Depois de 2 anos, a LGPD entrou em vigor. E sua empresa precisa estar em compliance.
Desde o primeiro trabalho envolvendo direitos no ambiente digital, diversas polêmicas foram geradas, afinal, até então a internet era uma terra de ninguém. Mas é claro que a liberdade proporcionada por uma nação conectada jamais funcionaria sem a menor vigilância.
Não é mesmo?
Não há dúvidas, até porque o tempo provou que essa parceria entre segurança da informação e segurança jurídica não apenas funciona como também é necessária e foi evoluindo ao longo dos últimos anos, pouco a pouco preenchendo as vulnerabilidades do mercado para usuários domésticos e corporativos.
Dessa relação, nasceu a Lei Geral de Proteção de Dados (LGPD) em 2018, inspirada por uma lei europeia com o mesmo propósito: regulamentar e proteger os dados pessoais armazenados por pessoas físicas e jurídicas.
Apesar do alarde inicial, a LGPD não foi prontamente aceita, sofrendo com pedidos de revisões e alterações para que possa entrar em vigor, e embora seja uma criação inspirada do então bem sucedido Regulamento Geral sobre a Proteção de Dados (RGPD) – versão europeia da Lei, conhecida originalmente como General Data Protection Regulation (GDPR), demorou dois anos para uma data definitiva.
Mesmo agora, com a Lei em vigor, há ressalvas:
A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulamentador da LGPD, só passará a cobrar que as empresas estejam de acordo com as sanções propostas na Lei a partir de 1 de agosto de 2021.
Para a profissional Carla Prado Manso, gerente de LGPD na Compugraf, a constante mudanças de datas e essa “meia vigência” da Lei pode ser maléfica:
“O fato de a Lei ter datas alterações de forma tão recorrente, além do fato de estarmos falando de uma Lei que ainda não está completamente desenvolvida, pode gerar descrença por parte da empresas e uma má reputação sobre a seriedade do tema para o país”
A Lei Geral de Proteção de Dados já é uma realidade em diversos países, que embora possuam leis com nomes diferentes, existem com a mesma finalidade: a proteção de dados pessoais.
O tema é tão abrangente que lançamos um conteúdo bem completo explicando sobre seu significado, suas bases legais e detalhes jurídicos. Caso esteja tendo o primeiro contato com o tema agora, recomendamos que você confira nosso artigo:
Tudo sobre a Lei Geral de Proteção de Dados (LGPD)
Para evoluir com o tema, preparamos este novo artigo com história, conceitos e aplicações atualizadas da Lei em diferentes situações, além de desvendarmos algumas dúvidas bem recorrentes que identificamos em nosso banco de dados.
O que iremos abordar:
- O encontro do Marco Civil da Internet e a LGPD
- Linha do Tempo da Lei Geral de Proteção de Dados
- Sua empresa será punida pela LGPD?
- Um guia de implementação da LGPD
- A credibilidade da LGPD foi comprometida?
- Big Data e LGPD: O que deve mudar
- O Papel do DPO
- Como a LGPD afeta a credibilidade de sua empresa
- Comparativo: Qual a diferença entre a GDPR e a LGPD?
- A anonimização de dados na LGPD
- O direito à explicação na LGPD
- Gestão de Direitos dos Titulares previstos na LGPD
- Como funciona a Classificação de Dados na LGPD
- Consentimento vs Legítimo Interesse na gestão dos Dados
- Como regularizar sua empresa?
- Da Saúde ao Varejo – os impactos da LGPD
O encontro do Marco Civil da Internet e a Lei Geral de Proteção de Dados
Acho importante relacionarmos o Marco Civil da Internet com a Lei Geral de Proteção de dados, afinal, os dois possuem uma história um tanto parecidas, servindo de referência para aplicar as políticas de direito digital, o qual busca trazer conceitos tradicionais (como o código de defesa do consumidor) e outros que partem de demandas específicas, para a internet.
O Marco Civil da Internet foi a consequência de uma discussão que iniciou-se em 2009 pelo Ministério da Justiça em parceria com o Centro de Tecnologia e Sociedade, da Fundação Getúlio Vargas, mas só entrou em vigor em 2014.
Isso não quer dizer que a LGPD deveria demorar os mesmos cinco anos para ser praticado, até porque a maturidade da nossa relação com a tecnologia e as conexões amadureceu muito desde 2009, então já temos uma base mais lógica para entender a importância e como aplicar uma lei de proteção de dados.
Segundo o sociólogo espanhol Manuel Castells: “A internet tornou-se um meio de comunicação que permite, pela primeira vez, a comunicação de muitos com muitos.”
Junto à outros marcos alcançados nos últimos anos, como a Lei dos crimes informáticos e a Lei de acesso à informação, aos poucos o mundo digital foi preenchendo as lacunas em seu modo de funcionar e com isso passou a assegurar com mais precisão e qualidade a segurança de seus usuários domésticos e corporativos, o que também permite soluções mais aprimoradas.
Parte da discussão em relação a todas as Leis inclui, por exemplo, influências de políticas de outros países, como a GDPR – que inspirou a criação da LGPD.
Mas o que pouca gente sabe é que essa relação entre Direito e Internet teve como base a própria Constituição Federal de 1988, e também todo o material elaborado coletivamente pelo Comitê Gestor da Internet no Brasil (CGI.br) através do documento “Princípios para a governança e uso da internet”
Antes de qualquer avanço como a LGPD ou o próprio Marco Civil da Internet, as decisões sobre o que poderia ser considerado uma violação de dados, crimes e consequências, era muito subjetivo e os ambientes precários que muitas empresas forneciam não os impedia de ganhar ações pela prevalência do interesse corporativo, especialmente quando falamos sobre as grandes corporações do cenário, como Google, Microsoft, Apple, etc.
Portanto, as leis de fortalecimento ao direito digital estão fortemente relacionadas a necessidade de ter controle e um monitoramento mais eficaz das ações no ambiente.
Linha do tempo da Lei Geral de Proteção de Dados
Embora o cenário atual favoreça a popularidade da LGPD, a história diz que ela já existe desde os anos 90, com a formalização do direito à privacidade.
É preciso reconhecer todas as evoluções desde então para compreender como a relação entre as pessoas e a tecnologia mudou, e com isso novas demandas tornaram-se necessárias:
1890 – Direito à Privacidade
Em 1980, a sociedade brasileiro precisou de uma Lei para que pudesse ser deixada em “paz”, o termo privacidade aqui é usado com a sua conotação primária, o direito de manter-se sozinho ou não ser incomodado.
1948 – Declaração dos Direitos Humanos
No ano de 1948, a ONU oficializou sua “Declaração Universal dos Direitos Humanos”, e isso fez com que o mundo todo passasse a olhar para isso e na época até ajudou a tornar a lei de direito à privacidade mais popular.
2010 – Iniciativa Brasileira
Quando chegamos em 2010, países como os Estados Unidos já estavam bem maduros em relação às suas políticas de proteção de dados, mas no Brasil, foi quando as discussões mais sérias se intensificaram com diversas consultas públicas, debates e a delimitação de um escopo do anteprojeto.
2011 – Lei 12.527 de Acesso à Informação
Menos de um ano depois, nascia uma das leis mais promissoras do país, seu objetivo era o de promover a transparência das informações de posse do poder público, disciplinando o direito de acesso à informação previsto na Constituição Federal.
2012 – Lei 12.737 Carolina Dieckmann
Em 2012, um escândalo envolvendo uma famosa atriz foi responsável pela criação de uma nova Lei. Foi criada a Lei Carolina Dieckmann para criminalizar a invasão de aparelhos eletrônicos com a intenção de obtenção de dados pessoais.
