A REVO­LU­ÇÃO DOS DADOS

A REVO­LU­ÇÃO DOS DADOS

A LEI GERAL DE PRO­TE­ÇÃO DE DADOS ENTRA­RÁ EM VIGOR EM AGOS­TO DE 2020. PARE­CE DIS­TAN­TE, MAS O TEM­PO É CUR­TO DIAN­TE DO TRA­BA­LHO E DOS DESA­FI­OS QUE AS EMPRE­SAS QUE SE RELA­CI­O­NAM COM CLI­EN­TES TÊM PELA FREN­TE

POR IVAN VEN­TU­RA

Mark Zuc­ker­berg, fun­da­dor do Face­bo­ok, não tem mui­ta habi­li­da­de para falar em públi­co, espe­ci­al­men­te quan­do se vê pres­si­o­na­do. Esse ner­vo­sis­mo ficou evi­den­te em abril do ano pas­sa­do, quan­do foi con­vo­ca­do pelo Con­gres­so Ame­ri­ca­no para dar expli­ca­ções sobre o vaza­men­to de dados de usuá­ri­os da rede soci­al a par­tir da extin­ta agên­cia de mar­ke­ting digi­tal Cam­brid­ge Analy­ti­ca. Em um dado momen­to, o sena­dor demo­cra­ta Dick Dur­bin ques­ti­o­nou se Zuc­ker­berg se sen­ti­ria con­for­tá­vel em com­par­ti­lhar o nome do hotel onde havia se hos­pe­da­do na noi­te ante­ri­or. Ele ficou atô­ni­to por um ins­tan­te, mas em segui­da abriu um sor­ri­so ama­re­lo e res­pon­deu um cate­gó­ri­co “não”.

   Quem assis­tia ao depoi­men­to riu, mas Dur­bin man­te­ve o sem­blan­te sério e per­sis­tiu fir­me no papel de inqui­si­dor. “Se você tro­cou men­sa­gens com alguém esta sema­na, pode­ria com­par­ti­lhar conos­co o nome das pes­so­as com quem con­ver­sou?”. Zuc­ker­berg, des­ta vez mais con­fi­an­te, afir­mou que pro­va­vel­men­te não com­par­ti­lha­ria tal infor­ma­ção. No fim, tudo não pas­sou de uma arma­di­lha de Dur­bin para cons­tran­ger o dono da rede soci­al. “Esse é o moti­vo pelo qual os usuá­ri­os do Face­bo­ok estão pre­o­cu­pa­dos com a vio­la­ção de dados e a inva­são de pri­va­ci­da­de”, dis­se o sena­dor. Zuc­ker­berg não escon­deu o des­con­for­to. Afi­nal, o herói de uma gera­ção de jovens nerds con­fes­sou que não abre mão do direi­to à pri­va­ci­da­de. E quem abri­ria?

Mark Zuc­ker­berg, fun­da­dor do Face­bo­ok, não tem mui­ta habi­li­da­de para falar em públi­co, espe­ci­al­men­te quan­do se vê pres­si­o­na­do. Esse ner­vo­sis­mo ficou evi­den­te em abril do ano pas­sa­do, quan­do foi con­vo­ca­do pelo Con­gres­so Ame­ri­ca­no para dar expli­ca­ções sobre o vaza­men­to de dados de usuá­ri­os da rede soci­al a par­tir da extin­ta agên­cia de mar­ke­ting digi­tal Cam­brid­ge Analy­ti­ca. Em um dado momen­to, o sena­dor demo­cra­ta Dick Dur­bin ques­ti­o­nou se Zuc­ker­berg se sen­ti­ria con­for­tá­vel em com­par­ti­lhar o nome do hotel onde havia se hos­pe­da­do na noi­te ante­ri­or. Ele ficou atô­ni­to por um ins­tan­te, mas em segui­da abriu um sor­ri­so ama­re­lo e res­pon­deu um cate­gó­ri­co “não”.

   Quem assis­tia ao depoi­men­to riu, mas Dur­bin man­te­ve o sem­blan­te sério e per­sis­tiu fir­me no papel de inqui­si­dor. “Se você tro­cou men­sa­gens com alguém esta sema­na, pode­ria com­par­ti­lhar conos­co o nome das pes­so­as com quem con­ver­sou?”. Zuc­ker­berg, des­ta vez mais con­fi­an­te, afir­mou que pro­va­vel­men­te não com­par­ti­lha­ria tal infor­ma­ção. No fim, tudo não pas­sou de uma arma­di­lha de Dur­bin para cons­tran­ger o dono da rede soci­al. “Esse é o moti­vo pelo qual os usuá­ri­os do Face­bo­ok estão pre­o­cu­pa­dos com a vio­la­ção de dados e a inva­são de pri­va­ci­da­de”, dis­se o sena­dor. Zuc­ker­berg não escon­deu o des­con­for­to. Afi­nal, o herói de uma gera­ção de jovens nerds con­fes­sou que não abre mão do direi­to à pri­va­ci­da­de. E quem abri­ria?

