Mais que sanções, LGPD propõe mudança cultural no tratamento de dados pessoais

“É uma curva de aprendizado, uma promoção de uma mudança de cultura, isso não acontece da noite para o dia e não acontece só com base no chicote”, afirma Diretora da ANPD

Por Camila Rodero, Cezar Augusto Martins Silva, Giovanna Adelle Scarpin, Sarah Gomes da Silva

Imagem de capa: Lukas Blazek, Unsplash

A cultura profissional das instituições leva tempo para ser construída, e no caso da promoção de uma cultura de proteção de dados pessoais, isso não é exceção. Ao passo que empresas de diversos segmentos e tamanhos apressaram seus processos de adequação à LGPD, falta muito ainda para a criação de uma cultura nacional de proteção dos dados pessoais.

 A movimentação se deve à tentativa de escapar de sanções de até 2% do faturamento anual com a chegada do dia primeiro de agosto. A data foi estabelecida por lei para que a Autoridade Nacional de Proteção de Dados possa aplicar sanções administrativas. 

Com regulamentações pendentes, surgem muitas dúvidas. Uma das regulamentações é inclusive aquela que especifica a aplicação de sanções. Para alguns ainda é o momento de entender a lei, sua finalidade, a Autoridade Nacional de Proteção de Dados.  O Repórter Unesp conversou com profissionais da área do direito, da Tecnologia da Informação e com uma das Diretoras da ANPD buscando alinhar as expectativas em relação ao novo órgão e à lei.

Nasce uma lei: qual é a necessidade da existência da LGPD?

Na atual sociedade da informação, empresas e organizações fazem levantamentos e estratégias de acordo com dados para obter lucro. O tratamento de dados possibilitou que diversas empresas pudessem segmentar melhor suas estratégias. Entretanto, o intenso uso de dados com baixos níveis de proteção tornou essas organizações alvos atrativos para ataques cibernéticos.

Um exemplo marcante de violação de dados pessoais foi o que ocorreu em 2015. Naquele ano, houve um vazameto de mais de 10 GB informações pessoais do site Ashley Madson: os usuários tiveram seus nomes e identidades expostas. Não apenas episódios como esse, mas também o mau uso de dados pessoais alheios, motivam a criação de leis e políticas públicas em vários países.

No Brasil, a Lei Geral de Proteção de Dados (LGPD), vigente desde 2018, trouxe uma nova visão sobre tratamento de dados. Com o intuito de assegurar que dados pessoais sejam protegidos e armazenados de forma correta, a determinação provoca uma grande mudança para todas as organizações que trabalham com dados.

 

De acordo com Maurício Augusto de Souza Ruiz, advogado e vice-presidente do Conselho Municipal de Ciência, Tecnologia e Inovação de Bauru, os dados são os principais ativos na atualidade. Por isso, diversas organizações buscam acumular o maior número de dados para melhorarem seu desempenho.

Entenda a LGPD

A lei impõe regras a toda instituição pública ou privada que trate ou armazene dados pessoais. Alguns exemplos são: nome, telefone, CPF, endereço, placa do carro ou qualquer informação que possa identificar uma pessoa. Assim, empresas de todos os portes precisam criar protocolos para impedir o mau uso e diminuir o risco de vazamento de dados de clientes, funcionários, e até fornecedores.

 

Quem é quem na LGPD

A LGPD determina a responsabilização dos agentes de tratamento quando há uma infração ao direito do titular. Créditos: Giovanna Adelle Scarpin

As instituições devem pensar essa estrutura de governança dos dados pessoais em toda a extensão da cadeia por onde passará a informação, inclusive serviços terceirizados. A lei prevê a responsabilidade do controlador, que decide o que será feito com os dados, mas também a do operador, aquele que realiza as operações com o dado pessoal.

Além disso, ela institui um personagem que ainda gera dúvidas, o encarregado de dados pessoais. É aquele que vai se reportar à ANPD em caso de vazamentos na instituição e que vai garantir a governança dos dados orientando outros funcionários.

A  Autoridade Nacional de Proteção de Dados (ANPD), é responsável pela fiscalização e cumprimento da lei, elaboração de normas e  produção de conteúdos educativos para agentes do tratamento e titulares.

O órgão está previsto no texto da LGPD, mas só foi instituído em novembro de 2020, mais de 2 anos depois da lei entrar em vigor. A nomeação dos diretores, foi um passo muito aguardado pelo mercado, já que, dentre suas competências, está a edição de regulamentações e procedimentos voltados à proteção de dados pessoais.

“Uma mudança de paradigma na forma que as empresas tratam dados”

Assim foi a descrição de Miriam, Diretora da ANPD, quando questionada a respeito do impacto da LGPD sobre os direitos do titular dos dados pessoais. Ela ressalta que, para além da atuação em casos de vazamentos de dados, seu papel será ainda mais importante antes que esses vazamentos, verificando se as instituições criaram as proteções necessárias.

