A Lei Geral de Proteção de Dados (LGPD) surgiu como um divisor de águas na forma como lidamos com o tratamento de dados pessoais no Brasil. Visando oferecer maior proteção à autodeterminação informativa, ou seja, a capacidade do indivíduo em escolher para quais interesses e finalidades o uso de suas informações por empresas e órgãos públicos devem ser designados, pode-se entender que a lei foi feita para reforçar a questão da preservação da privacidade e da intimidade, em uma tentativa de inserir uma nova cultura em nossa sociedade, alterando a forma de responsabilização das empresas, ainda que, inicialmente, tenha muito mais um caráter pedagógico do que punitivo, visto que as sanções administrativas só passarão a ser aplicadas em 2021.
E para melhor compreender sua importância, deve ficar claro que, com o objetivo de estar em conformidade com uma tendência global de proteção de dados, proporcionando mais uniformidade em relação às leis de proteção destes, a LGPD foi diretamente inspirada no RGPD (Regulamento Geral para Proteção de Dados ou GDPR, na sigla em inglês), regulamento da União Europeia que entrou em vigor em 2018. Tal regulamento por sinal, cujo um dos objetivo é o de coibir o uso indevido de dados pessoais, obteve grande fomentação com o escândalo envolvendo as empresas Facebook e Cambridge Analytica, e a influência direta nos resultados das eleições presidenciais americanas no ano de 2016.
No Brasil, as empresas que começaram a fazer o processo de adequação à lei no momento em que ela foi aprovada, em agosto de 2018, saíram à frente, pois puderam aproveitar a vacatio legis de 2 anos para se adequar. Assim, por ser um processo que envolve a companhia como um todo e requer certo tempo de preparo, e, ainda que as sanções administrativas somente possam ser aplicadas em agosto de 2021, esse período de adaptação pode ser considerado como um diferencial positivo para quem soube aproveitá-lo.
Ao contrário do que muitos pensam, a aprovação da LGPD não alterou somente a rotina dos profissionais de TI, mas sim, das empresas como um todo. Isto pois, é necessária a realização de um esforço multidisciplinar envolvendo colaboradores de todos os setores, uma vez que as informações fornecidas pelos clientes poderão estar disponíveis em diversos ramos da empresa. Além disso, realizar um treinamento em todas as áreas sobre a proteção de dados, buscando conscientizar os funcionários (principalmente das áreas de venda e marketing) a pedir aos clientes apenas as informações realmente necessárias, minimiza os riscos de um possível vazamento de dados.
No tocante aos colaboradores, deve ser realizada a revisão dos contratos de trabalho de todos, para que fiquem adequados à nova lei. Deste modo, por exemplo, a política de tratamentos de dados da empresa precisa estar evidente e clara, sendo necessário o consentimento expresso dos funcionários sobre o tratamento de seus dados. No que tange os dados sensíveis, como filiação sindical, o consentimento deve ser específico e atrelado à finalidade que será utilizado.
Ademais, outra importante alteração se deu em relação aos contratos com os clientes. Nessa conformidade, não cabe mais o tipo de simples adesão, no qual o cliente após ler todas as cláusulas possuía as únicas opções de aceite ou recusa geral (fim do checkbox único). Com a nova lei, cada espécie de manejo de dados deve ser informada separadamente e ter seu consentimento assim também provido ou negado, privilegiando-se o respeito aos princípios da autodeterminação dos dados, da finalidade – pela qual deve haver um motivo para a requisição das informações – e da transparência.
Isso também vale para os contratos firmados com os parceiros e fornecedores, nos quais mister se faz expor as responsabilidades das empresas com o tratamento dos dados, respeitando, principalmente, a questão do consentimento sobre o compartilhamento destes entre as companhias.
