A Lei Geral de Proteção de Dados já está
vigente e com sanções previstas a partir de primeiro de agosto de 2020. A
penalização estipulada é de 2% do faturamento da empresa, valor limitado a R$50
milhões de reais.
Embora as sanções possam ser um fator motivador para os decisores nas empresas,
o grande risco está na exposição gerada a partir de um vazamento ou utilização
de dados pessoais. Além de ser mercadologicamente negativa, essa divulgação
pode gerar uma avalanche de processos jurídicos.
A judicialização já está em curso e em um levantamento recente feito junto aos
tribunais já se encontrou mais de 1.000 casos em curso. Alguns destes ainda
estão vinculados ao Código de Defesa do Consumidor, mas já com termos
vinculados à proteção de dados. Este volume tende a crescer à medida que mais
empresas forem sendo notificadas. Para mitigar este tipo de risco a empresa
precisa estar preparada e com a respectiva documentação de seus processos e
plano de ação para eliminar os gaps em relação à LGPD.
Ela (a empresa) deve ficar atenta também à utilização de identificação de dados
pessoais e sensíveis em suas bases. Os dados pessoais são aqueles que podem
identificar a pessoa (o indivíduo) como número de documentos, nomes associados
a endereços, data de nascimento, CPF, gostos e hábitos de consumo. Já os dados
sensíveis são aqueles que podem levar à discriminação de uma pessoa, como cor
de pele, raça, convicção religiosa, dado genético ou biométrico, entre outros.
Cabe observar que não há uma proibição em coletar e tratar estes dados, mas é
indispensável ter a autorização do titular dos dados.
Empresas do segmento financeiro utilizam regularmente estes dados no dia a dia,
por ser uma necessidade do negócio. Muitas repassam a informação a terceiros
(empresas de cobrança), por exemplo. Estas informações são consideradas de
Legítimo Interesse e só podem ser utilizadas com a expressa autorização. Vale o
mesmo para as empresas que tratam dados sensíveis: Como uma marca poderia atuar
no mercado uma empresa de Cosméticos? Ela precisa da informação sobre cor de
pele, por exemplo, para poder oferecer o melhor produto ao seu cliente.
Do ponto de vista legal, os consumidores precisam estar atentos e podem buscar
orientação no Guia do Núcleo de proteção de Dados do Conselho nacional de
Defesa do Consumidor (em parceria com a ANPD- Autoridade Nacional de Proteção
de Dados e SENACOM- Secretaria Nacional do Consumidor). As empresas precisam
estar monitorando seus processos de forma contínua, o que chamamos de Privacy
by Design, garantindo assim total aderência a esses pontos.
Hoje ainda há uma fragilidade muito grande por parte das empresas. Em
levantamentos apresentados na mídia, aparece um índice assustador de que 70%
das empresas ainda não se adequaram à nova lei (não tão nova assim!). Estas
empresas ainda possuem fragilidades como possibilidade de vazamento de dados através
de seus sistemas de informações ou mesmo pelo envio de e-mails com dados
pessoais por pessoas que não estariam autorizadas a realizar esta tarefa. A
responsabilidade solidária que prevê a compactuação de todos os agentes
envolvidos na colocação de um produto ou serviço no mercado aumenta
significativamente os riscos para a empresa. Em resumo, toda a cadeia de
fornecimento deve estar consciente, treinada, com processos, políticas e
documentos comprobatórios para que haja a plena adequação à LGPD. Infelizmente
essa ainda não é uma realidade tão próxima.
A receita para a adequação é simples em termos conceituais e o tempo de
implantação varia com a quantidade de áreas, processos, sistemas de cada
empresa, mas sua implantação precisa iniciar imediatamente. Os passos são os
seguintes: Conscientização, Data Mapping (ou Mapeamento de Dados) para
verificar os processos, políticas e contratos existentes; GAP ANALYSIS para
identificar as divergências em relação à LGPD; Planos de Ação para reduzir ou
minimizar os riscos e acompanhamento rumo ao PRIVACY BY DESIGN: estágio onde as
empresas acompanham continuamente suas adequações e já criam novos processos e
políticas dentro de um conceito de privacidade.
Por fim, existem ferramentas no mercado que fazem este processo de ponta a
ponta associado ao trabalho de um DPO-Data Protection Officer na determinação
das diretrizes. Outras ferramentas podem ajudar na anonimização dos dados
pessoais e sensíveis, mas este já é um tema para outro artigo. O importante é
evitar que a falta de ação seja justamente a responsável pela ação dos órgãos
fiscalizadores, com danos muito sérios à organização.
Ruy Rede - Engenheiro Eletrônico, especialista em Compliance,
Inovação e automação. CEO da Beelegal Soluções Tecnológicas.
Nenhum comentário:
Postar um comentário