2014 – Lei 12.965 Marco Civil da Internet
Conforme já mencionado anteriormente, é super importante compreender como o vigência de Leis ao longo da história estão relacionadas e se complementam. No caso do Marco Civil, ele reforçava (com a devida modernização) o direito à privacidade, mas ainda não garantia a proteção de dados como a LGPD propõe hoje.
2018 – Lei 13.709 Proteção de Dados
Agosto
A lei nacional de proteção de dados foi divulgada pouco tempo depois de sua versão européia, sua existência regulamenta o uso, proteção e transferência de dados no Brasil no âmbito público e privado. Apesar de sancionada, houve o veto à criação da Autoridade Nacional de Proteção de Dados e a condição de entrada em vigor 18 meses (fevereiro de 2020) após sua publicação.
Novembro
Ao final de 2018, o então Presidente da República Michel Temer promulga a Medida Provisória nº 869/2019 que autoriza a criação da Autoridade Nacional de Proteção de Dados e aumenta o prazo da entrada em vigor da Lei para 24 meses (agosto de 2020) e retira a obrigatoriedade de revisão humana de decisões tomadas no tratamento automatizado de dados pessoais.
2019 – Lei 13.709 Proteção de Dados
Julho
O Presidente da República promulga o decreto nº 9936/2019 que disciplina o tratamento de dados para a formação de histórico de crédito no Brasil (score)
Outubro
Projeto de lei (não acatada) sugere prorrogação da entrada em vigor da LGPD para 15 de agosto de 2022 (48 meses depois)
2020 – Lei 13.709 Proteção de Dados
Março
Projeto de lei (não acatada) sugere prorrogação da entrada em vigor da LGPD para 16 de fevereiro de 2022 (42 meses depois)
Junho
Depois de diversas sugestões de modificações, especialmente devido a pandemia do covid-19, o PL 1179/2020 é sancionado e convertido na Lei nº 14.010/2020 que mantém a vigência da LGPD para agosto de 2020 mas com a condição de que as multas e sanções só começariam a valer a partir de 1º de agosto de 2021
Fontes: Portal da Privacidade e Serpro
Curiosidade: Dentre sugestões e alterações menos populares, a LGPD foi movimentada ao menos 80 vezes desde sua assinatura, em 2018.
Minha empresa será punida pela LGPD?
Embora o início da vigência da Lei Geral de Proteção de Dados esteja, até então, agendado para agosto de 2020, suas sanções e punições só serão cobradas pela Autoridade Nacional de Proteção de Dados em 2021, e isso pode criar ideias errôneas sobre a importância de se regularizar o quanto antes.
É preciso entender, que com ANPD ou não, a partir do momento em que se constituiu uma Lei, ela passa a ser um direito para os favorecidos em suas ementas, e isso significa que outros órgãos poderão se envolver.
Isso mesmo, não é só a ANPD que vai estar de olho em sua empresa.
A partir do momento que um consumidor sentir-se lesado com o uso dos próprios dados e recorrer a um órgão regulamentador como à fundação Procuradoria de Proteção e Defesa do Consumidor (PROCON), ele poderá ser punido pelo não cumprimento da Lei, mas seguindo consequências diferentes e imprecisas, pois cada toma suas próprias decisões nesse sentido, e como o Procon não possui um padrão determinado por Lei, é difícil prever a punição.
Mas não é só isso. O Ministério Público também poderia se envolver em uma eventual infração de dados, por exemplo.
Aliás, não faz nem 10 anos desde que tivemos a Lei nº 12.965/14, mais especificamente em 2014, que denomina o Marco Civil da Internet. Apesar de ser pensada em um outro contexto e momento da sociedade, a Lei também possui a intenção de organizar melhor o uso da internet no Brasil e assim possibilitar o controle, estabelecer princípios, garantias, direitos e deveres.
Antes disso acontecer, é como se a internet fosse “terra de ninguém”, e embora o termo “controle” não seja a palavra mais amigável do mundo, acredite: você não vai querer sofrer com a perda de dados em um ambiente sem nenhuma garantia, sem ter recursos para reagir a isso.
E isso é justo, não é mesmo? Você foi avisado, na verdade, teve inclusive ao menos dois anos para se adequar a Lei Geral de Proteção de Dados.
Um guia de implementação da LGPD
Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.
Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.
Após a leitura, você irá entender:
- Os fundamentos da nova Lei Geral de Proteção de Dados e o impacto no dia a dia de sua empresa.
- Pontos críticos em relação a implementação da LGPD e o que caracteriza sua compliance, com as informações de especialistas.
- O passo-a-passo para implementação da LGPD.
- As melhores ferramentas auxiliares durante o processo de reestruturação de sua empresa.
A credibilidade da LGPD foi comprometida?
Para muitos gestores, detalhes como a constante mudança de datas afirmativas sobre a vigência da Lei Geral de Proteção de Dados, suas lacunas jurídicas em detalhes específicos, além da possibilidade de novas emendas e medidas provisórias a qualquer momento, podem servir como desculpa para não tratar o assunto com prioridade.
Mas não é essa a resposta que devemos esperar de uma obrigação jurídica, né?
Mas para uma Lei que foi inspirada em outras de mesma intenção, como a GDPR, é preciso ter consciência de que ela de fato irá entrar em vigor e quando as multas da Autoridade Nacional de Proteção de Dados iniciar as punições, dificilmente terá “falta de tempo para adequação” como justificativa plausível para descontar uma multa.
“Com mudanças ou sem mudanças, a LGPD foi assinada em 2018, e sempre foi muito explícito o fato de ser inspirada na Lei europeia. Argumentar para a ANPD que você teve pelo menos dois anos para arrumar a casa e ainda sim não foi o suficiente, simplesmente não fará sentido.” – alerta Matheus Intropidi, Analista de Telecom da Compugraf
O fato da LGPD ter tantas mudanças em relação a sua vigência pode ter relação com a maturidade do mercado brasileiro para lidar com o controle de dados, afinal não faz muito tempo que uma pesquisa da Gartner revelou dados totalmente desfavoráveis ao uso de dados como vantagem de mercado no país:
Em 2019, cerca de 87% das empresas estavam despreparadas para utilizar as informações coletadas e a aplicação de uma inteligência de negócios, isso em um momento em que Business Intelligence e Analytics são dois dos termos mais populares no mercado.
E isso tudo nos leve a acreditar que a pergunta deveria ser um pouco diferente da apresentada neste tópico…
Como a LGPD afeta a credibilidade de sua empresa?
Os dados falam por si só.
Quando uma empresa sofre com um data breach, ela pode ter o prejuízo financeiro como uma das consequências menos importantes no gerenciamento de uma crise como essa, afinal, com Lei ou não, ela possui uma base de clientes preocupados com a segurança de seus dados e esses vão querer uma explicação.
Essa falha pode causar problemas de reputação e questionamento do valor da marca, características muito difíceis de serem construídas mas facilmente prejudicadas, pois ninguém deseja ter seus dados disponibilizados em ambientes que facilitam a corrupção, como a dark web.
As cinco maiores consequências de um data breach para empresas
A empresa de segurança americana “The AME group” listou cinco das principais consequências sofridas por empresas que sofrem com o vazamento de dados, de maneira aleatória.