Para isso a Autoridade terá que servir de referência elaborando guias, além de estabelecer as regulamentações e realizar coordenações com outros órgãos. A agenda bianual publicada no site da ANPD já indica as prioridades para os anos de 2021 e 2022.

Do ponto de vista regulatório, a entidade precisa percorrer um longo caminho. A própria questão das sanções administrativas que são prerrogativas da ANPD a partir de 1 de agosto passou por consulta pública até o fim de junho e hoje não está formalmente regulamentada. Enquanto não houver essa regulamentação, a entidade não poderá aplicar multas e outras sanções.

Postura da ANPD sobre sanções é educativa

No entanto, o Conselho Diretor  está em consenso por um modelo que se afaste do comando-controle. A ideia é que haja também nas ações da ANPD em relação às denúncias e comunicações de incidentes de segurança feitos pelas próprias instituições (obrigatórias quando há vazamento de dados), um papel primeiramente de orientação.

Em termos de colaboração com outras instituições públicas, alguns caminhos já estão pavimentados. Logo nos seus primeiros meses de existência, a ANPD já colocou essa função em prática: quando houve um megavazamento de dados vendidos ilegalmente em fóruns virtuais, que exigiu capacidades investigativas da polícia federal.

“A LGPD é uma norma transversal e ela vai se relacionar de uma maneira muito complexa com outras normas pré-existentes como o Código de Defesa do Consumidor ou ainda com normas setoriais, a regulação do setor de telecomunicações, setor financeiro, normas da saúde”, explica a Diretora, “Isso acaba atraindo também a competência de outros órgãos públicos”.

A construção das políticas públicas relativas à proteção de dados também conta com a participação da população como um todo. Miriam avalia que através de consultas públicas e consultas técnicas, a participação tem sido plural e construtiva, com mais de 2 mil contribuições nas duas primeiras tomadas de subsídio, e observa que o maior aporte veio da iniciativa privada, que tem muitas dúvidas e sugestões sobre a adequação à lei.

As tomadas de subsídios são sempre divulgadas na área de Participação Social do site da ANPD

A primeira dessas tomadas de subsídio, que são uma espécie de consulta pública sobre um tema, foi a respeito das dificuldades das pequenas e micro empresas para se adaptarem à LGPD. Esse público receberá um tratamento especial, com possibilidade, por exemplo, de ser eximida da necessidade de ter um encarregado de dados em alguns casos. Mas as regulamentações específicas ainda não foram definidas.

Setor de tecnologia teme impacto para PMEs

Nós entendemos a necessidade de proteger os direitos dos titulares de dados, que somos nós, pessoas físicas, mas também entendemos que uma lei, e até uma Autoridade muito rígida […] pode frear esse processo de inovação”. A fala é de Thomaz Côrte Real, consultor jurídico da Associação Brasileira de Desenvolvedores de Software (ABES), que ficou contente com o trabalho da ANPD em seu primeiro semestre de existência, e mantém ressalvas com relação ao início das multas.

A percepção do advogado é que a adequação à LGPD requer um investimento financeiro que será mais penoso às PMEs (pequenas e médias empresas). Essa é uma preocupação da ABES, que tem 70%  de suas associadas como micro ou pequenas empresas do setor de tecnologia.

O presidente da associação, Rodolfo Fücher, considera problemática a incerteza em relação à regulamentação especial que será definida para essas empresas de menor porte. Da possibilidade de sanção de qualquer empresa antes da regulamentação para as de pequeno porte já poderia prejudicá-las.

Isso, segundo Thomaz, tem relação com a adequação das grandes empresas pensando na cadeia por onde circulam os dados: “essas micro e pequenas empresas que ainda não têm a regulamentação e nem estrutura para investir em cláusulas que vêm vindo, acabam ficando fora da concorrência”, pondera, “o mercado naturalmente está selecionando as empresas de maior porte”.

Expectativas e comparativos com a GDPR

Nesse cenário de expectativas em relação aos próximos passos da ANPD, surgem iniciativas para tentar dimensionar a adequação à LGPD ao redor do Brasil. A ABES, por exemplo, criou um formulário online para que as empresas possam verificar em que medida estão adequadas ou não às obrigações de proteção dos dados pessoais e tem divulgado a porcentagem de empresas respondentes.

Mas o esforço governamental de entender esse panorama deve trazer algumas respostas ainda mais completas. Foi firmado um acordo de cooperação da ANPD com o Cetic.br, Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação , que poderá esclarecer essa questão.