\\SEGU­RO CON­TRA RIS­COS CIBER­NÉ­TI­COS

   O avan­ço da Lei Geral de Pro­te­ção de Dados já movi­men­ta um mer­ca­do curi­o­so no Bra­sil: o segu­ro con­tra ris­cos ciber­né­ti­cos. Um levan­ta­men­to pro­du­zi­do pela Wil­lis Towers Wat­son, con­sul­to­ria espe­ci­a­li­za­da em ris­cos, segu­ros e pre­vi­dên­cia, afir­ma que a pro­cu­ra por este tipo de pro­te­ção cres­ceu 116% des­de a apro­va­ção da LGPD, em agos­to. A mes­ma per­cep­ção teve a Aon, que veri­fi­cou um aumen­to de 115% da pro­cu­ra e uma alta de 50% na pro­du­ção de segu­ros para empre­sas com base na pro­te­ção de dados. Segu­ra­do­ras como Athi­na e Alper, por exem­plo, já ofe­re­cem apó­li­ces que cobrem pre­juí­zos com cus­tas judi­ci­ais, advo­ga­dos, inde­ni­za­ções, noti­fi­ca­ções a cli­en­tes, ações por danos morais cole­ti­vos e mul­tas impos­tas por agên­ci­as regu­la­do­ras. Por que as empre­sas esta­ri­am dis­pos­tas a fazer um segu­ro des­te tipo? Por­que, além de ten­tar mini­mi­zar os ris­cos de serem mul­ta­das em até 2% do fatu­ra­men­to anu­al, limi­ta­do a R$ 50 milhões, exis­te ain­da o ris­co adi­ci­o­nal den­tro do orça­men­to das com­pa­nhi­as – e ele não é nada bara­to. Um estu­do glo­bal da Kas­persky Lab com mais de 6 mil fun­ci­o­ná­ri­os mos­trou que, inde­pen­den­te­men­te do por­te da empre­sa, o cus­to médio de uma vio­la­ção de dados, con­si­de­ran­do, por exem­plo, paga­men­to de inde­ni­za­ções, che­ga a cus­tar US$ 1,2 milhão.

Topá­zio Sil­vei­ra Neto, da Flex Rela­ci­o­na­men­tos Inte­li­gen­tes: Lei vai esta­be­le­cer novo momen­to nas empre­sas

O QUE É A LGPD?

   Apro­va­da em agos­to do ano pas­sa­do, a Lei Geral de Pro­te­ção de Dados é apon­ta­da como uma das legis­la­ções mais impor­tan­tes para a trans­for­ma­ção da soci­e­da­de. Ins­pi­ra­da no Regu­la­men­to Geral sobre a Pro­te­ção de Dados (GDPR), em vigên­cia des­de 2016 na Euro­pa, ela dita nor­mas que pas­sam a valer a par­tir de agos­to de 2020. A lei bra­si­lei­ra defen­de a pre­mis­sa de que os dados têm um dono e, como tal, depen­dem de uma auto­ri­za­ção pré­via e expres­sa dele para que pos­sam ser usa­dos por outras pes­so­as, empre­sas ou o pró­prio gover­no.

A ERA DO OPT-IN

   Essa obri­ga­to­ri­e­da­de é o pon­to de par­ti­da para a pri­mei­ra gran­de mudan­ça no mun­do cor­po­ra­ti­vo, que pas­sa­rá a pro­mo­ver uma inten­sa tro­ca de pedi­dos de “acei­te” para o uso dos dados. “A lei vai esta­be­le­cer um novo momen­to nas empre­sas. Todas terão que rea­li­zar um minu­ci­o­so mape­a­men­to da jor­na­da de rela­ci­o­na­men­to com o cli­en­te”, aler­ta Topá­zio Neto, pre­si­den­te da Flex Rela­ci­o­na­men­tos Inte­li­gen­tes e dire­tor da Asso­ci­a­ção Bra­si­lei­ra de Teles­ser­vi­ços (ABT). “Vive­re­mos uma era de ‘opt-in’ inten­so entre con­su­mi­do­res e empre­sas”.