A fim de organizarmos as informações, decidimos reproduzir as consequências em uma ordem de impacto que fizesse mais sentido:
- Danos à reputação da marca
Toda empresa luta para que sua marca seja reconhecida em seu mercado de atuação como a melhor, e uma perda de danos é algo que pode rapidamente prejudicar a reputação já construída. Esse tipo de ocorrência terá uma visibilidade ainda maior com a LGPD, incluindo todas as consequências adicionais.
- Furto de propriedade intelectual
Nenhuma empresa quer ter seus próximos lançamentos expostos antes da hora, ou seu planejamento futuro divulgados na rede de internet, mas o furto da propriedade intelectual, e por aqui incluímos dados importantes para a empresa.
- Cibervandalismo
Alguns criminosos podem ir além dos ataques explícitos contra as empresas e implementar códigos e informações maliciosas na vítima, as quais não são descobertas imediatamente e podem causar constrangimentos futuros. Isso é chamado de cibervandalismo, pois a intenção maior gira em torno do ano de “sacanear”.
- Queda nos Lucros
Com a reputação da marca comprometida, é bem provável que os resultados dos próximos anos não sejam a mesma coisa, ao menos até a empresa ser capaz de se recompor, e com isso existe grande possibilidade de queda nos lucros das empresas que sofrem com isso em relação a períodos semelhantes anteriores.
Estima-se que isso ocorra em cerca de 29% das empresas afetadas por um vazamento de dados, e desse número, mais de 38% pode sofrer prejuízos superiores a 20%.
Qual a velocidade de um vazamento de dados
Quanto tempo leva para uma empresa construir uma presença relevante no mercado?
Embora as respostas para a pergunta acima possam variar bastante, o mesmo não é aplicado ao título desse tópico, pois na verdade, um vazamento de dados pode ocorrer tão rápido quanto o tempo que você tomaria lendo este artigo.
Isso mesmo.
Um vazamento de dados planejado pode ocorrer em apenas alguns minutos, a ação rápida de cibercriminosos é necessária para garantir que o alvo não tenha tempo suficiente para responder ao ataque.
Pode ser o tempo de você ir buscar um café e retornar a sua mesa de trabalho.
Estudos da CNBC, realizados ao longo de 2016, indicam que cerca de 93% dos ataques hackers bem sucedidos ocorreram em menos de um minuto, e cerca de 80% deles não foram reconhecidos imediatamente. E isso sem contar os possíveis zero-days.
Já uma outra pesquisa do mesmo ano, desta vez da BusinessInsider, revela que executivos já consideravam a possibilidade de pequenos ataques contra suas empresas algo preocupante.
E olhando o cenário atual, de pelo menos 4 anos depois, aprendemos mais uma vez que a melhor maneira de se proteger contra ataques cibernéticos e se prevenindo de ameaças antes mesmo de elas representarem um grande perigo.
DPO: Heróis sem capa, monitores de crise ou cargos terceirizáveis?
Desde os primeiros anúncios da GDPR, um cargo específico passou a ser mencionado com grande frequência, o Data Protection Officer (ou simplesmente DPO).
Segundo a definição da autoridade de proteção de dados europeia, a principal função do profissional na função é de garantir as melhores práticas durante todos os processos que envolvem dados pessoais, seja da própria equipe, clientes ou fornecedores.
Isso significa que o profissional deve participar ativamente do recebimento de reclamações e comunicações de titulares em relação aos seus dados, prestar esclarecimentos, adotar providências, e executar as demandas do órgão controlador e das normas estabelecidas pela LGPD.
Sendo assim, é o encarregado que realiza a intermediação do relacionamento entre a empresa e a ANPD.
A mesma autoridade também regulamenta o perfil ideal de um DPO sob os seguintes termos: “O encarregado da proteção de dados é designado com base nas suas qualificações profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados.” (no art. 37 parágrafo 5 da GPDR)
Já em seu art. 38, A GDPR fala que o DPO deve:
- Estar totalmente envolvido nas ações de proteção de dados.
- Ser apoiado pelo seu contratante para o exercício de suas funções.
- Não possuir uma hierarquia para qual precisa responder, sendo independente e possuindo acesso sem restrições ao titular e a autoridade supervisora de proteção de dados.
- Manter os colaboradores conscientizados sobre a proteção de dados. (falamos sobre a importância da conscientização de funcionários, aqui.)
- Ser amplamente divulgado como responsável no site da instituição de preferência.
Embora as especificações para o cargo de DPO no Brasil sejam “menos rigorosas”, é importante compreender que a intenção da GDPR é destacar que o profissional deve buscar pela transparência e a segurança de dados, não a imagem da empresa.
Isso é um detalhe importante para compreender todo o destaque sobre a autonomia e dedicação de um profissional para exercer a função.
Toda empresa precisa ter um DPO?
Não é atoa que o cargo de DPO tornou-se um dos mais cobiçados da atualidade, além de reunir o melhor dos dois mundos (segurança da informação + juridico), sua remuneração média na europa, onde a GDPR já está em vigor, gira em torno de €70.000,00 / ano.
Enquanto aqui no Brasil – e apenas como curiosidade, o portal vagas determina uma média salarial mensal de R$ 21,5 mil, com base em usuários reais que provavelmente atuam em empresas bem adiantadas em relação ao tema.
Atualmente, a Lei Geral de Proteção de Dados exige que toda empresa que processe mais de 5 mil registros em um período de 12 meses, independente de seu porte e faturamento, precisa do apontamento de um profissional responsável pela proteção de dados. Ainda não há hipóteses de dispensas dessa obrigatoriedade em cenários de exceção.
Essa demanda, em números, significa que faltam profissionais qualificados na europa e certamente ocorrerá o mesmo no Brasil. Estima-se que na europa exista uma demanda de pelo menos 18 mil DPO’s. No Brasil, acredita-se que o número de profissionais qualificados em 2019 era menor do que 100 – para obter os resultados, foi considerado apenas o profissional que é certificado internacionalmente pela EXIN na área.
Mas até então estamos falando de qualificação profissional, o que não é uma obrigatoriedade de nenhuma das leis, isso porque uma empresa pode apontar desde uma pessoa física que já atue em uma outra área da empresa, até um serviço de consultoria ou jurídico terceirizado para a função, seja ele um colaborador interno ou externo.
Em ambos os casos, o profissional poderá acumular funções, sendo que a única condição é que essas funções não entrem em conflito e o responsável possa exercer as funções de um DPO com toda a autonomia e independência necessária.
As definições de um DPO qualificado
Como base, o mercado recomenda que o profissional apontado como Data Protection Officer tenha uma formação em tecnologia da informação ou área jurídica, além de possuir a formação complementar recomendada para o exercício da função.
Dentre as possíveis formações complementares e opcionais de um DPO, algumas instituições de ensino no Brasil, oferecem:
Formação focada no padrão de sistema de gestão de segurança da informação. Temos um texto que fala melhor sobre isso, para acessá-lo, clique aqui.
- PDPE – Privacy & Data Protection Essentials (Focado na lei brasileira 13.709 LGPD)
Uma formação direcionada especificamente nas informações essenciais da LGPD.
- PDPF – Privacy & Data Protection Foundation
Treinamento voltado aos estudos da GDPR, que é considerada a base para a lei brasileira.
- PDPP – Privacy & Data Protection Practitioner
Um curso sobre “como fazer”, ensinando a rotina e práticas exercidas por um DPO.
Sobre os responsáveis não qualificados e os terceirizados
A obrigatoriedade de apontamento de um DPO representa que muitas empresas, menos estruturadas ou com recursos inferiores optarão por escolhas internas mais acessíveis e possivelmente menos qualificadas.
