No Brasil há, agora, uma norma específica para tratar do ativo mais valioso da sociedade digital: os dados. Por consequência, empresas terão de ajustar o modo de lidar com as informações de seus clientes.
A Lei Geral de Proteção de Dados (LGPD, nº 13.709/18), que entra em vigor em agosto de 2020, estabelece regras que as empresas terão de seguir para permitir ao cidadão ter mais controle sobre o tratamento dado às suas informações pessoais. No cenário atual, cada organização usa os dados dos clientes de forma aleatória. A lei, contudo, impõe padronização. “Podemos dizer que vivíamos um período em que muitos dados dos usuários eram capturados sem conhecimento ou sem estar clara a finalidade de uso ou, mesmo, o prazo de uso. Agora, com as novas regras, o titular dos dados estará mais empoderado”, explica a advogada especialista em Direito Digital, Patricia Peck Pinheiro.
Pela legislação, dados pessoais são todos aqueles que tornam possível identificar uma pessoa. Não é só nome, sobrenome, apelido, idade, endereço residencial ou e-mail. São, também, dados de localização, placas de automóvel, perfis de compras e Internet Protocol (IP), por exemplo. “Quando não há uma regulamentação, as relações são regidas livremente pelos contratos, que fazem a lei entre as partes. Agora, com uma lei específica, mesmo os contratos devem seguir a orientação trazida pela norma”, informa Pinheiro.
Transparência é a palavra de ordem. A regra brasileira não só exige que o titular dos dados consinta que sejam utilizados pela empresa (e revogue o consentimento a qualquer momento), mas que esse pedido de consentimento esteja claro e seja apresentado de modo didático. “Setores público e privado terão de repensar como informar o cidadão. Sabemos que os ‘Termos de Uso’ não são a melhor maneira de fazer isso. A lei é neutra, para ser atemporal, por isso, não indica a tecnologia de transparência, mas o resultado final desejado. Cada setor terá que operacionalizar isso”, esclarece o advogado do Núcleo de Informação e Coordenação do Ponto Br (NIC.br) e fundador do Data Privacy Brasil, Bruno Bioni. Não será mais permitido estocar dados para o futuro. “Muitas organizações saem coletando dados sem saber por que, o que vai deixar de existir. Você só coleta com uma finalidade específica”, diz.
Um catalisador para a promulgação da LGPD foi a General Data Protection Regulation (GDPR), o regulamento de proteção de dados dos países da União Europeia vigente desde maio de 2018. “A LGPD é importante por inserir o Brasil no rol de países com os quais a União Europeia poderá compartilhar dados, equiparando-se às exigências globais de proteção de dados e fomentando diversos setores da economia”, afirma a advogada especialista em relações do trabalho e sócia do Costa Tavares Paes Advogados, Cristina Buchignani.
Impacto na corporação
A lei se aplica a todos, porém, alguns setores vão sentir mais. “Haverá um impacto maior nas instituições que tratam os dados pessoais da categoria sensível – informações como origem racial, convicções religiosas, opiniões políticas, filiação a sindicatos e dados referentes à saúde, biometria, entre outros –, como os bureaus de dados (usados para consultas de informação), empresas de marketing digital, telemarketing, todo o setor da saúde e também o educacional. Além, é claro, das instituições financeiras, do varejo, das corretoras, seguradoras e companhias aéreas”, exemplifica Pinheiro.
Alguns procedimentos novos, como o que permite ao titular apagar seus dados e fazer portabilidade para outra empresa, deverão ser criados. Há, ainda, a exigência de reportar vazamento de dados.
No momento em que a transformação acontecer, os ganhos serão para todos. “Em 1990, quando foi sancionado o Código de Defesa do Consumidor, a mudança de processos demandou custos das empresas, mas trouxe o aspecto positivo de o consumidor ficar mais seguro para movimentar a economia”, recorda Bioni. “Com a LGPD, o consumidor ficará, também, mais à vontade para trocar dados. E a empresa com as melhores práticas ganham um diferencial competitivo”, complementa. Ele cita o exemplo dos bancos, que têm acesso a todo histórico financeiro de seus clientes: se os consumidores não estiverem satisfeitos com a transparência da instituição financeira, poderão migrar para outra.
A Medida Provisória nº 869/18 instituiu a Autoridade Nacional de Proteção de Dados (ANDP), responsável pela fiscalização e a imposição de multas, que podem chegar a 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. “Caberá ao órgão verificar se as empresas estão comunicando, de forma clara, sobre o tratamento de dados dos clientes; se foram estabelecidas medidas de segurança em seus bancos de dados para evitar vazamentos ou uso irregular por terceiros e aplicação de políticas eficientes de governança em Privacidade e Proteção de Dados”, comenta Pinheiro.
Como se adequar à lei
Mais do que uma mudança legislativa, a LGPD deve gerar uma transformação na cultura organizacional. O prazo de adequação de 24 meses está correndo e é curto, alertam os especialistas. Por isso, o movimento já deve estar acontecendo.
Pinheiro aponta três pilares para a adequação: soluções tecnológicas, revisão de contratos e condutas e capacitação da equipe. O passo inicial será fazer uma análise para identificar qual o grau de conformidade da empresa com a lei: onde, quando e como a organização capta os dados pessoais de clientes, fornecedores e funcionários, por exemplo. Outro ponto importante: em que lugar esses dados estão guardados e se há proteção, como senhas e criptografia, nesse armazenamento. “Certamente, o maior desafio será a implementação do efetivo sistema de governança e o respectivo monitoramento, inclusive no que se refere aos prestadores de serviços e aos parceiros, também abrangidos pela LGPD”, considera Buchignani. Os departamentos ou as pessoas responsáveis por tecnologia da informação, marketing e departamento pessoal serão os mais exigidos. É preciso certificar-se de que todos estão treinados para evitar vazamentos. Se necessário contratar profissionais para conduzirem a transformação interna, especialistas em gestão de riscos, blindagem de negócios digitais e assessoria jurídica especializada são os mais indicados.