Assessoria Jurídica e Consultoria em Proteção de Dados

ASouzaAdvocacia
ARTIGOS

PROTEÇÃO DE DADOS

icompo12_wp3

Hoje boa parte da economia está alicerçada no compartilhamento de conhecimentos, informações e dados pessoais. Fica cada vez mais claro a dependência absoluta em utilizar esses dados como insumo da economia e com expressivo potencial lucrativo onde novos modelos de negócios, antes inimagináveis, são sustentados por um assustador volume de dados pessoais, gerados a cada segundo, armazenados por grandes empresas, denominadas Big Data.

Diante deste novo modelo de negócios, baseado em dados pessoais de toda ordem, desde uma simples localização de seu celular até hábitos de consumo de alimentos comprados via online, tornou-se imprescindível uma regulamentação adequada objetivando evitar uma série de abusos e violações quanto a invasão de privacidade dos clientes, chamados de usuários e raramente tratados como cidadãos.

Em consequência do avanço das corporações sobre a privacidade de todos, muitas sociedades começaram a desenvolver o conceito de privacidade pela percepção do mau uso desses dados e dos possíveis danos a segurança de todos, sendo, portanto, percebido como uma grave ameaça a dignidade humana, despertando na sociedade, a percepção da perda eminente deste direito fundamental.

Constatada essa realidade, o mundo percebeu a necessidade de discutir o tema, pressionando os legisladores das sociedades mais desenvolvidas, pela aprovação de normas protetivas da privacidade.

Assim, o Conselho da Europa aprovou na Convenção 108/1981, regulamentada em 28/01/1981, a criação de diversas medidas que visavam a proteção de dados pessoais, definindo essa data, como o Dia Internacional da Proteção de Dados Pessoais, comemorado todo dia 28 de janeiro.

Neste rumo, após a Convenção 108/1981, inúmeras outras leis surgiram objetivando a proteção do cidadão comum, dentre elas a GDPR – General Data Protection Regulation (Lei Europeia de Proteção de Dados Pessoais) e mais recentemente, em 2018, o Brasil, após quase uma década de discussões, edita sua LGPD – Lei Geral de Proteção de Dados Pessoais, posicionando o Brasil na direção de uma vida digital com mais proteção ao cidadão comum.

Assim, a Lei Geral de Proteção de Dados (LGPD) visa harmonizar a inovação e produtividade tecnológica das instituições públicas e privadas que tenham sob sua guarda e uso, dados pessoais de seus usuários, com o dever de preservação dos direitos de sigilo destas informações pessoais.

Portanto, a Lei brasileira tem como objetivo a proteção da privacidade e dos dados pessoais, a fim de que não sejam usados indevidamente ou fora do consentimento dos titulares. Diferente da visão negativa inicial de muitos diante da LGPD, essa é uma oportunidade de negócios e agregação de valor as ações desenvolvidas pelas instituições, conforme veremos a seguir.

A lei traz dois novos conceitos:

-Proteger dados pessoais é proteger a segurança das pessoas.

-Os titulares dos dados pessoais não são as instituições,

A IMPORTÂNCIA DA LGPD

Como todo negócio, as atividades humanas envolvem a entrega de algum bem ou serviço ao destinatário final, exigindo, na maioria dos casos, o fornecimento de algum dado pessoal de quem recebe para quem entrega, como parte da transação.

Neste norte, empresas, governos e autônomos precisam dar a devida atenção à LGPD, a fim de evitar perdas decorrentes de infrações, sanções, multas ou judicialização pelo uso indevido dos dados dos seus usuários, verdadeiros titulares do direito desses dados. Portanto, a lei traz uma nova compreensão de que, os dados pessoais são emprestados às empresas, para que cada uma, possa entregar seus produtos e serviços, logo, estas, são meras depositárias destes dados.

Assim, os dados pessoais dos clientes, vendedores, administradores, funcionários, terceirizados, parceiros ou fornecedores, representam a base de registro do relacionamento e, porque não dizer, os próprios “prontuários das transações”, sendo base para todos os controles financeiros, fiscais, de quantidade e qualidade da entrega realizada. É difícil imaginar uma atividade produtiva sem que haja os registros dos dados de seus atores relacionais.

Qualquer documento que contenha informações pessoais, como por exemplo, a impressão de uma ficha cadastral, é, por si só, um documento a ser protegido contra uso indevido.

Cabe, portanto, a cada instituição observar que o tratamento deste e demais dados pessoais é hoje protegida pela nova LGPD (art. 5º, X), que regula desde a sua coleta, armazenamento e descarte, ou seja, protege todo o “ciclo de vida” do dado pessoal. Desta forma, a Lei designa quem são os agentes responsáveis dentro das instituições e suas respectivas obrigações.

Portanto, cabe a cada instituição, seja ela pública ou privada, com ou sem fins lucrativos, elaborar suas próprias políticas de tratamento de dados pessoais, respeitando os direitos dos titulares, previstos na Lei, e estabelecendo controles, como por exemplo:

-Monitoramento de download e upload de arquivos;

-Monitoramento do fluxo de dados pessoais desde a coleta até o tratamento para fins comerciais;

-Permissão de acesso a dados e cópia destes, em dispositivos moveis, como HD e PENDRIVE;

-Tratamento de documentos impressos e seu fluxo até o seu descarte;

-Preparação dos profissionais que manipulam dados pessoais digitais e impressos;

-Planejamento de incidentes com resposta e remediação junto aos titulares de dados atingidos pelos fatos danosos;

-Criptografia de dados sensíveis;

-Gestão eletrônica de Documentos com os respectivos históricos de acesso e uso:

-Compreensão e governança de dados pessoais sensíveis e de menores (crianças).