Pelo fato do Data Protection Officer ser um cargo extremamente novo no mercado, muitos profissionais apostam que o início das ações da Autoridade Nacional de Proteção de Dados seja um pouco mais didática e menos punitivamente no início, até mesmo considerando a medida provisória que oferece esse período para que todos possam passar por uma curva de aprendizado antes do início das punições pelo orgão.
A crença também é fortemente baseada no que ocorreu com a GDPR, que foi flexibilizada para tratar com menos rigidez as empresas com menos de 250 funcionários, o que pode beneficiar startups e empresas de pequeno porte.
Mas ainda sim, considerando todas as consequências de uma violação da LGPD, é preciso refletir se vale à pena definir um encarregado para o cargo que não tenha uma base mínima para garantir o compliance da empresa.
E por isso como alternativa a escolhas internas ou gastos elevados com profissionais dedicadas, algumas empresas podem buscar pela terceirização da função.
Com a demanda crescente de um profissional para cuidar de toda a governança de dados pessoais de uma empresa, já era de se esperar que o mercado como um todo se moveria para disponibilizar alternativas.
E disso está nascendo um termo para um serviço novo, conhecido como “DPO as a Service”, que possibilita a contratação de profissionais qualificados para cuidar da saúde dos dados pessoais de uma empresa, atuando interno ou externamente, mas possivelmente não dedicados a elas, resultando em custos mais acessíveis.
Mas em relação a isso, talvez seja interessante pensar no seguinte:
Se o espaço físico de sua empresa estivesse sendo invadido, você iria preferir ter uma equipe de segurança pronta para impedir o sucesso dos invasores, ou estaria disposto a contar apenas com a disponibilidade da autoridades locais?
O sucesso de uma prática criminosa pode depender justamente do tempo disponível para ação, então a decisão de possuir um profissional interno como DPO, assim como definir sua carga de dedicação e exclusividade a tarefa ou até mesmo pensar na possibilidade de terceirização do serviço, deve envolver o nível de risco assumido na situação acima.
É também importante considerar a exposição do profissional como DPO, pois sua identidade e informações de contatos deverão ser disponibilizadas a público, no próprio site da ANDP.
Cuidar dos dados pessoais da maneira correta
A ideia de possuir um profissional cuidando da segurança de dados da empresa abre a oportunidade para tarefas essenciais e relacionáveis ao cargo, por exemplo, muitas empresas têm dificuldade de criar uma campanha de conscientização consistente e funcional para o dia a dia dos colaboradores.
Como o maior interesse para um DPO é justamente esse cuidado com a saúde dados, é totalmente pertinente que a ele chegue a tarefa de pensar em maneiras de isso acontecer na empresa.
Talvez se mais empresas passassem a observar oportunidades como essa, além do simples compliance com a lei, esse tabu de contratação fosse convertido em algo mais positivo e funcional.
O impulsionamento do mercado de seguros digitais
Além de todo o impacto causado em empresas já existentes, o nascimento de uma lei regulamentadora como a Lei Geral de Proteção de Dados gera também uma nova tendência no mercado, abrindo espaço para os seguros digitais.
Considerando que a multa da LGPD pode chegar a R$50 milhões, os chamados “cyber seguros” certamente chegam pra ficar e devem acompanhar os novos investimentos de grandes corporações, que incluem também a contratação de um DPO.
Embora não resolva problemas, e nem reduzam o impacto negativo causado por um vazamento de dados, os seguros cibernéticos devem ser grandes aliados dos DPO na redução de custos em caso de problemas jurídicos nesse sentido.
O serviço já foi regulamentado pela Susep – Superintendência de Seguros Privados, e sua proposta, embora a propaganda atual seja sobre ganhar tempo para adequar-se a LGPD, deve girar justamente em torno de assegurar empresas contra acidentes cibernéticos, como o vazamento de dados ou violação de privacidade. – isso a longo prazo, quanto o mercado e LGPD já estiverem mais maduros e funcionando plenamente em compliance.
Segundo estudo realizado pela empresa seguradora Marsh, em uma parceria com a Microsoft, entre 2017 e 2019, o risco de crimes cibernéticos aumento em 30% no ranking das 5 maiores preocupações de empresas latino-americanas. E esse número tende a crescer conforme nos aproximamos da data em que a ANPD começará a multar as empresas.
Em nossas pesquisas internas para a produção deste material, as buscas do termo “LGPD” aumentaram em mais de 900% de 2019 para 2020, esse grande crescimento pode ter relação com a vigência da Lei, que até então estava prevista para o primeiro semestre de 2020, mas isso mostra como o mercado, preparado ou não, esta de fato preocupado com as consequências do novo regulamento.
10 principais direitos dos titulares previstos na LGPD
Como já deve ser amplamente conhecido hoje, a Lei Geral de Proteção de Dados garante essencialmente 10 direitos a todos os titulares de dados pessoais:
- Confirmação e acesso: Você pode solicitar a confirmação da existência de um tratamento e acesso aos seus dados pessoais, a razão pelas quais eles são armazenados, a origem da informação e quais os critérios de uso da empresa. Aqui também é possível descobrir quando seus dados não estão presentes na organização.
- Correção: Você tem o direito de solicitar que dados incompletos, desatualizados ou incorretos sejam prontamente corrigidos.
- Anonimização, bloqueio ou eliminação: Será possível solicitar que os dados sejam totalmente desvinculados das informações de reconhecimento pessoal (anonimização), suspensão temporário da operação de tratamento dos dados ou a exclusão de algo específico ou um conjunto de coisas dentro do banco de dados de uma organização, especialmente quando considerados desnecessários para a utilização da empresa.
- Portabilidade: É possível solicitar a transferência de dados pessoais para outros fornecedor, serviço, produto (e até mesmo internacionalmente).
- Revogação de Consentimento: É possível revogar a qualquer momento o consentimento de uso de seus dados pessoais tratados, pois mesmo após a autorização você ainda possui os mesmos poderes sobre eles.
- Eliminação: Sim, você pode manifestar o direito de pedir para que seus dados pessoais tratados, mesmo após consentimento anterior, sejam eliminados.
- Compartilhamento: Você tem o direito de saber informações sobre todas as entidades – públicas ou privadas com os quais suas informações pessoais são compartilhadas.
- Explicação: Você tem o direito de obter informações sobre as possibilidade e consequências de não fornecer o consentimento sobre determinadas ações de tratamento de dados pessoais.
- Oposição: Você pode negar o tratamento dos dados pessoais quando o processo é realizado de maneira ilegal – fora de compliance com a LGPD.
- Revisão de decisão automatizada: O titular dos dados pessoais tem o direito de solicitar informações sobre quais os critérios e processos utilizados na tomada de decisão da estrutura automatizada. Decisões como definição de perfil, profissional, consumo e de crédito são algumas das que afetam diretamente os interesses do titular.
Um detalhe importante é que o titular tem o direito de tomar diversas decisões em relação aos seus dados pessoais, conforme expostas nos itens anteriores, mas isso não o garante direito absoluto sobre eles, como em casos específicos e legais.
Os dados pessoais também podem ser tratados sem autorização quando são necessários para execução de contratos para o cumprimento de alguma obrigação legal, segredo comercial e industrial.
Por isso a LGPD não vai afetar somente as empresas, pois também vai envolver decisões e consequências críticas dos próprios titulares dos dados.
Como Funciona a Classificação de Dados na LGPD
A classificação de dados na LGPD funciona como um processo focado na garantia do nível de adequação de proteção de dados. Isso é baseado na ISO 27001 e com isso traz o valor, criticidade e todos os requisitos legais que envolvem essas informações.
