A nova Lei Geral de Proteção de Dados (Lei Federal n. 13.709/2018) regulamentará a troca de informações entre pessoas físicas e pessoas jurídicas, sendo um marco na segurança digital.
Neste artigo apresentamos oito perguntas e respostas para profissionais e empresas se posicionarem durante a adequação da nova regulamentação.
1. Quais as bases da Lei de Proteção de Dados Pessoais?
As leis de proteção de dados pessoais, na qual se inclui a LGPD, estão sendo baseadas na interpretação de que o direito à privacidade dos dados pessoais passa a ser um direito fundamental do cidadão.
A nova lei se baseou não apenas na lei europeia, GDPR, mas sim nos tempos modernos, pois a divulgação de dados pessoais na internet é um fenômeno recente, que não tinha lei específica. Hoje, são divulgados muitos dados pessoais na internet e os usuários/consumidores precisam saber como esses dados são utilizados.
2. Como essa lei impactará o mundo corporativo? E a sociedade em um geral?
A grande transformação que a lei traz é o direito das pessoas sobre a propriedade dos seus dados pessoais. Os titulares dos dados – ou seja, cada um de nós – é que dirão se o dado pode ser usado, como pode ser tratado e se e quando deve ser eliminado. Esta é a grande mudança na sociedade: nunca antes na história as pessoas puderam determinar como os seus dados pessoais seriam usados. Historicamente existiam as leis de privacidade, de sigilo bancário, proteção aos dados de saúde, da ética profissional médica, ética profissional de advogados, mas nunca houve uma clareza de que o dado pessoal pertence à pessoa e que só pode ser utilizado com uma previsão legal. A previsão legal pode ser um contrato que a pessoa assina com uma empresa e aqueles dados pessoais serão usados para a prestação do serviço, ou no caso de serviços online, a previsão legal é o consentimento através do portal. A pessoa consente que o Google ou o Facebook, por exemplo, utilize seus dados para ações próprias.
Obviamente, esse consentimento e as mudanças necessárias não acontecerão da noite para o dia. Será uma transformação gradual em que as pessoas passarão a entender como isso funcionará. E também vai depender de como as empresas cumprirão a lei, tornando mais fácil ou mais difícil para as pessoas exercerem esse direito. Pode ser tão fácil quanto entrar no portal e dizer: “Apaguem os dados que vocês têm sobre mim” ou pode ser tão difícil quanto a enviar uma carta e ficar esperando um tempo longo para obter um retorno. Então a grande mudança na sociedade é o entendimento que as pessoas terão sobre propriedade de seus dados pessoais.
E no mundo corporativo o impacto será diferente, porque influenciará no modelo de negócio. Empresas que baseiam seus modelos de negócio na comercialização de dados pessoais sofrerão um impacto muito forte. Empresas que utilizam dados pessoais apenas para cumprimento de contratos no sentido mais restrito como a assinatura de um jornal ou como a venda de um produto, terão um impacto pequeno, porque é basicamente cumprir a lei, mas isso não afetará o seu modelo de negócio.
3. Como ás empresas irão se adequar para solicitar esses consentimentos?
As empresas deverão utilizar soluções e sistemas para automatizar esse processo, não é possível imaginar que esses consentimentos serão obtidos de uma forma manual. O que nós trazemos para o mercado, inclusive como solução, são sistemas de gestão de consentimento em que a empresa integrará os seus sistemas ao nosso, para a gestão de consentimento e facilitando as permissões através de um clique.
4. E os dados que já foram coletados?
Esses dados podem não estar sob a lei, porque eles foram coletados previamente. Mas quando a lei entrar em vigor será necessário obter o consentimento. Imagine assim: você assina o serviço de uma empresa de notícias e até o dia que a lei a lei entrar em vigor, você precisará dar o consentimento para que continue utilizando aquele serviço.
5. E sem esse consentimento os dados já fornecidos serão excluídos?
Não necessariamente. Como mencionado, existe a previsão legal do dado necessário para prestação do serviço. Se você tem um contrato, paga por uma assinatura e aqueles dados pessoais são necessários para que seja enviado um boleto ou cobrança, por lei aquele dado pode ser processado pela a empresa, mas apenas para prestação do serviço. Se aquela empresa utiliza seu nome, seu endereço e vender para uma lista de marketing, por exemplo, isso já necessitará do consentimento, com base na lei.
6. Como ocorrerá a fiscalização do cumprimento dessa lei?
Essa é sem dúvidas a parte mais complexa, a Agência Nacional de Proteção de Dados (ANPD) é o órgão que em tese regula tudo isso no Brasil. Mas diferentemente da GDPR nos países da Europa, aqui existem o Ministério Público e órgãos de proteção ao consumidor. E há um entendimento de que esses órgãos atuarão fortemente na proteção dos dados pessoais.
Já vimos o MP com uma comissão especial de proteção de dados propondo multas para o Banco Inter e para Netshoes, sendo que nos dois casos houve um acordo judicial para pagamento de multa.
Então, no Brasil diferente da Europa, vemos que o MP será um órgão fiscalizador importante. A ANPD pode exigir relatórios a qualquer momento. Havendo uma suspeita ou comunicação de um vazamento de informação, ela notificará a empresa exigindo a confirmação da ocorrência e informações sobre os relatórios de impacto, que descrevem como os dados estão sendo protegidos. A partir do que a empresa responder, poderá ser aberto ou não uma investigação, que pode até envolver o Ministério Público.
7. Quais os tipos de dados serão protegidos?
Serão os dados relativos às pessoas naturais e os dados chamados identificáveis. Se a empresa utiliza um código interno para designar que determinada pessoa é a dona daquele número de CPF, esse código interno é um dado identificável e precisará ser protegido da mesma forma.
As empresas terão o cuidado de identificar dentro dos seus bancos de dados, quais são os dados identificáveis. Um cookie, por exemplo, que é uma técnica utilizada para identificar o navegador de internet quando navegamos no site. Neste caso, o site grava um código no navegador do usuário e esse código passa a identificar aquele computador, ainda não necessariamente àquela pessoa. A partir do momento que a pessoa faz o login no site, por exemplo, está vinculado o código ao login e já é possível identifica-la. Então, aquele código também é um dado identificável e está sob a lei.
8. Como posso proteger os dados coletados?
O primeiro passo para a empresa proteger os dados coletados, é saber quais são os dados pessoais que armazena, coleta e processa. Isto é um inventário de dados que precisa ser feito para identificar todos dados pessoais, dados identificáveis e dados pessoais sensíveis.
A empresa precisará fazer um mapeamento e tratar com níveis de rigor diferentes os dados protegidos pela lei.
Isso será feito através de processos e de sistemas que garantem que somente as pessoas autorizadas terão acesso aos dados pessoais, e garantindo, que estarão protegidos de vazamentos acidentais. Para isso além do inventário é necessário implantar processos e ferramentas de sistemas, como gestão de acessos e identidades (GIA ou IAM na sigla em inglês), além de outros sistemas complementares, de acordo com o tamanho da empresa.
Quer saber como a sua empresa pode se preparar para esse processo de maneira segura e ágil?
