Você já teve que fornecer informações que considerou excessivas para uma empresa? E-mail, endereço, último salário, contatos de familiares e até a opção religiosa viraram alvos do interesse de organizações que, ao longo dos anos, guardaram enormes bancos de cadastros no país. Essa coleta indiscriminada , porém, está com os dias contados. A Lei Geral de Proteção de Dados (LGPD) , que entrará em vigor em agosto de 2020, deve colocar na mão dos indivíduos o poder de responder ou não várias dessas perguntas, sabendo com quais finalidades elas são feitas. Além disso, empresas passarão a ter mais responsabilidade sobre a segurança das informações.
A LGPD foi inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR) europeu. E, para se regularizarem, as empresas devem mapear os dados pessoais que possuem, verificar como os armazena e quem os acessa, diz Claudio Roberto Barbosa, sócio do escritório Kasznar Leonardos.
— O trabalho de adequação é enorme. Leva de seis a sete meses — explicou Barbosa.
Algumas empresas, porém, preferiram antecipar a proteção a clientes . Os contratos para alunos das turmas de 2020 do Instituto Mauá de Tecnologia já pedem menos dados.
— Como a LGPD pede o cuidado com os dados, quanto menos tivermos, melhor. Não vamos mais pedir sexo e renda familiar do aluno, dados de pai e de mãe, pois essas informações não servem para nada. Só não posso abrir mão do que o MEC me cobra, como data de nascimento e RG do aluno. Por isso, os contratos também ganharam cláusula sobre como os dados serão tratados, armazenados e descartados — diz o superintendente Francisco Olivieri.
O instituto ainda está adquirindo um programa de proteção de dados e avalia que precisa mudar a sua cultura interna.
— Nós temos um sistema de comunicação entre alunos e professores fornecido por uma empresa. Mas a tentação dos dois lados em usar Whatsapp e e-mails pessoais é grande. Então, estamos buscando conscientizar, principalmente, os professores, para não cederem a isso. Em breve, vamos pedir que todos consintam sobre os dados que vão trafegar dentro do nosso meio de comunicação oficial. Essa é a única forma de cumprir a lei.
Como a discussão sobre o assunto na Europa é mais antiga, a multinacional suíça Novartis saiu na frente no Brasil.
— A prática do “opt in” sempre existiu na Novartis, ou seja, pedir autorização expressa para contatos futuros com pacientes e médicos. O “opt out” é o contrário e o mais comum no mercado, ou seja, presumir que ter o cadastro das pessoas dá o direito de manter contato — disse Rafaela Kireeff, Country Legal Head no Brasil.
Quando a lei foi aprovada, foram necessárias melhorias pontuais em alguns setores da empresa, já feitas. A maior preocupação, no momento, é sensibilizar fornecedores.
— Estamos chamando para reuniões, fazendo treinamentos e até apresentando soluções técnicas de softwares — revelou Rafaela.
Novas regras abriram mercado
Muitas empresas vão precisar se adequar à LGPD em um curto prazo. Por isso, Nilson Vianna, diretor da PwC — prestadora de serviços profissionais na área de auditoria —, acredita que a regulamentação da lei abre espaço para uma nova carreira. Segundo ele, as empresas terão que contratar um encarregado de proteção de dados (DPO) e, de olho na função, profissionais de Direito e Tecnologia da Informação (TI) já estão fazendo cursos e provas para obter a certificação necessária a fim de atuar na área.
— Essa pessoa tem o dever de comunicar falhas à direção da empresa e representar a instituição em caso de punição — explicou.
Algumas empresas também estão se beneficiando, como seguradoras que têm produtos contra riscos cibernéticos, os quais englobam de custos de advogados a indenizações por dados morais a serem pagos às pessoas afetadas. Na Zurich , houve um aumento de 50% no número de pedidos de cotação, após a publicação da Lei Geral de Proteção de Dados.
— O seguro cibernético visa a ajudar as empresas a evitarem perdas financeiras devido à violação de privacidade ou de segurança das informações, mas não previne ataques — explicou Hellen Deungaro, gerente de Linhas Financeiras da Zurich.
Outro exemplo é a Power of Data — startup de Engenharia de Dados e Analytics , que faz estruturação, unificação e armazenamento de dados para auxiliar a tomada de decisão em empresas. A categorização das informações é feita com criptografia, para que não sejam copiadas por humanos.
— Hoje atendemos empresas de seguro, financeiras e lojas de varejo — algumas com mais de 50 milhões de clientes — e oferecemos o pagamento da tecnologia por consumo. Ou seja, se a instituição precisa tratar apenas 10% dos dados, por exemplo, de 500 mil pessoas que têm contrato imobiliário, ela só vai pagar por isso. — afirmou Dalmer Sella, cofundador da Power of Data.
Teste de vulnerabilidade dos sistemas
A LTM, empresa que provê todo o serviço necessário de tecnologia para programas de fidelidade de mais de 150 clientes, como Vivo, Panasonic, Bayer, Santander, Banco Pan, Fiat, Unilever, já está totalmente adequada à LGPD e realiza constantemente testes de vulnerabilidade do sistema. De acordo com o presidente da empresa, Raphael Di Mello João, para evitar que informações vazem, pouquíssimas pessoas têm acesso a dados sensíveis. Mesmo assim, essas são monitoradas para que não possam fazer transferências indevidas.