A princípio, essa classificação de informação tinha o objetivo de mitigar o vazamento de dados, ou impedir o acesso inadequado pela falta de informação sobre os tipos de dados que estariam disponíveis.
Mas a classificação de dados pode na verdade ser essencial para ajudar as empresas a manterem-se alinhadas a Lei Geral de Proteção de Dados, que define dentre outras coisas as práticas corretas de coleta, tratamento, proteção e publicação de dados e sensíveis de pessoas físicas.
Quanto mais organizada e madura estiver a classificação de dados de uma empresa, melhor será o tratamento da informação e menor são as chances de sofrerem com algum tipo de crise envolvendo a LGPD.
A classificação de dados pode ser feita pelo setor de TI da empresa, por estar muito ligada a segurança de dados, mas é recomendável que seja feita em conjunto com o setor jurídico ou o próprio DPO.
Por via de regra, o profissional que cria e manipula uma informação é o responsável por sua classificação, podendo alterar os níveis a qualquer momento. Essas boas práticas permite que o dado seja classificado e rotulado antes mesmo de ser manipulado, acessado e distribuído.
Como deve ser feita essa classificação?
A política de segurança da informação de uma empresa serve como documento para definir os níveis da classificação das informações e como elas devem ser utilizadas pelos colaboradores.
De maneira geral, não existe uma regra específica para essa classificação, sendo algo totalmente personalizado de acordo com as necessidades de cada gestor, que pode considerar determinadas informações como relevantes. Mas quando não existe nada em específico que o profissional responsável queira detalhar, é possível começar com a seguinte referência:
- Público — Informações que podem ser disponibilizadas e acessíveis a qualquer pessoa.
- Interno — Informações que podem ser acessadas apenas por colaboradores da empresa.
- Confidencial — Informações acessíveis a apenas um grupo de pessoas autorizadas.
- Restrito — Dados acessíveis apenas por pessoas pré-definidas.
Como vimos no post, a classificação da informação e a LGPD andam lado a lado, enquanto a lei define como deve ser feito a manipulação dos dados, o sistema de classificação limita o acesso a eles, garantindo mais segurança e ajudando a empresa a permanecer dentro da legislação.
Como regularizar sua empresa?
A regularização de uma empresa para entrar em compliance com a LGPD não é um processo fácil, e é exatamente por isso que a figura de um encarregado (DPO) dedicado, é tão importante.
Para a profissional Carla Prado Manso, Gerente do time de LGPD da Compugraf, essa mudança deve ser muito bem planejada e orquestrada a partir dos seguintes pilares:
- Processos da Empresa (arrumar a casa)
O processo da empresa, é a primeira “arrumação da casa”, e nele é feito um diagnóstico inicial sobre modo de operar da empresa para melhor adaptação na transição, então aqui funciona principalmente o modo atual de se fazer as coisas, as ferramentas disponíveis, etc.
- Questões Técnicas
O processo técnico envolve o diagnóstico de estrutura necessária para essa mudança de modo de fazer as coisas, e ela deve ser feita com cuidado para que funcione a longo prazo, e é nesse ponto que fazer as coisas de última hora pode sair mais caro.
- Questões Jurídicas
A parte jurídica é a mais delicada, assim como na parte técnica, vai envolver muito da expertise do DPO para que a empresa se alinhe de maneira integral à Lei Geral de Proteção de Dados. O processo jurídico pode ser particularmente complexo pelas lacunas que a Lei, que ainda não está 100% escrita, possui.
E de fato são esses os pontos que devem caminhar juntos para que uma empresa esteja funcionando em compliance com a LGPD.
Dentro de cada um desses tópicos apresentados acima, existem necessidades específicas, em relação às necessidades técnicas, o Matheus Intripode já adianta 3 pontos essenciais:
- Inventário de Dados (dados coleta, processo que utiliza, base legal)
O inventário de dados é o momento de identificar todos os dados que a empresa coleta, a maneira como isso é feito, como é armazenado e tudo o que implica legalmente nesse processo. Considere essa como uma etapa avançada da “arrumação de casa”, pois é o momento em que tudo vai ser definido.
Possuir a ferramenta correta para a realização desse inventário, encontrada em soluções como a OneTrust, pode fazer toda a diferença a qualidade do controle a esses dados.
- Pedidos dos Titulares
Conforme a Lei Geral de Proteção de Dados especifica, o controle total dos dados pessoais deve ser de responsabilidade de suas respectivas personalidades, isso significa que uma estrutura adequada ao LGPD deve contar com uma ferramenta capaz de atender as demandas do proprietário dos dados. Isso deve ser respeitado incondicionalmente.
- Consentimento
O consentimento, ou a autorização de uso de dados é também uma etapa importante para a LGPD, não sendo possível que uma empresa armazene ou até mesmo solicite qualquer dado sem o consentimento dos clientes, salvo em casos de legítimo interesse*.
O conceito de Consentimento e Legítimo Interesse na LGPD
Existem muitas questões polêmicas na Lei Geral de Proteção de Dados, por exemplo, em casos de vazamento de dados uma empresa deve avisar as vítimas dentro de um “tempo razoável”, mas o que isso representa na prática? Pode ser o tempo que a empresa achar que é.
Mas até então, pra isso há uma solução: O que a GDPR diz sobre isso? No caso, 72 horas, e sendo a LGPD baseada nela, faz todo sentido realizar esse tipo de consulta.
Mas não é sempre que teremos uma Lei de origem para consultar, ao menos não diretamente, por isso é tão importante contar com um DPO qualificado para tomar as melhores decisões e não ter que prestar explicações a ANPD.
No caso dos termos consentimento e legítimo interesse, que de fato existem na GDPR também, temos duas possibilidades na permissão de uso e coleta de dados pessoais. E a diferença na teoria, seria esta:
O legítimo interesse
Uma empresa que possui como método a gestão de dados através do legítimo interesse possui uma responsabilidade maior, já que nisso ela afirma que está considerando e protegendo o interesse de ambas as partes. Isso pode ocorrer por exemplo quando um empregador armazena os dados dos funcionários ou de seus clientes.
Existem três elementos importantes que podem servir para caracterizar e identificar esse método como melhor alternativa:
- O DPO é capaz de responder facilmente o motivo dos dados coletados serem por interesse legítimo.
- O DPO consegue demonstrar que o processo é importante para o sucesso de uma tarefa.
- Existe a realização mútua da realização de um desejo de ambas as partes, garantindo os interesses, direitos e a liberdade individual.
O consentimento
Uma empresa que possui como estratégia de governança de dados o consentimento tem um desafio ainda maior pela frente, sendo um método desafiador por envolver ação de ambas as partes envolvidas.
Para exemplificar isso, vamos pensar em uma estratégia de e-mail marketing.
Quando você deseja enviar uma newsletter ou uma série de e-mails para um grupo de contatos, você precisa do consentimento deles para que esses e-mails sejam, de fato, enviados, ao menos é o padrão adotado por alguns serviços como o mailchimp, e mesmo quando esses usuários se inscrevem por conta própria em um formulário, também precisam confirmar o desejo de recebimento de e-mails adicionais.
O que pode acontecer no meio do caminho?
Bom, na pior das hipóteses, o e-mail pode ser descartado pelo servidor de e-mails do destino e ele nunca dará o consentimento ou ele simplesmente não se lembrar de aceitar isso.
Como resultado, não será possível o uso de envio de e-mails.
O mesmo vale no caso de consentimento com a LGPD, caso você deseje obter a autorização tardia para um grupo de contatos já existente, mas não tiver o retorno de alguns ou da maioria deles, isso significa que você não está autorizado a ter mais nenhum tipo de contato a essa pessoa.
Você arriscaria depender de uma ação voluntária?
Como você pode perceber, na prática, optar pela definição de consenso ou legítimo interesse é um tanto complicado. Consenso parece ser a maneira mais correta, mas ao mesmo tempo a mais problemática, enquanto o Legítimo Interesse pode soar subjetivo demais em alguns casos.
No cenário da GDPR, qual a preferência e quais os dados preliminares?
Segundo pesquisas preliminares realizadas pela Invenias, 43% das empresas optaram pelo uso do legítimo interesse no armazenamento de dados, 10% pretendem depender apenas do consentimento das pessoas e 47% acredita que sua estratégia deve envolver as duas possibilidades.
Em relação ao tempo de armazenamento de dados, a pesquisa revelou grande variação de organizações, sendo que 33% da empresas pretendem manter dados por até 5 anos (salvo a solicitação do cliente para retirar precoce), 23% por até 2 anos e 15% das empresas devem armazenar por ao menos 6 anos, junto a outros 15% que deve guardar por até 1 ano. As últimas posições representam 8% e 6%, sendo “períodos fora do que foi especificado” e menos de 6 meses, respectivamente.
O direito à explicação na LGPD
Dentro da LGPD existe o direito à explicação.
Isso significa que durante um processo contra uma empresa envolvendo o desrespeito a Lei Geral de Proteção de Dados, uma empresa terá o direito de explicar as razões antes de ser multada.
Esse direito de explicação é uma derivação do princípio de transparência, algo previsto na maioria das Leis de proteção de dados no mundo – assim como a própria GDPR, que também garante aos titulares dos dados as informações de maneira precisa e acessível em relação a como determinada empresa realizou o tratamento dessas informações de acordo com seus agentes de tratamento.
Junto aos critérios de legitimidade e justiça, algumas das leis internacionais, como GDPR, Selbst e Powles defendem a importância da existência desse direito, ainda que não exista formalmente.
Pois os especialistas acreditam que o fato da GDPR já estabelecer os direitos de informação sobre a logística de processos de decisões automatizadas, já deveria ser interpretado como um direito implícito de explicação ao permitir que o titular dos dados exerça seus direitos no ordenamento jurídico.
O direito à explicação no contexto brasileiro
É claro que na medida em que a ANPD se aproxima do processo de multas, algumas explicações podem não ser mais aceitas por não fazerem sentido, como dizer a eles que a empresa “Não teve tempo” para se adequar, mesmo após aproximadamente 3 anos de preparo.
Foi quase uma década de discussões, consultas públicas, mais de 2500 contribuições, audiências públicas no Congresso Nacional e interações com os mais diversos atores nacionais e internacionais para que a Lei Geral de Proteção de Dados (Lei 13.709/2018) fosse aprovada no dia 14 de agosto de 2018.
Essa nova Lei foi elaborada de maneira transversal e multissetorial, contemplando direitos que já podiam ser encontrados em conjuntos de leis nacionais anteriores, como o direito à explicação e à transparência.
No entanto, antes da LGPD, esses direitos só poderiam ser garantidos em decisões automatizadas e relativas à concessão de crédito, modelagem e cálculo de risco de crédito, logo nenhum caso coberto pela LGPD hoje poderia ser defendido com base na legislação nacional até então.
Para entender o funcionamento da evolução da Lei, basta voltar a nossa linha do tempo.
A Lei Geral de Proteção de Dados evoluiu de uma proteção setorial para tornar-se uma proteção geral, capaz de englobar os discursos de tratamento do Código de Defesa do Consumidor e a Lei do Cadastro Positivo.
Outro fator decisivo sobre a Lei foi a decisão paradigmática do Superior Tribunal de Justiça, que permitiu a atual interpretação do texto da lei. Sem muita resistência a LGPD rapidamente tornou-se um assunto recorrente dentro da corte superior.
Também se analisa a decisão paradigmática do Superior Tribunal de Justiça (STJ), que conferiu a atual interpretação ao texto desta lei. Em seguida, verifica-se como a LGPD consolidou o entendimento da corte superior.
Com a Lei em vigor, quais as diferenças entre a LGPD e GDPR?
Tanto a LGPD quanto a GDPR são legislações funcionais para abordar a segurança e proteção de dados pessoais utilizados em corporações e organizações governamentais, mas para entender melhor a diferença entre uma e outra, precisamos considerar fatores que muitas vezes são mais relacionados a própria cultura local. Afinal, a LGPD foi assumidamente baseada na GDPR.
Sendo neste cenário a primeira a exigir e entrar em vigor, a GDPR foi aprovada em meados de 2016 e aplicada em toda União Europeia, sua sigla significa General Data Protection Regulation, e com todas as alterações até ser efetivamente aplicada, passou a funcionar meses antes da nossa LGPD ser aprovada: em maio de 2018.
Desde então, a GDPR é considerada uma das maiores referências de uma leii de proteção de dados no mundo.
Sendo a GDPR válida apenas no território da União Europeia, outros países sentiram a necessidade de ter uma lei semelhante para manter os direitos dos seus dados exportados, e foi exatamente daí que surgiu a demanda de uma versão brasileira.
Em geral, a LGPD é muito parecida com a GDPR, mas a lei brasileira ainda possui lacunas e menos especificações do que sua base de inspiração, e por isso existem alguns pontos de divergência aos quais precisamos nos atentar, de modo geral.
Por exemplo, a lei europeia é bem mais específica em relação a determinados fatores, como os parâmetros que devem ser considerados para determinar quando uma pessoa é potencialmente identificável. No caso da LGPD, essa especificação ainda não existe.
O regulamento europeu também possui termos que detalham melhor as categorias especiais de dados pessoais, por exemplo, existe a diferenciação de categorias envolvendo “dados de saúde”, “dados biométricos” e “dados genéticos.
Na versão brasileira, essas categorias não existem, e são mencionadas de maneira discreta pelo termo “dados pessoais sensíveis”, e como não existe ainda uma definição muito objetiva para o que pode ser considerado um dado sensível, o termo passa a ser subjetivo.
Outro ponto chave é a definição de aviso de vazamento de dados, pois a lei brasileira apenas menciona solicita que seja realizado o comunicado a pessoa física “dentro de um tempo razoável”, enquanto a versão europeia especifica a quantidade de dias, para evitar que esse tempo torne-se subjetivo.
Tabela comparativa LGPD x GDPR
Conforme mencionamos, a LGPD e GDPR são facilmente confundíveis em alguns momentos. Inclusive, muitas das informações não amplamente explícitas na LGPD são deduzidas com a informação disponibilizada na LGPD, embora sejam diferentes.
Preparamos uma tabela comparativa para que você entenda, na prática, as diferenças essenciais da LGPD para a GDPR. Confira:
Tratamento de dados sensíveis
- LGPD (Brasil) – Art 11, II, ‘b’ e ‘g
Estabelece proteção especial aos dados sensíveis. O tratamento poderá ocorrer apenas nas hipóteses previstas na lei, independente do consentimento do titular.
- GDPR (União Europeia) – Art 9, §2º, ‘d’ e ‘e’
Proíbe o tratamento de dados sensíveis, estabelecendo algumas exceções.
Tratamento de dados de menores
LGPD (Brasil) – Art 14, §1º
- LGPD (Brasil) – Art 14, §1º
A todos os menores de 18 anos, é necessário que o consentimento seja dado pelos pais ou responsáveis.
- GDPR (União Europeia) – Art 8, §1º
Aceita o consentimento dado por crianças, desde que tenham pelo menos 16 anos. Para o caso de menores de 16 anos, o consentimento deve ser dado pelos pais.
Políticas de proteção de dados
- LGPD (Brasil) – Art 50
A lei brasileira trata a implementação de programa de governança e privacidade como faculdade dos controladores de dados.
- GDPR (União Europeia) – Art 24, §2º
Atribui aos controladores de dados a obrigação de adotar medidas técnicas e administrativas adequadas para assegurar o comprimento da legislação.
Representantes
- LGPD (Brasil) – Art 61
Prevê que a empresa estrangeira será notificada e intimada de todos os atos processuais na pessoa do agente, representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório instalado no Brasil.
- GDPR (União Europeia) – Art 27
A figura do controlador ou processador deve constituir, por escrito, um representante seu em um dos seus Estados-Membros.
Responsabilização dos agentes
- LGPD (Brasil) – Art 42 e seguintes
Existem três hipóteses em que o controlador/operador não é responsabilizado:
- Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados;
- Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação,
- Quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
- GDPR (União Europeia) – Art 82
Existem duas hipóteses em que o controlador ou operador não é responsabilizado:
- Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados;
- Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação.
Marketing direto
- LGPD (Brasil) – Art 61
Aplicam-se as regras gerais de consentimento, transparência e direito de objeção dos titulares dos dados pessoais.
- GDPR (União Europeia) – Art 21
O titular dos dados tem o direito de se opor a qualquer momento ao tratamento de seus dados pessoais, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.
Relação Entre Controlador e Operador
- LGPD (Brasil) – Art 39
O operador deverá realizar o tratamento de dados conforme a instrução do controlador. Não há exigência de formalização por meio de contrato.
- GDPR (União Europeia) – Art 28 §3º
Prevê que o tratamento de dados realizado por operador deve ser regido por contrato ou outro ato jurídico que vincule o controlador ao operador.
Relatório de Impacto
- LGPD (Brasil) – Art 38
Não foram especificadas em quais situações o controlador será obrigado a realizar um relatório de impacto à proteção de dados pessoais, delegando a uma regulamentação posterior o tratamento desta matéria.
- GDPR (União Europeia) – Art 25
Está previsto que o controlador deve prover um relatório de impacto à proteção de dados pessoais, quando o tratamento resultar em um elevado risco para o direito e a liberdade das pessoas. A GDPR traz ainda uma detalhada descrição do que deve ser abordado neste relatório.
Transferência Internacional de Dados
- LGPD (Brasil) – Art 33 e seguintes
Permite a transferência de dados pessoais para países ou órgãos internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto.
A lei é breve quanto a este procedimento e elementos a serem considerados como adequados.
A LGPD estabelece apenas diretrizes genéricas a serem observadas pelas autoridades nacionais.
- GDPR (União Europeia) – Art 44 e seguintes
Alega que a transferência internacional dos dados pode ser realizada independente de autorização específica caso a comissão europeia reconheça que o país terceiro assegure um nível de proteção adequado.
Caso não, a transferência internacional estará condicionada a garantias adequadas, que devem ser asseguradas pelo Agente.
Todos os procedimentos e elementos que são levados em consideração pela Comissão para a autorização da transferência estão descritos na GDPR.
Órgão Regulador
- LGPD (Brasil) – Art 68 e seguintes
Previa a criação da Autoridade Nacional de Proteção de Dados em sua origem, seguido a mesma linha do regulamento europeu.
Porém, os dispositivos que previam a sua criação e responsabilidades foram vetados, por incorrerem em inconstitucionalidade do processo legislativo.
- GDPR (União Europeia) – Art 68 e seguintes
Estabelece a criação do Comitê Europeu para Proteção de Dados, responsável por assegurar a aplicação coerente da GDPR.
Prazos e multas LGPD x GDPR
Seguindo exemplo da GDPR, a LGPD estabelece previsão de sanções administrativas para infrações. A multa pode chegar a R$ 50 milhões por infração.
No entanto, a aplicação da multa é equivalente a até 2% do faturamento bruto da empresa em seu último exercício, sendo o valor de R$ 50 milhões um teto. Vale lembrar, ainda, que a multa pode ser aplicada para cada instância de irregularidade.
A empresa ainda pode sofrer penalidades que determinam a suspensão de atividades que envolvam o tratamento de dados pessoais. Da mesma forma, pode ser determinada a suspensão de atividades da empresa como um todo no mercado até a regularização.
Com penalidades tão extensas, a adaptação das empresas à LGPD torna-se uma prioridade.
Por sua vez, a lei europeia aplica multas de até 20 milhões de euros ou 4% do volume de negócios global da empresa (o que for maior). Também estão previstas na GDPR advertências, determinações de bloqueio ou eliminação de dados e suspensão total, ou parcial do banco de dados correspondente.
A anonimização de dados na LGPD
A Lei Geral de Proteção de Dados já possui um grande desafio técnico pela frente: a capacidade real de anonimização de dados.
O termo trata da possibilidade de um dado pessoal ter todas as características que identificam uma pessoa apagados, de forma que nunca possa retornar ao seu formato original. Ou seja, qualquer dado que sirva para identificar alguém deve ser completamente apagado do banco de dados.
A complexidade desse recurso começa logo na maneira como a lei foi escrita, que não especifica que tipo de dado é considerado sensível a ponto ser capaz de identificar uma pessoa, e isso inclusive é uma dos grandes problemas de nossa lei em relação a sua inspiração, a GDPR.
Via de regra, é importante lembrar que um dado considerado anonimizado só existe quando não há nenhuma maneira de voltar ao seu estado original. “Não se trata de um processo de criptografia, em que basta a chave correta para ter acesso aos dados, a anonimização é definitiva.” – reforça Matheus Intropidi, Analista de Telecom da Compugraf.
Outro detalhe importante, é que a LGPD trata de dados pessoais, logo a partir do momento em que esse dado for anonimizado, ele deixa de ser protegido por ela. Diferente dos dados pseudonimizados, que ainda mantém possibilidades de identificação e continuam sujeitos à lei.
Segundo diversos especialistas, os dados anonimizados são importantes porque eles permitem que recursos como inteligências artificiais, IoT, machine learning, cidades inteligentes e análises comportamentais se desenvolvam sem que haja comprometimento de um grupo de pessoas no sentido de quebra de privacidade.
O site do governo Serpro ainda recomenda que sempre que possível as empresas públicas e privadas realizem o processo de anonimização de dados pessoais, pois assim é possível aperfeiçoar a segurança da informação na na organização (sem gerar acumulo desnecessário) mais confiança na relação com o cliente.
Mas também existe um desafio técnico para o processo, muitas empresas estão tão preocupadas em como armazenar os dados com segurança e compliance que não estão dedicando tempo suficiente para pensar em processos de exclusão efetiva.
Para isso é preciso ir além das soluções mais básicas e contar com a assessoria do DPO capaz de implementar o recurso dentro da definição do que a empresa irá compreender como correto na “desvinculação” pessoal.
Big Data na LGPD: O que deve mudar?
Big Data é um conceito bastante popular nos dias de hoje e define grande volume de dados com ou sem estrutura que são gerados a todo instante.
Embora seja um novo relativamente novo no mercado, a geração de dados existe desde antes mesmo de termos o primeiro computador, o site Verdict detalha um pouco de como usávamos os dados no passado e como eles serão possivelmente usados no futuro, para acessar a linha do tempo, clique aqui.
Não há como compararmos, no entanto, a quantidade de dados que era gerada no passado e o que é gerado hoje, já que temos muito mais dispositivos, como celulares e televisões inteligentes, assim como recursos como as redes sociais que basicamente funcionam com base nessas informações.
Isso sem contar também a tendência dos espaços inteligentes, como os assistentes virtuais, carros, geladeiras e até acessórios como o google glass (wearable devices) que geram dados que possibilitam seu funcionamento de maneira inteligente e integrada, permitindo que um, eventualmente acabe interagindo com o outro.
O Big Data permite a geração de oportunidades a partir da análise de dados partindo de diferentes fontes, resultando em ricos insights que não poderiam ser obtidos de uma outra maneira. Com o aumento de facilidades tecnológicas, o consumidor torna-se cada vez mais exigente e competitivo, e por isso é important uma tecnologia que acompanhe esse ritmo de mudanças.
Seu conceito gira em torno da possibilidade de gerar valor para negócios, os dados podem partir dos próprios clientes, seus hábitos em redes sociais e até mesmo reclamações. E é nesse ponto que fica claro o impacto gerado pela LGPD, como essa coleta de dados irá ocorrer, e manter sua agilidade, agora que a Lei entrou em vigor?
Os V’s do Big Data
Quando os primeiros usos do termo “big data” chegaram, seu uso era usado para definir três características básicas: volume, velocidade e variedade, esses que iniciaram algo muito comum em algumas estratégias teóricas de marketing que reúnem características que iniciem por uma mesma consoante.
Mas com o tempo, o mercado viu que esses três “v’s” não eram o suficiente para definir a magnitude do negócio, e por isso decidiram incluir mais dois: valor e veracidade.
Entenda a seguir o porque de cada uma dessas características:
Volume
O volume é certamente uma das maiores consequências da transformação digital que vivemos, pois o volume de dados gerados acompanha diretamente nossas evoluções nesse sentido, sendo que ainda em 2015 já gerávamos cerca de 2.5 quintillionbytes de dados por dia.
Você consegue imaginar o quanto esse valor cresceu desde então?
Pois nós descobrimos que não há uma afirmação sobre isso, mas que alguns especialistas divulgam a possibilidade de os dados dobrarem a cada dois anos, ainda que a previsão seja que o ano de 2020 termine com 350 zettabytes de dados (3 trilhões de gigabytes).
Variedade
Conforme o número de fontes de dados aumenta, sua complexidade também passa a ser maior, a qual é fortificada pelo quesito volume de informações. Ainda sim, quando bem administrados, esses dados tornam o conteúdo mais rico e essa variedade passa a ser algo positivo para a obtenção de informações mais aprimoradas.
Podem funcionar como fontes de dados as redes sociais (como facebook, instagram, linkedin), serviços de armazenamento e análise de dados, como Google Analytics, RD Station, e também serviços de comunicação, como o WhatsApp.
Lembre-se, o fator “quanto mais dados, melhor” só funciona quando a empresa é capaz de abraçar toda sua variedade de informações.
Velocidade
Aqui tratamos do inevitável, a geração de dados em grande escala ocorre o tempo inteiro, então sua captura e processamento deve envolver alta velocidade para ser possível acompanhar esse fluxo.
Considerado um dos maiores desafios pra quem trabalha com Big Data, essa agilidade deve definir o sucesso da empresa em utilizar os dados ao seu favor, com a rápida coleta dos valores necessários.
Veracidade
Agora que você já compreendeu que o fluxo de dados possui alta velocidade, pode partir de diferentes fontes e deve ser coletado através de um recurso que possibilite a velocidade necessária, é importante compreender a veracidade dos dados que está coletando.
Nem tudo o que é registrado é verdade, e também o acesso de dados pode causar confusão na hora de interpretação, por isso, é importante realizar um fact check sempre que possível além de tentar filtrar melhor as fontes de conteúdo.
Você não precisa estar ou seguir tudo para ter as informações que precisa.
Valor
O valor é o momento em que todos os esforços mostraram que o trabalho valeu a pena. Será que a empresa coletou os dados que gostaria? será que foi tratada uma boa estratégia em cima das informações obtidas? o cenário fará toda a diferença.
Aqui o mais importante fica para os resultados, como aquilo impactou a empresa e o quão enriquecedor foi todo o processo.
Na prática – o que deve mudar
Por tudo que envolve o âmbito do Big Data, sem dúvidas haverá um grande impacto em sua maneira de existir, pois a obtenção de dados automatizada, como nas técnicas de mineração e geração de profiling, que basicamente consiste nas informações em relação a uma pessoa, via tratamento de dados, pode ferir sua privacidade.
Isso porque esse tipo de abordagem resulta na obtenção de dados pessoais, a técnica analisa dentre outras coisas, o comportamento das pessoas e suas características, fatores que segundo a LGPD não podem mais ser obtidos sem a legítima autorização do indivíduo, salvo em casos de legítimo interesse.
De toda forma, é bem possível que isso mude a forma que serviços como Google Analytics funciona, pois ainda que exista o consenso, basta um deslize para que alguém tenha que pagar a conta, que não é barata.
Ainda vale a pena o risco?
O artigo 20 da Lei Geral de Proteção de dados declara que todo titular de dados tem o direito de solicitar a revisão de suas decisões tomadas em relação ao tratamento automatizado de suas informações, especialmente quando essas afetem seus interesses, como o perfil profissional, consumo, crédito e dados de personalidades.
Ficará mais difícil para empresas coletarem dados, de maneira consistente, sobre seus consumidores, de modo que possam aproveitar os dados para uma melhor operação, pois na maioria das vezes, essa conta de prejuízo na obtenção dos dados pode não fechar.
A Lei Geral de Proteção de Dados Pessoas deve promover esse impacto negativo, a princípio, especialmente nessas atividades de coleta e tratamento de informações – como é o caso do Big Data.
Mas isso não deve se estender por muito tempo.
Ainda que inicialmente isso represente uma redução desse tipo de atividade, tempo necessário para que as empresas aprendam o modo de fazer e apliquem esse tipo de técnica de maneira segura, para garantir o compliance, elas são de extrema importância para muitos mercados e devem continuar a longo prazo.
Com um ambiente mais seguro e adequado aos direitos de cada consumidor, uma nova era deve surgir com maior confiança e transparência no tratamento de dados nos espaços corporativos, e essa confiança é essencial para que a tecnologia passe por uma manutenção em seu modo de existir em uma sociedade conectada.
Da Saúde ao Varejo: Os impactos da LGPD por mercado
A Lei Geral de Proteção de Dados é uma maneira de regulamentar o uso de dados pessoais em determinadas ocasiões, especialmente no ambiente corporativo. Sendo assim, a Lei impactará, naturalmente, empresas que lidam com mais dados nesse sentido.
Para setores essenciais, como governo e saúde, que dependem de determinados dados pessoais para funcionarem da maneira correta, é provável que a Lei seja um pouco mais flexível, mas do setor secundário ao terciário, que inclui prestadores de serviço, profissionais liberais e comércio no geral, a adaptação precisa acontecer dentro do prazo.
A conclusão que fica é que seja com menor ou maior impacto, a LGPD irá sim afetar a maneira de sua empresa fazer as coisas, e até mesmo o modo como pessoas físicas lidam com os próprios dados, por isso, é preciso reunir todos os conhecimentos e ferramentas necessárias para que quando chegue a hora, seu negócio não ganhe os holofotes pelas razões erradas.
Como você vai salvar sua empresa?