Toda essa política visa a conformidade do tratamento de dados junto a legislação protetiva, ação que chamamos de compliance, que é um termo mundialmente usado e que vem ganhando espaço no linguajar dos responsáveis pela proteção de dados pessoais, visto que, nossa lei traz muitos conceitos do mundo tecnológico. sendo estes, notadamente estrangeiros.

Assim, o esforço de compliance se baseia em princípios a serem aqui destacados.

SEGURANÇA, TRANSPARÊNCIA, QUALIDADE DOS DADOS, LIVRE ACESSO, NECESSIDADE, ADEQUAÇÃO, PREVENÇÃO, NÃO DISCRIMINAÇÃO, RESPONSABILIZAÇÃO E PROTEÇÃO.

Ou seja, esse tratamento envolve: considerar a privacidade dos dados pessoais do cidadão desde a fase de concepção do serviço ou produto até sua execução (Privacidade by Design); e promover ações de aculturamento de todo corpo funcional no sentido de compreender o respeito à privacidade dos dados pessoais nas atividades institucionais cotidianas.

Qualquer violação aos princípios e práticas acima pontuados, implica em penalidades legais ou judicialização do direito violado dos titulares, acarretando perda financeiras e de credibilidade junto ao público interno e externo, gerando, riscos aos negócios.

Portanto, o ponto central a ser percebido pelas instituições é o RISCO, avaliando seu grau de importância a cada etapa do negócio, especificamente.

Por outro lado, as instituições podem agregar valor as boas práticas de segurança da informação (compliance) adotadas internamente, gerando valor as ações estratégicas, bem como a marca, produzindo confiança e valor junto ao público.

Notadamente, outras informações igualmente importantes, porém, não pessoais como patentes e segredos comerciais, irão também se beneficiar dessas ações de proteção, gerando mais valor ao negócio e protegendo-as da concorrência.

Portanto, o que se pretende, é tão somente uma boa governança das instituições em relações as informações sensíveis como um todo, visto que, as boas práticas de proteção aos dados pessoais, poderão se estender a todas as demais informações institucionais que igualmente, merecem e precisam de proteção.

Logo, o ganho é para toda a instituição, e não somente, para atender a Lei que ora inaugura sua vigência.

FISCALIZAÇÃO

Autoridade Nacional de Proteção de Dados (ANPD), foi criada pela Medida Provisória nº 869/2018, e hoje, já possui estruturação e composição prática, porém, em sua primeira manifestação, a ANPD, pontuou como primeira ação, a orientação dos riscos as empresas, embora, algumas ações judiciais já tenham sentenças condenatórias em primeira instância.

Compete à ANPD a regulamentação da LGPD, a fiscalização do cumprimento da Lei, instauração de processos administrativos e aplicação de sanções, sem excluir em nenhum caso a apreciação do poder judiciário.

RISCOS

O descumprimento à LGPD implicará em sanções que variam entre advertências, multa, perda do banco de dados, e até proibição parcial ou total do exercício de atividades relacionadas ao tratamento.

A multa por infração será no valor de até 2% do faturamento da empresa, limitado até cinquenta milhões de reais; podendo ser diária.

Cabe destacar que as sanções podem, em determinados casos, acarretar bloqueio ou perda dos dados a que se refere ao direito violado além da publicidade da infração, sendo esta, considerado por muitos analistas, a punição mais grave, pois pode tornar inviável o negócio pela perda do banco de dados.

ADEQUAÇÃO

O esforço inicial é o desenvolvimento de um programa de conformidade (compliance) objetivando pontuar a os procedimentos e condutas compatíveis com a LGPD, pelas boas práticas operacionais e preventivas.  

Podemos pontuar como tópicos mais importantes de revisão de procedimentos:

-Mapear o fluxo de dados;

-Nomeação do encarregado pelos dados (pessoa física ou jurídica responsável em estabelecer a comunicação entre a ANPD e os titulares dos dados) chamada de DPO;

– Criação de política de violação de dados com prazos de notificação.

-Aperfeiçoamento no sistema de retirada do cadastro e exclusão dos dados do cliente;

-Revisão da política de privacidade e contratos com terceiros e fornecedores;

-Procedimentos técnicos para garantir a proteção dos dados pessoais;

VANTAGENS

Podemos pontuar duas vantagens significativas para quem adotar um plano de proteção de dados pessoais.

Primeiro é a vantagem competitiva; posicionamento no mercado como uma empresa que respeita o cliente, atraindo investidores e clientes; portanto, um potencial aumento no faturamento e redução de riscos pela segurança proporcionada pelas boas práticas de proteção.

Segunda, menos visível, é a proteção também de dados vitais para a empresa, como projetos, patentes, dados de vendas e custos, nem sempre protegidos com a devida atenção pelas empresas. Ou seja, as mesmas práticas utilizadas para proteger os dados pessoais dos clientes, podem, muito bem, serem aplicadas aos dados sensíveis internos das instituições.

Por fim, cabe lembrar que, em caso de incidentes, a comprovação de boas práticas e governança é critério atenuante das sanções administrativas e judiciais.

A lei entrou em vigor em agosto de 2020, sendo as sanções, em agosto de 2021. (LEI Nº 14.010/2020, art. 20, I-A)

Em tempo, é bom lembrar que que decisões judiciais podem, desde já, produzir efeitos condenatórios.

Por todo exposto, é recomendável que cada instituição desenvolva esforços para adequação de suas práticas aos mandamentos legais da LGPD evitando riscos e punições, tanto na esfera administrativa quanto judicial.

Mauro Souza é Analista de Sistemas e Advogado