— Eu consigo saber quem viu o que, quando e de qual computador. Mapeamos todo o nosso acesso a dados da companhia. O grau de segurança que trabalhamos é extremamente rígido — explicou.
Segundo ele, tanto especialistas em tecnologia da empresa, quanto outros terceirizados fazem periodicamente simulações como se fossem hackers, para saber se conseguem retirar algo do sistema e corrigir quaisquer falhas encontradas.
In Loco: propaganda para anônimos
Quatro anos antes da publicação da LGPD, a In Loco foi fundada por um grupo de alunos da Universidade Federal de Pernambuco ( UFPE ). A startup, que atende hoje clientes como Magazine Luiza , Santander e Hering , entre outras grandes marcas, é proprietária de uma tecnologia de localização que permite — sem coletar dados como nome, identidade, CPF e e-mail dos potenciais consumidores — fazer anúncios personalizados e relevantes.
É possível, por exemplo, gerar tráfego para uma loja física , enviando um anúncio de desconto no exato momento em que o cidadão passa em frente ao estabelecimento. Ou pode aumentar o engajamento de um aplicativo de táxi , oferecendo um cupom quando o usuário está em um aeroporto.
— A In Loco surgiu para resolver o problema da quebra de segurança na internet. E desenvolveu uma tecnologia que fosse capaz de entregar conveniência para as pessoas, respeitando a privacidade delas. Apenas o dispositivo é identificado em visitas a estabelecimentos comerciais e locais públicos, como praças, que estão cadastrados na base da In Loco. Não atrelamos os dados a uma pessoa — explicou Raíssa Moura, gestora jurídica de proteção de dados.
As publicidades são enviadas por aplicativos parceiros, com a permissão do consumidor. A In Loco processa mais de 16 terabytes de dados de localização por dia e tem uma audiência de 60 milhões de consumidores . Há, porém, uma questão pendente para se adequar à nova lei: garantir o acesso dos cidadãos a seus dados, caso os solicitem. A expectativa é resolver a questão até o fim deste ano.
— A lei institui o direito de qualquer pessoa solicitar os informações sobre o que uma empresa possui a seu respeito. Como não associávamos dados a um cidadão, estamos tendo o trabalho inverso, de nos preparar para conseguir fazer isso, caso nos solicitem. Mas não queremos quebrar nosso esforço de segurança — disse Raíssa Moura.
Tira-dúvidas sobre a lei
O que é dado sensível? Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde, vida sexual, genética ou biometria, quando vinculado a pessoa natural.
O que é dado anonimizado? Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, a menos que o processo de anonimização possa ser revertido.
O que não pode?
Usar para outro fim - Uma empresa que recebe currículos para uma vaga de emprego não pode usar esses dados para envio de newsletter ou propaganda.
Disponibilizar para terceiros - Uma farmácia que pede CPF dos clientes para dar desconto, não pode vender a informação sobre os itens consumidos por cada um deles para terceiros, como para planos de saúde ou seguradoras de vida.
O que pode?
Mandar promoções com consentimento - Uma doceria pode mandar os sabores de bolos com desconto para seus clientes, no whatsapp ou por e-mail por exemplo, desde que eles concordem em integrar a lista de transmissão.
Guardar dados - Uma empresa poderá armazenar informações pessoais que sejam necessárias para a prestação de seu serviço. A mesma boleira só poderá ter anotado o endereço de seus clientes se necessitar para fazer a entrega na casa deles. Caso contrário, a medida correta é apagar a informação.
Confira direitos e deveres
Impactadas - As organizações impactadas são aquelas com operações no Brasil, que oferecem serviços para brasileiros, ou que coletam ou processam dados pessoais no país.
Restrições - A lei coloca restrições para coleta e tratamento de dados pessoais sensíveis e de crianças e adolescentes, salvo em alguns casos, como o de órgãos de pesquisa ou de proteção ao crédito ou de tutela da saúde e proteção da vida. Eles continuam, porém, tendo responsabilidade sobre a segurança dessas informações coletadas.
Consentimento - As demais organizações precisam pedir consentimento para coletar ou tratar dados. O titular ainda assim tem direito a pedir acesso, eliminação, portabilidade, bloqueio e revogar consentimento sobre o uso de seus dados por elas.
Tratamento - Toda operação realizada com dados pessoais — como coleta, recepção, classificação, transmissão, distribuição, entre outras — é chamada tratamento. Como esses dados podem servir para empresas entenderem perfis de consumo ou de crédito de clientes, por exemplo, a lei resguarda a qualquer um o direito de solicitar a revisão de decisões de empresas tomadas unicamente com base no tratamento automatizado de seus dados pessoais.
Registro - As empresas são obrigadas a manter registro das operações de tratamento de dados pessoais. E devem nomear e divulgar encarregados pelo tratamento de dados.
Proteção - É obrigação das empresas tomar medidas para proteger os dados, como controle de acesso, prevenção e destruição das informações. No caso de incidentes de privacidade, elas também devem notificar os titulares dos dados pessoais sobre possíveis danos ou riscos.
Sanções - Erros podem gerar, entre outras sanções, advertências à empresa , multas de até 2% do faturamento até R$ 50 milhões, publicização da infração, e exigir bloqueio ou eliminação de dados pessoais.