Vale salientar que nem todas as lacunas da aplicação da lei foram preenchidas. Por isso alguns profissionais tentam garantir alguma previsibilidade se baseando em marcos legais de outros países, como a GDPR (General Data Protection Regulation). Miriam ressalta que há diferenças entre as leis e entre as realidades jurídicas. Até mesmo os agentes de tratamento de dados têm atribuições diferentes. 

O planejamento bianual da ANPD prevê regulamentações complementares sobre o encarregado de proteção de dados pessoais para o primeiro semestre de 2022

 

Por onde começar uma política de governança de dados?

A LGPD apresenta novas obrigações sobre o tratamento de dados, exigindo novas condutas. Por isso, não saber por onde começar as adequações para as pequenas e médias empresas é uma dúvida recorrente entre os proprietários, já que na maioria desses estabelecimentos não possuem práticas de rotina no tratamento dos dados pessoais.

A regulamentação passa por uma análise extensa de todos os processos da empresa, desse modo muitos preferem ter o auxílio de profissionais especializados durante todas as etapas, como um advogado ou técnico em TI

De maneira geral, é preciso fazer alterações no ciclo de dados pessoais nas organizações, nos contratos vigentes com os funcionários, colaboradores e terceiros. Assim, é fundamental saber tudo sobre os dados tratados por sua empresa, quais os caminhos que ele percorre, a quem são relacionados e até que ponto ele está sob a sua responsabilidade. Manter a rastreabilidade e os registros do processo interno e externo que envolvem o tratamento de dados no seu negócio são medidas que vão contribuir para a melhoria na segurança.

Além disso, a transparência na coleta de dados é um aliado obrigatório para se adequar às exigências da lei. Por isso, é indispensável que os termos de uso e de privacidade da organização sejam revisados para que deixem explícitos aos usuários maiores detalhes sobre o recolhimento das informações, como o motivo, se há pretensão de compartilhamento e qual o período que o dado ficará armazenado.

Motivos para coleta e caminhos para eliminação dos dados

A LGPD conta ainda com bases legais. A empresa ou instituição precisará declarar uma dessas bases para armazenar ou tratar dados. Entre as mais conhecidas estão o consentimento, em que a pessoa autoriza expressamente o uso comunicado, e o legítimo interesse, que pressupõe uma relação prévia entre empresa e titular. Utilizar o e-mail do cliente para oferecer a atualização de um software que ele comprou da sua empresa, seria um exemplo possível de uso. Com essa base é importante criar mecanismos para manter a transparência acerca do tratamento de dados e fazer um estudo de proporcionalidade.

Outro ponto que merece a atenção, é o software utilizado nas atividades do seu empreendimento, pois pode ser responsável por um possível vazamento. É importante verificar se o fornecedor está se adequando ou já segue os requisitos da Lei Geral de Proteção de Dados, o que demonstra a preocupação do desenvolvedor de software com a segurança da informação. Para garantir maior segurança à sua firma, coloque cláusulas no contrato com o fornecedor a respeito da responsabilidade sobre as informações.

LGPD não é só no digital

Quando se fala em LGPD é comum voltar as atenções ao mundo digital mas vale destacar que a lei também abrange informações impressas que costumam ser guardadas nos escritórios. Assim como os arquivos online, os impressos também podem conter dados pessoais, que podem ser sensíveis e precisam ser protegidos. Em função disso, é primordial fazer o levantamento, o monitoramento desses documentos e, caso seja necessário, o descarte. Uma dica que pode ser útil, na hora de se livrar dos registros dê preferência para fragmentadoras de papel para garantir que aquela informação não poderá ser usada por terceiros.

A LGPD chega com a proposta de mudar a cultura de tratamento de dados no país, em razão disso, se faz necessário a alteração no comportamento dos profissionais. Segundo Thomaz Côrte Real, a maioria dos incidentes em segurança de dados são causados por pessoas. Por isso, é fundamental o treinamento da sua equipe.

Dicas para melhorar a segurança dos dados nas empresas

 O processo de regulamentação exige tempo de preparo. Nesse sentido, o dr. Mauricio Augusto Ruiz deu algumas dicas para se manter dentro da lei de forma rápida enquanto os outros processos já citados são desenvolvidos.

1. Menos é mais

Não colete e/ou armazene dados pessoais que não tem utilidade para a empresa. Não há necessidade de expor o seu negócio ao risco de vazamento de dados que não são relevantes para as suas atividades.

Isso também é válido para os dados já arquivados, ao encerrar o relacionamento com o cliente, exclua as informações. Mantenha nos cadastros úteis para o negócio, apenas as informações básicas sobre o cliente, como nome, RG e CPF.

2. Peça autorização

Para que o tratamento de dados seja feito de maneira legalizada é essencial pedir o consentimento das pessoas. É preciso que os usuários saibam por que as informações estão sendo coletadas, por quanto tempo elas serão armazenadas e se há a intenção de compartilhar alguma informação com outro CNPJ.