Outra importante novidade, diz respeito ao DPO (Data Professional Officer), no Brasil nomeado como Encarregado pelo Tratamento de Dados Pessoais. Trata-se do protetor dos dados dentro da companhia, sendo o responsável pela intermediação entre a empresa, os titulares dos dados e a autoridade nacional de dados (futura Autoridade Nacional de Proteção de Dados). Não é necessariamente um cargo, mas sim uma função, sendo imprescindível que tenha autonomia para opinar sobre possíveis ilegalidades que ocorram. Dependendo da quantidade de funcionários da empresa e do modo como esta pretende se organizar, é extremamente recomendável que o exercício de tal função seja executado por um colaborador que não acumule este serviço com outras funções, de modo a evitar conflitos de interesses, além de ser interessante que possua conhecimentos sobre a empresa, sobre segurança de dados e sobre a Lei. Importante frisar ainda, que o DPO não é o responsável pela tomada de decisões na empresa, mas sim, a pessoa focada em proteger os dados dos clientes.
Ao analisarmos o tratamento de dados em si, a lei determina dez bases legais que o permitem, sendo uma delas, o consentimento do titular. Entretanto, este é o mais difícil de estar completamente adequado a lei, pois será necessário pedir o consentimento para cada utilização do dado pessoal. Além de que para a empresa, é de extrema importância conseguir registrar provas acerca da obtenção deste consentimento, como objetivo de evitar futuras lides em relação aos consumidores, fornecedores e colaboradores.
Em relação à questão do Marketing, também houve mudanças. O consentimento do cliente é parte essencial para a continuidade das campanhas, seja através das já conhecidas mailing lists ou pelas redes sociais.
Entretanto, aplicando-se os princípios da razoabilidade e da proporcionalidade, podemos inferir que, em uma hipótese na qual um cliente da empresa já tenha consentido com o envio de e-mails em compras anteriores, o envio de novos e-mails pode ser considerado legal, por exemplo, caso estes sejam condizentes com o serviço previamente adquirido e desde que não sejam utilizados, para tal, dados pessoais incompatíveis com o propósito. Importante ressaltar, porém, que o cliente deve ter a opção do “opt out”, ou seja, de se descadastrar de qualquer lista de e-mails de maneira fácil, célere e clara.
Além disso, ainda neste quesito, os serviços de data broker não devem ser utilizados em hipótese alguma, visto que violam os princípios do consentimento e da finalidade da disposição dos dados pessoais, se mostrando totalmente incompatíveis com a nova lei.
Por fim, visando mitigar riscos, é primordial que as empresas entendam seus atuais processos de gestão de dados e mapeiem os principais riscos neles envolvidos. A partir de então, invistam no treinamento interno para lidar corretamente com os dados pessoais de clientes, parceiros e colaboradores, em um esforço coletivo dos gestores, com a participação do jurídico e da TI, formando, deste modo, um projeto da empresa como um todo. No quesito da segurança da informação, em um viés tecnológico, as empresas devem investir no aprimoramento de programas de proteção, pois possuem a responsabilidade de salvaguardar os dados, sendo responsáveis caso haja o vazamento. Assim, recomendável o investimento em firewalls e em ferramentas de DLP (Data Loss Prevention), a fim de evitar, inclusive, vazamento interno.
______________
Eduardo Li Penteado Martins*
Engenheiro Eletricista com pós-graduação em Administração de Empresas pela FGV, Machine Learning Engineer pela StanfordX e Udacity, Open Source Software Development pela Linux Foundation e especialização em Deep Learning pela Deeplearning.ai.
Com mais de 14 anos de experiência nas áreas de TI e BI, atuou como gerente de Estudos Econômicos, gerente de Business Intelligence e Analytics, tendo também desenvolvido modelos de Valuation e modelos preditivos de Data Science.
Atualmente, como Head of IT na Even Construtora, é o responsável por planejar e monitorar os investimentos em tecnologia da empresa e supervisionar o desenvolvimento de modelos de BI e Machine Learning para suporte à gestão.
Ingryd Bueno Santos de Toledo*
Advogada, graduada pela PUC-SP. Atuou no Tribunal de Justiça do Estado de São Paulo e no Ministério Público Federal. Atualmente, se especializa em Direito Digital e LGPD.
*Os artigos publicados com assinatura, não traduzem necessariamente a opinião do Instituto de Engenharia. Sua publicação obedece ao propósito de estimular o debate dos problemas brasileiros e de refletir as diversas tendências do pensamento contemporâneo.