   Mas, como para toda regra há exce­ções, a lei pre­vê cir­cuns­tân­ci­as nas quais não será neces­sá­rio pedir esse tipo de auto­ri­za­ção. Uber e iFo­od, por exem­plo, não pre­ci­sa­rão de um aval pré­vio do cli­en­te para infor­mar o tele­fo­ne, o nome e o ende­re­ço dele para um res­tau­ran­te ou um moto­ris­ta. Isso ocor­re por dois moti­vos: pri­mei­ro, por­que o con­su­mi­dor auto­ri­za o uso dos dados quan­do bai­xa o apli­ca­ti­vo. Depois, por­que o uso sem auto­ri­za­ção pré­via é neces­sá­rio para a flui­dez do ser­vi­ço pres­ta­do por esses aplicati­vos.

Vitor Morais de Andra­de, do LTSA Advo­ga­dos: Mer­ca­do come­ça­rá a tra­ba­lhar com dados de melhor qua­li­da­de

\\CON­SU­MI­DO­RES DES­CON­FI­A­DOS

   Uma pes­qui­sa pro­du­zi­da pela Unisys mos­trou que 58% dos bra­si­lei­ros não estão con­fi­an­tes com a efi­ci­ên­cia da Lei Geral de Pro­te­ção de Dados. “O índi­ce de 2018 mos­tra que as pes­so­as con­ti­nu­am seri­a­men­te pre­o­cu­pa­dos com a segu­ran­ça”, afir­ma Edu­ar­do Almei­da, Pre­si­den­te da Unisys para a Amé­ri­ca Lati­na. “Esse e outros resul­ta­dos da pes­qui­sa refor­çam a tese de que as empre­sas devem inves­tir con­ti­nu­a­men­te em solu­ções de segu­ran­ça para pro­te­ger os dados dos con­su­mi­do­res”, com­ple­ta o exe­cu­ti­vo.

É HORA DEMINI­MA­LI­ZAR

   A par­tir do ano que vem, o “opt-in” fun­ci­o­na­ria como a uni­da­de bási­ca de um novo modo de rela­ci­o­na­men­to entre cli­en­tes e con­tact cen­ters. Ou seja, um aten­den­te huma­no ou um chat­bot pre­ci­sa­rá ques­ti­o­nar o con­su­mi­dor o tem­po todo sobre o direi­to de aces­so aos seus dados. Hoje, a situ­a­ção é bem dife­ren­te. A cole­ta de infor­ma­ções se trans­for­mou em uma prá­ti­ca incon­tro­lá­vel e até mes­mo inú­til, prin­ci­pal­men­te por­que os SACs se acos­tu­ma­ram a cap­tu­rar e a arma­ze­nar dados que, no fim, ape­nas ocu­pam espa­ço nos ban­cos de dados. Isso tudo por cau­sa do vácuo legis­la­ti­vo que exis­tia até a apro­va­ção da LGPD.

   Em tese, a nova lei irá coi­bir prá­ti­cas como a obri­ga­to­ri­e­da­de do uso do CPF nas far­má­ci­as, por exem­plo, para a ces­são de des­con­tos em medi­ca­men­tos. De acor­do com Vitor Morais de Andra­de, coor­de­na­dor do cur­so de direi­to da PUC e sócio do escri­tó­rio LTSA, entra­re­mos em uma nova era de cole­ta e arma­ze­na­men­to de dados. Em vez de “esto­car­mos” dados inú­teis, tere­mos infor­ma­ções que terão um úni­co pro­pó­si­to: o obje­ti­vo do seu uso. “Todo o mer­ca­do come­ça a tra­ba­lhar com dados de melhor qua­li­da­de, ou seja, a cole­ta de infor­ma­ções terá rele­vân­cia para os negó­ci­os. Em con­tra­par­ti­da, as empre­sas deve­rão des­car­tar dados que não tenham rela­ção com suas roti­nas”, expli­ca Andra­de. Alguns espe­ci­a­lis­tas cha­mam esse prin­cí­pio de “mini­ma­li­za­ção” dos dados. Ou seja, as com­pa­nhi­as terão aces­so ape­nas a infor­ma­ções que sejam ade­qua­das, per­ti­nen­tes e, de fato, neces­sá­ri­as para a pres­ta­ção do ser­vi­ço.

   À pri­mei­ra vis­ta, não pare­ce um gran­de desa­fio, mas o que fazer quan­do a con­ver­sa foge do script e o con­su­mi­dor pas­sa a for­ne­cer dados como sua opção sexu­al ou mes­mo uma doen­ça pre­e­xis­ten­te – infor­ma­ções con­si­de­ra­das sen­sí­veis e alta­men­te pro­te­gi­das pela LGPD? A mudan­ça, por­tan­to, pas­sa não ape­nas pelo trei­na­men­to da equi­pe de aten­di­men­to como pela clas­si­fi­ca­ção dos dife­ren­tes tipos de dados e a deci­são, por par­te da empre­sa, de qual rumo seguir em cada caso.