Para os e-commerces: crie uma cláusula no contrato eletrônico pedindo a coleta de dados. Já para as lojas físicas, uma dica valiosa é fazer um termo de consentimento e pedir a assinatura do cliente. Vale lembrar que a LGPD possui outras bases legais que a empresa precisa se atentar.

3. Seja responsável

Não deixe o cuidado de lado só porque tem autorização para tratar o dado. A empresa é responsável pelas informações coletadas e armazenadas e é importante evitar o vazamento.

Para isso, não é necessário ter servidores avançados com alto nível de criptografia que podem ser caros para pequenas empresas. Basta ter no mínimo um firewall com antivírus. 

4. Mudança de hábito

Além disso, a mudança em pequenas atitudes dos funcionários, como não deixar as telas desbloqueadas ao sair da frente do computador, também contribuem para a maior segurança dos dados dos seus clientes.

 

A LGPD no interior de SP

Profissionais do Direito e TI são requisitados para adequarem empresas

A redação conversou com dois especialistas da cidade de Americana (SP) para entender questões sobre a lei. Para David Neves, tecnólogo em processamento de dados, a questão da LGPD é central, uma vez que os usuários não se preocupam em colocar seus dados nas redes sociais. Ele alerta para o fato de que, dentro do Facebook ou do Instagram, informações e fotos podem ser usadas com intuitos publicitários e comerciais de terceiros por se tornarem “públicas”.

 “Essa alienação do usuário em relação aquilo que está sendo postado, é meio que geral, é aceita socialmente. Isso é o normal hoje e eu não sei se o normal é o ideal”.

David comenta que a maioria das pessoas não sentem que estão sendo prejudicadas pelo vazamento de seus dados a não ser que haja uma consequência direta disso. Na visão dele, a LGPD inicia uma cultura de proteção de dados, mas não protege contra danos indiretos causados por conglomerados de tecnologia, que manobram massas estatísticas e muitas vezes não são punidos por isso.

PMEs buscam adequação

Paulo Roberto, advogado que também tem se dedicado a processos de adequação de empresas à LGPD em Americana, afirma que “há uma procura de empresas dos mais diversos portes e áreas de atuação”, mas que “o movimento que está ocorrendo vem sendo impulsionado pelas empresas maiores exigindo a adequação das menores”, devido aos riscos de autuações em incidentes envolvendo terceirizadas.

O advogado compara a situação ao movimento que ocorreu com o Código de Defesa do Consumidor: “muitos acharam que “não ia pegar” ou que era impossível cumprir todas as exigências, o que mostrou-se falso”. E relembra que a possibilidade de denunciar pelo site da ANPD coloca a preocupação para empresas pequenas também.

Em Bauru, prefeitura procura se adequar

Segundo Ana Lígia, diretora do departamento de processamento de dados da Prefeitura Municipal de Bauru, o órgão está em fase de indicação dos responsáveis pela aplicação da LGPD nos procedimentos de rotina. Um grupo de trabalho específico direciona a execução e relatório com as adequações necessárias. A diretora afirma que seu departamento armazena os dados em bases distintas. Além disso, diz que eles são usados apenas para o fim a que se destinam.

Os atuais entraves para a adequação, segundo ela, seriam “a falta de capacitação e de uma cultura de proteção de dados, pensando no tamanho e complexidade do órgão”. A Prefeitura estaria disponibilizando treinamentos e palestras online para os servidores. Outros órgãos públicos relacionados, como o Tribunal de Contas do Estado de São Paulo e o Ministério da Infraestrutura, também publicaram materiais auxiliares. 

Multinacional começou na frente

Já no setor privado, empresas de grande porte como a Tilibra iniciaram a adequação a partir de protocolos internacionais. Para Paula, advogada do departamento jurídico da multinacional, a LGPD já é parte da rotina desde agosto de 2018. “Foi quando iniciamos os estudos a respeito das novas diretrizes da lei, bem como começamos a avaliar quais seriam as adequações que se fariam necessárias nas atividades da empresa”. 

De acordo com a advogada, a empresa realizou a implementação durante dois anos, com a coordenação da equipe jurídica da matriz estadunidense, considerando que haviam implantado recentemente a GDPR em suas unidades europeias. Ela conta que as similaridades entre as leis europeia e brasileira facilitaram a aplicação local. 

A adequação contou com etapas de mapeamento, avaliação, identificação e localização dos dados pessoais, bem como a conscientização e adequação da cadeia de parceiros comerciais e colaboradores internos. “Entretanto, em determinadas situações a Tilibra foi obrigada a desistir de parcerias por não haver uma colaboração pela outra parte.”

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *