LGPD: da cabeça à ponta dos dedos, importante é ter uma equipe pensando proteção de dados

A Lei Geral de Proteção de Dados (LGPD) é a lei de nº 13.709, promulgada em agosto de 2018 e que entrou em vigência a partir do dia 18 de setembro de 2020. A lei é inspirada na regulamentação europeia de proteção a dados pessoais, a GDPR, também promulgada em 2018.

Dentre seus muitos objetivos que visam assegurar a proteção de dados de pessoas físicas nas mais distintas circunstâncias – da violação de dados por conta de um ciberataque ao uso não-consentido, por parte das empresas -, a legislação elenca, como compromissos principais:

  1. Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários;
  2. Estabelecer regras claras sobre o tratamento de dados pessoais, bem como práticas transparentes e seguras;
  3. Fortalecer a segurança dos titulares dos dados no tratamento de dados pessoais, garantindo a livre-iniciativa, a livre-concorrência e a defesa das relações comerciais e de consumo;
  4. Promover a concorrência e a livre atividade econômica, inclusive com a portabilidade de dados – isto é, a possibilidade de o usuário decidir quem e como seus dados serão tratados;

Mas, embora a lei já esteja em vigor no Brasil desde 2020, ainda há um longo caminho a ser percorrido para que se cumpra em sua totalidade. Muitas empresas ainda têm dificuldade em compreender as orientações da lei e mobilizar os esforços necessários para operar em conformidade.

LGPD veio para mudar a forma como pensamos a cibersegurança

A melhor forma de entender o que muda com a Lei Geral de Proteção de Dados é indo além da atuação prática; isso porque a LGPD nos urge a pensar a cibersegurança de forma mais integrada e mais focada no usuário, e não apenas mudar a atuação a fim de .

É uma diferença sutil, mas que, se tida como norte, elucida sobre as medidas a serem adotadas e o que priorizar, a fim de agir nos conformes da lei.

A corrida pela adequação

Naturalmente, após ser divulgada, a LGPD preocupou líderes de negócios em todo o Brasil, sobretudo devido à notícia de que a fiscalização seria conduzida por uma nova agência, criada especialmente para esse fim – a Agência Nacional de Proteção de Dados, ou ANPD. Saídos de uma cultura mundial em que dados pessoais eram trocados e manipulados sem muita preocupação, as novas práticas elencadas pela lei, e construídas de modo a ter o titular dos dados no centro das operações, refletiram quão atrasados, globalmente, estamos quando o assunto é proteção aos dados pessoais.

Somam-se a isso notícias crescentes de ciberataques, violações e vazamentos de informações confidenciais de pessoas físicas e jurídicas e temos a sensação de estarmos segurando uma bomba-relógio nas mãos.

O movimento inicial na maior parte dos negócios, portanto, foi montar uma operação “de emergência”, para atender às normas da lei. Equipes de TI se viram sobrecarregadas com novos e urgentes afazeres, mas sem a infraestrutura necessária para, de fato, montar um sistema de segurança integrado. E, além disso, em março de 2020, a pandemia do novo coronavírus forçou a maior parte das empresas a operarem em modelo híbrido, ou totalmente em home office: dispositivos pessoais viraram dispositivos de trabalho; arquivos confidenciais eram compartilhados em redes sem medidas básicas de segurança; aplicativos de conversa viraram ferramentas de colaboração – e os times de TI, erroneamente, lidavam com toda a responsabilidade de “proteger os dados dos clientes e colaboradores”.

Foi uma corrida pensada para atender a critérios operacionais, quando, na verdade, a LGPD é muito mais uma mudança de gestão do que uma mudança de ação. Não à toa, ainda estamos distantes de ter empresas operando em total conformidade com a lei.

Pensar a segurança como prioridade

Há um elemento-chave no texto da LGPD para entender como empresas de todos os portes podem começar a se adequar: o foco em gestão de segurança.

A administração de riscos e falhas de segurança é um dos pontos principais destacados pela Lei Geral de Proteção de Dados. Na prática, isso quer dizer que quem gere base de dados pessoais – isto é, as empresas – terá que desenvolver e implementar normas de governança, adotar medidas preventivas de proteção de dados, indicar um representante legal para tratar com a Agência Nacional de Proteção de Dados, bem como estudar e replicar boas práticas e contemplar as certificações de segurança existentes no mercado.

É preciso, ainda, elaborar planos de contingência, conduzir auditorias e se preparar resolver incidentes com agilidade. Na ocorrência de um vazamento de dados, por exemplo, a ANPD e os indivíduos afetados devem ser imediatamente avisados.

A princípio, muitas dessas responsabilidades foram atribuídas a duas figuras que ganham prevalência na lei: o Data Protection Officer (DPO) e o agente de tratamento de dados, que pode ganhar a forma de uma empresa terceirizada para esse fim. Embora não sejam atribuições equivocadas, o que está pesando na maioria dos negócios é que não se trata, apenas, de criar novos cargos e contratar profissionais ou fornecedores para preenchê-los. É preciso construir uma nova cultura de segurança, ou de compliance.

A governança na LGPD

Da mesma forma que empresas ESG precisam de um comitê de sustentabilidade e uma gestão que permeie os distintos processos da organização a fim de que se cumpram as diretrizes que classificam um negócio como ESG, algo similar ocorre com a LGPD.

Trazer a segurança como uma estratégia paralela ao negócio não é o caminho. A cultura do direito à privacidade e à proteção dos dados pessoais deve perpassar processos, investimentos e tomadas de decisão.

É por isso que uma equipe de compliance, com profissionais preparados para orientar sobre o melhor caminho a ser seguido pensando nos interesses do negócio e na segurança de usuários e colaboradores, é essencial para a conformidade com a LGPD.

Essa equipe, formada por especialistas de diferentes áreas – do Jurídico à Tecnologia – combinará esforços e conhecimento para dar o norte às organizações, a fim de que sejam mobilizados os esforços necessários, no ritmo adequado, considerando a estrutura e os recursos de cada negócio.

Na Compugraf, nós reunimos um time de especialistas dedicado a estudar e nos orientar sobre as diretrizes da nova lei. Nós entendemos que essa é a melhor forma de assegurar que a proteção de dados e a segurança de nossos parceiros, clientes e colaboradores permeia todas as decisões do negócio.

É preciso cuidar para que a preocupação com o compliance não se transforme em uma corrida desenfreada por medidas paliativas.

As falhas de segurança podem gerar multas de até 2% do faturamento anual da empresa no Brasil, com um limite de R$ 50 milhões por infração; a ANPD fixou níveis de penalidade segundo a gravidade das falhas de segurança e emite alertas e orientações antes de aplicar sanções às organizações, mas permitir que isso vire um jogo de gato e rato – indo atrás de corrigir problemas após uma notificação, em vez de preveni-los -, é insustentável.

Websérie: Squad LGPD Compugraf

Quer saber como implementamos a Lei Geral de Proteção de Dados na nossa empresa?

Aqui na Compugraf, nos atualizamos diariamente para ficar por dentro de tudo que envolve a LGPD e, pensando nisso, preparamos uma websérie para que você possa acompanhar um pouco do trabalho da nossa equipe de especialistas e entender melhor as diretrizes da nova lei!

Basta acessar a Websérie: Squad LGPD Compugraf e se cadastrar para não perder nenhum episódio! Acompanhe!

Read more
No Comments

Por que os e-commerces terão que alterar suas políticas de privacidade no próximo ano?

e-commerces terão que alterar suas políticas de privacidade no próximo ano

A Lei Geral de Proteção de Dados Pessoais (LPGD) foi publicada em agosto de 2018 e entrará em vigor após decorridos 18 (dezoito) meses da sua publicação. Por parecer um considerável intervalo para início efetivo dos efeitos da lei, que poderá incluir fiscalização e punição de infratores, o prazo de 18 (dezoito) meses, ao invés de motivar as empresas interessadas e envolvidas na proteção de dados a se alinharem às mudanças de rotina que a Lei irá exigir, trouxe um certo “conforto” à essas empresas, que estão deixando tudo para 2020, o ano em que a Lei estará em vigor.

Contudo, vale a pena o alerta: as empresas não devem cometer o erro de deixar tudo para a última hora! São muitas mudanças que afetam a rotina da empresa, sua cultura e comportamento, bem como ferramentas necessárias para se adequar à LGPD. As novas regras abrangem desde os dados mais sensíveis até os dados de uso diário como questionários, idade, dados cadastrais, tanto para coletar, transmitir ou processar esses dados.

Além disso, os titulares dos dados, protegidos pela Lei, com certeza não vão abrir mão de invocar seus direitos normatizados pela LGPD, tais como: pedir explicações sobre seus dados, solicitar, inclusive, alterações e correções em caso de divergência.

Além de todas as adequações que as empresas deverão buscar durante esse período, bem como ferramentas necessárias para regular proteção dos dados, será necessário informar ao cliente o motivo pelo qual os seus dados serão tratados, não somente fazendo uso do que chamamos de opt-in no e-commerce, ou seja, não será suficiente colher apenas o “OK” do cliente para o efetivo consentimento. Os e-commerces deverão, de maneira clara e detalhada, esclarecer o motivo pelo tratamento dos dados.

E onde os e-commerces poderão detalhar isso, fazendo com que o cliente não apenas dê o consentimento, mas leia e tenha ciência sobre o tratamento de seus dados? Na “Política de Privacidade” ou, como em outros sites, “Termos de Condições de Segurança”.

Além do consentimento mencionado acima, não custa lembrar que muitos lojistas já tratam dados pessoais antes mesmo do cliente ler ou aceitar a Política de Privacidade do site, por meio de cookies ou outras ferramentas tecnológicas, na mera navegação.

A Política de Privacidade da loja é o meio ideal usado para tornar transparente sua relação com o usuário. Lá você informa todos os direitos, garantias, formas de uso, dados recolhidos, processamento e descarte dessas informações pessoais. Atualmente, os e-commerces pedem ao usuário, após preenchimento do seu cadastro, que demonstre expresso consentimento e concordância com esses termos. Isso tudo surgiu, de forma mais expressiva, após a regulação específica do mundo virtual, através do Marco Civil da Internet. Essa lei estabeleceu direitos e garantias aos usuários, além de regulamentar as responsabilidades aos setores públicos e privados.

Contudo, a mera alteração das Políticas de Privacidade não é o suficiente para garantir sua eficácia e adequação à LGPD. É importante se atentar para os aspectos práticos, pois, caso não implementado de forma correta, pode invalidar a sua Política de Privacidade. Sendo assim, destacamos alguns pontos importantes para uma Política de Privacidade adequada:

Consentimento

A Política de Privacidade do e-commerce nada mais é do que os termos de um negócio jurídico estabelecido entre o próprio comerciante com seus usuários. Para que tenha validade e eficácia, deve ser levada ao conhecimento do usuário que, por sua vez, deve manifestar sua aceitação. É nessa linha que se aperfeiçoa o vínculo contratual.

Consentimento Válido

A LGPD apresenta definição em seu artigo 5º, XII: “Para os fins dessa lei, considera-se consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Essas são as características definidas pela LGPD para consentimento do usuário, que deve ser livre, ou seja, confere ao usuário pleno controle sobre o tratamento de seus dados pessoais. Deve, ainda, poder escolher quais dados fornecer ou não, podendo, inclusive, retirar seu consentimento a qualquer momento. O lojista não pode compelir o usuário a consentir com tratamento de seus dados pessoais para ter acesso a determinada aplicação na internet. Dessa forma, esse consentimento não é considerado livre e pode ser invalidado por ineficácia da aceitação.

Vale incluir uma exceção ao esclarecimento acima, uma vez que existem hipóteses em que o tratamento de dados é essencial ao regular funcionamento da aplicação na internet, sendo justificável que se condicione o acesso à aceitação do tratamento de dados essenciais.

Informações Necessárias

O usuário deve ter informações suficientes sobre o e-commerce e os serviços prestados, bem como sobre o tratamento de seus dados. Isso porque ele deve ter ciência do que está sendo contratado e consentir de forma consciente. Assim, o usuário deve saber a identidade do e-commerce, os responsáveis pelo tratamento de seus dados e as finalidades de destino desse tratamento. É fundamental que os e-commerces sejam transparentes com seus usuários, fornecendo o máximo de informação possível sobre seu modelo de negócio e a finalidade da coleta de dados. Tal finalidade, pela LGPD, deve ser específica e informada na Política de Privacidade, sendo proibido o uso de dados para fins não previstos, sem o consentimento do usuário.

Aceitação do Usuário

Deve haver uma ação do usuário indicando sua aceitação, seja por um clique ou por assinatura eletrônica. O silêncio nunca poderá ser considerado consentimento. Atualmente, muitos e-commerces incluem links para suas Políticas de Privacidade no rodapé do site, não exigindo aceitação do usuário. Além disso, possuem cláusulas de que o mero acesso já é aceitação pelo usuário de tais Políticas. Isso não será mais permitido pela LGPD.

O usuário, de alguma forma, deverá aceitar e consentir de forma expressa com a Política de Privacidade do e-commerce. Não somente isso, em qualquer alteração ou atualização quanto ao modelo de negócio do e-commerce ou ao tratamento de dados dos usuários, o consentimento deve ser renovado, uma vez que o consentimento originalmente fornecido, não será mais válido.

Conclui-se que o ano de 2019 será de muito trabalho para os e-commerces. Desse período até fevereiro de 2020, será o intervalo que permitirá adequação dos e-commerces para receber a LGPD e sua futura Autoridade de Proteção de Dados. Além das muitas mudanças necessárias, podemos observar que nada é tão simples quanto parece. O que as empresas pensam ser apenas mais uma alteração na redação de suas Políticas de Privacidade é o que dá validade ao negócio jurídico do comerciante com o usuário e, se não implementado corretamente, pode tornar qualquer Política inválida, deixando o lojista desprotegido em caso de eventual disputa.

Essa questão é uma dentre muitas questões fundamentais para proteção do e-commerce às altas multas cominadas pela LGPD. Esperar até o Carnaval de 2020 para tomar providências de adequação pode fazer com que o comerciante não tenha tempo hábil não somente para modificar a Política de Privacidade do seu site, mas também de mudar a cultura das áreas de sua empresa, que deverão também obedecer o que será determinado na nova política, após sua remodelagem.


Este artigo foi escrito por:

Ricardo Oliveira
Sócio do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo.  Atua há quase 10 anos na área jurídica, focando na multidisciplinaridade e interação dos mais diferentes ramos do Direito, sempre com foco em empresas do comércio eletrônico e tecnologia da informação.

Amanda Almeida
Advogada associada do COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo. Possui experiência em contencioso de massa, gestão e controle de contratos, atuando principalmente com empresas do seguimento ecommerce

Read more
No Comments