaram. Isso já mostra uma mudança de cultura, e aos poucos a gente vai amadurecer e tratar com cuidado dados tão importantes”, prevê.

Renata Passi também acredita na eficácia da lei. Primeiro porque o regulamento feito na Europa impôs que países sem o mínimo em proteção de dados teriam acordos comerciais com a União Europeia prejudicados. Depois, porque os próprios clientes vão exigir transparência das empresas. “É uma mudança de mindset sobre a importância do uso de dados. A partir do momento que as pessoas tiverem conscientização sobre a monetização e o tráfico dos seus dados, elas mesmas vão reivindicar a aplicabilidade da lei. Aí a efetividade vai ter sucesso. Além disso, as medidas vão ser aplicadas até por conta da força que se deu para a agência. De um modo ou de outro, a lei vai pegar”, conclui.