Muito se tem falado no mundo empresarial sobre proteção de dados pessoais e privacidade. Essa preocupação é muito válida, uma vez que a informação sobre o cliente é um dos principais ativos das organizações, especialmente nos últimos anos.
Desde a quitanda da esquina de São Bartolomeu, cujo dono conhece e pergunta pela família de cada freguês, até empresas multinacionais que utilizam ferramentas sofisticadas de inteligência artificial para maximizar as oportunidades de mercado, as informações sobre cada cliente são fundamentais para desenvolver produtos, agregar valor e melhorar as margens da empresa. No entanto, e se essas informações forem “utilizadas para o mal”?
Praticamente todos os dias surgem notícias sobre empresas que tiveram suas bases de dados invadidas por hackers. Dados familiares, contas bancárias, números de cartões de crédito e uma infinidade de informações pessoais vão para o mercado negro e são vendidas para desconhecidos. Esse problema é real e, muitas vezes, acontece porque as empresas não estão preparadas para armazenar esse tipo de informação.
Proteção de dados pessoais na União Europeia e no Brasil
Por esse motivo, a União Europeia (UE) adotou, em 2016, a General Data Protection Regulation (GDPR). De forma simplificada, a GDPR é um regulamento sobre proteção de dados e privacidade para todos os cidadãos da UE. Os principais pontos abordados são a transferência de dados pessoais para fora das áreas da UE, dar controle aos indivíduos sobre seus dados pessoais e simplificar o ambiente regulatório para negócios internacionais.
No Brasil, o ex-Presidente Michel Temer sancionou a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709, de 14 de agosto de 2018), fortemente influenciada pela GDPR. Com isso, passamos a fazer parte de um grupo de países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos. A LGPD se fundamenta em diversos valores:
- Respeito à privacidade;
- Autodeterminação informativa;
- Liberdade de expressão, de informação, de comunicação e de opinião;
- Inviolabilidade da intimidade, da honra e da imagem;
- Desenvolvimento econômico e tecnológico e a inovação;
- Livre iniciativa, livre concorrência e defesa do consumidor; e
- Direitos humanos, liberdade e dignidade das pessoas.
Na prática, a Lei determina que todos os dados pessoais (informação relacionada à pessoa natural identificada ou identificável, como nome, idade, estado civil, documentos) só podem ser coletados mediante o consentimento do usuário, além de outras exigências relativas ao tratamento e uso das informações. Para as empresas que descumprirem a LGPD, as sanções são:
- Advertência, com indicação de prazo para adoção de medidas corretivas.
- Multa simples, de até 2% do faturamento líquido da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração.
- Multa diária.
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência.
- Bloqueio dos dados pessoais envolvidos na infração até a sua regularização.
- Eliminação dos dados pessoais envolvidos na infração.
A LGPD na prática
A LGPD passará a ter vigência a partir de agosto de 2020 – esse é o prazo para que as organizações façam as adequações necessárias e se ajustem às exigências legais. Isso, no entanto, requer mudanças profundas em pelo menos três aspectos:
- Jurídico: as organizações precisam se preparar e conhecer os impactos legais e as formas de proteger as informações pessoais dos seus clientes, funcionários e colaboradores, incluindo uma coleção de evidências que suportem as melhores práticas de segurança e conformidade. Além disso, precisam estar em conformidade com os diversos requisitos legais de consentimento, coleta, tratamento e uso das informações pessoais.
- Tecnológico: a preocupação com a segurança das informações passa a requerer ferramentas mais sofisticadas e maior accountability, incluindo processos regulares de auditoria de segurança, atualização de sistemas e cuidados adicionais em relação ao parque tecnológico. Em outras palavras, a empresa precisa redobrar a preocupação com brechas de segurança e potenciais formas de invasão de dados.
- Processos: os processos internos precisam ser revisitados sob a ótica da informação pessoal. O objetivo é identificar os momentos em que a empresa coleta, trata, usa, armazena e/ou destrói os dados pessoais, e garantir que esses procedimentos estejam em conformidade com a LGPD e com as políticas internas da própria empresa. Uma consequência disso é a necessidade de capacitar a equipe que tem qualquer tipo de acesso a dados pessoais sobre as normas legais e os procedimentos adequados no contato com esses dados.
Há vários outros aspectos necessários para garantir a aderência total à LGPD, mas esses três são os mais sensíveis, uma vez que envolvem, em seu conjunto, um dos maiores desafios de qualquer organização: uma mudança de cultura.
Para contribuir com o mercado e auxiliar as empresas a se prepararem para a LGPD, o Instituto Modal criou a sua Certificação em Proteção de Dados Pessoais. É uma metodologia que avalia o nível de conformidade da organização em relação à LGPD com base nos três aspectos fundamentais (jurídico, tecnológico e processos). Entre em contato e descubra como podemos ajudar a sua empresa.