A Lei Geral de Proteção de Dados está chegando e ela pode ser boa para seu negócio!

Desde 25 de Maio de 2018, a GDPR (General Data Protection Regulation) encontra-se implementada como regulamentação aplicável aos países signatários, pertencentes à União Europeia, salvaguardando dados e direitos de seus cidadãos frente aos seus provedores de serviço. Eu participei do projeto de compliance para uma multinacional de TI e me interessei por demais pela área.

Embora aqui as discussões já estivessem em estágio avançado quando a norma europeia foi criada, em partes o Brasil se inspirou na GDPR para criar a LGPD, a Lei Geral de Proteção de Dados, que tem como objetivo proteger a liberdade e a privacidade dos indivíduos, balanceando esta com as necessidades de negócio e inovação das empresas.

Nossa lei entra em vigor em Agosto de 2020 e traz com ela, certos direitos que nós, indivíduos, passaremos a ter por aqui, conforme o artigo 18 expõe:

  • I – Confirmação da existência de tratamento;
  • II – Acesso aos dados;
  • III – Correção de dados incompletos, inexatos ou desatualizados;
  • IV – Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
  • V – Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
  • VI – Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas pela lei;
  • VII – Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • VIII – Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • IX – Revogação do consentimento, conforme disposto em lei.

Como empresas e empreendedores de qualquer porte, nós teremos a responsabilidade de oferecer estes direitos aos nossos clientes, usuários, prospects, fornecedores, funcionários, etc como parte integral do provimento de nossos serviços. Teremos a obrigação de informar o que, como, onde, quem e por quanto tempo os dados serão processados. Só poderemos processar os dados dentro dos critérios pré-estabelecidos (contrato, consentimento, proteção à vida, interesse legítimo, etc). Teremos a obrigação de preservar os dados e tratá-los com cautela para evitar acessos não autorizados. E deveremos nos desfazer dos dados (ou anonimizá-los, embora esse procedimento ainda seja muito controverso) após sua vida útil ter chegado ao fim.

Multas

As multas para o descumprimento das obrigações podem chegar até a R$ 50 milhões de reais por infração.

Na Europa, já temos alguns exemplos de multas sendo atribuídas às empresas:

  • A primeira multa foi na Áustria, em Outubro, pelo uso de câmeras de segurança que filmava parte da calçada. A multa foi dada pelo fato de que o monitoramento em larga escala, de locais públicos não ser permitido. O estabelecimento foi multado em €4.800,00 Euros.
  • Outra multa foi aplicada em um hospital Português, no total de €400 mil Euros. Uma das razões foi o fato de os sistemas permitirem acesso indiscriminado aos dados e ao fato de possuírem em sistema dados de quase mil profissionais enquanto haviam menos de 300 efetivamente ativos.
  • Outra multa na Alemanha, para uma rede social onde houve vazamento de aproximadamente 800.000 contas de e-mail e 1.800.000 informações de usuário e senha. A multa foi de €20 mil Euros, amenizada pela cooperação com a entidade de proteção de dados.
  • Na França, o Google foi multado em €50 milhões de Euros pelo processamento inadequado de dados pessoais, sem fornecer a possibilidade do usuário de oferecer o consentimento de forma ampla e voluntária.
  • Na Inglaterra, uma empresa de seguros foi multada em €60 mil Euros por instigar o envio de e-mail marketing sem o devido consentimento.

“Mas Alexandre… até agora é só coisa ruim,

focar no compliance e não no valor entregue,

multa… cadê a oportunidade???” 

 

Eu acredito que existem várias. Listo elas a seguir:

  1. Oportunidade de se estabelecer políticas internas para o tratamento de dados, mapear os gaps, as práticas, as ferramentas e todo o processo desde a aquisição até a eliminação do dado. A LGPD nos dá a possibilidade (forçada) de revisar as nossas ações como empresa, de obter visibilidade sobre o processo, padronizar procedimentos de diferentes departamentos, escolher as melhores ferramentas, de nos colocarmos na posição do consumidor.
  2. Oportunidade de corrigir nossas falhas. É uma ótima oportunidade para corrigir problemas de segurança e tratamento que caíram em backlog, technical debt ou de-priorizados (e que estejam relacionados ao tema).
  3. Investir na capacitação da equipe. Como o LGPD não foca apenas em sistema, é importante que as pessoas que lidam com dados pessoais estejam devidamente treinadas. Por exemplo, não pegar os dados de um sistema interno e disponibilizá-los em um ambiente inseguro, carregar em um pen drive, etc.
  4. Oportunidade de escolher fornecedores de TI que estejam comprometidos com a segurança dos dados. Teremos a oportunidade de trabalhar com “Processors” que colocam a qualidade do serviço e a proteção dos dados como prioridade. Afinal, a brecha deles é a sua brecha.
  5. Imagem. Você mostra aos seus clientes que você se importa com eles e acima de tudo respeita suas decisões de contato. Como consumidor, quantas não foram as vezes que você pediu para sair de uma lista de marketing e nunca foi atendido?

É um momento bacana, propício, para dar aquele salto em Customer Experience

Na Macher Tecnologia (https://www.machertecnologia.com.br/)nós desenvolvemos nosso primeiro produto, o Turma na Web (https://www.turmanaweb.com.br/) já com os conceitos de privacidade (Privacy by Design & Privacy by Default) e já estando em conformidade com a LGPD.

Este artigo não tem como objetivo oferecer consultoria, recomendação, direção, aconselhamento. É um material resumido desenvolvido para fomentar o pensamento e estimular o questionamento. Não oferece quaisquer garantias de acurácia, completude ou conformidade.

Se você precisa de ajuda com a sua adequação, me envia uma mensagem para um atendimento customizado e personalizado. Contamos com um escritório parceiro jurídico para auxiliar no processo, com advogados especialistas em Direito Digital por algumas das maiores instituições do Brasil, e que poderão auxiliar no que for necessário, assim como nos auxiliaram quando precisamos.

Fontes:  

  1. http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
  2. https://www.pandasecurity.com/mediacenter/news/first-sanctions-gdpr-infractions/
  3. http://fortune.com/2019/01/21/france-fines-google-57-million-for-gdpr-violations/
  4. https://ico.org.uk/action-weve-taken/
  5. Photo by rawpixel on Unsplash