\\EMPRE­SAS EM ALER­TA

   O núme­ro de casos de vio­la­ções de dados dimi­nuiu no ano pas­sa­do em rela­ção a 2017. Isso é uma notí­cia boa? Nem tan­to. Na ver­da­de, os crac­kers (ver­são cri­mi­no­sa dos hac­kers) têm con­cen­tra­do seus esfor­ços na inva­são de ban­co de dados mais volu­mo­sos. O resul­ta­do? Um aumen­to de 133% na quan­ti­da­de de infor­ma­ções expos­tas. De acor­do com um estu­do da Gemal­to, empre­sa de segu­ran­ça digi­tal, mais de 4,5 bilhões de dados de cli­en­tes foram vio­la­dos no pri­mei­ro semes­tre do ano pas­sa­do. A lis­ta inclui o vaza­men­to de dados de usuá­ri­os do Face­bo­ok, mas não con­ta­bi­li­za a vio­la­ção de infor­ma­ções de 500 milhões de cli­en­tes da rede de hotéis do Gru­po Mar­ri­ott; caso que veio a públi­co ape­nas em novem­bro do ano pas­sa­do. Segun­do Rober­to Rebou­ças, dire­tor-geral da Kas­persky Lab no Bra­sil, esses vaza­men­tos ocor­rem em dife­ren­tes graus de matu­ri­da­de de segu­ran­ça digi­tal den­tro das empre­sas. No Bra­sil, diz ele, a situ­a­ção é ain­da pior. “Nós temos boas leis, mas nem sem­pre elas são segui­das. Além dis­so, esta­mos acos­tu­ma­dos a dei­xar tudo para a últi­ma hora, e isso vai acon­te­cer com a segu­ran­ça dos dados”, pre­vê Rebou­ças. O exe­cu­ti­vo con­ta que conhe­ce empre­sas que foram ata­ca­das duas vezes e da mes­ma manei­ra, pois a ten­dên­cia é achar que, se acon­te­ceu uma vez, não acon­te­ce­rá de novo. “É pre­ci­so mudar a men­ta­li­da­de de que segu­ran­ça é um kit que você ins­ta­la e aca­bou”, aler­ta.

Andrea Car­pes, do Itaú Uni­ban­co: Meca­nis­mos regu­la­men­ta­dos pela lei garan­ti­rão mais segu­ran­ça e pri­va­ci­da­de às infor­ma­ções dos cli­en­tes

O DONO DOS DADOS

   Outro pon­to impor­tan­te da LGPD é a defi­ni­ção a res­pei­to do con­tro­la­dor de dados e suas res­pon­sa­bi­li­da­des. A lei intro­du­ziu um dua­lis­mo entre as fun­ções de con­tro­la­dor e ope­ra­dor. O pri­mei­ro deci­de, efe­ti­va­men­te, o que fazer com as infor­ma­ções (seria uma espé­cie de “dono dos dados”). Já o ope­ra­dor seria res­pon­sá­vel ape­nas pelo tra­ta­men­to deles. Hoje, espe­ci­a­lis­tas enten­dem que as empre­sas que lidam dire­ta­men­te com o con­su­mi­dor – caso de ban­cos e vare­jis­tas – assu­mem o papel de con­tro­la­do­res. Des­sa for­ma, elas assu­mem a res­pon­sa­bi­li­da­de sobre os dados e exer­cem poder sobre o ope­ra­dor. A pro­pó­si­to, o encar­re­ga­do de geren­ci­ar essas infor­ma­ções já teria nome den­tro das empre­sas: Chi­ef Secu­rity Offi­cer (CSO), uma espé­cie de ges­tor de segu­ran­ça de dados.

   A par­tir des­sa lógi­ca, o papel de ope­ra­dor cabe­ria às empre­sas de con­tact cen­ter. É o que defen­de Dani­lo Done­da, coau­tor do tex­to que deu ori­gem à LGPD e uma das mai­o­res auto­ri­da­des em pro­te­ção de dados. “O con­tact cen­ter rece­be infor­ma­ções dos seus cli­en­tes (empre­sas), ou seja, ele é um ope­ra­dor que rece­be ordens de um con­tro­la­dor”, expli­ca Done­da. “Ele pode até tra­tar o dado de um con­su­mi­dor, mas sem­pre medi­an­te a ordem de um ban­co, por exem­plo. É o ban­co que repas­sa os dados dos con­su­mi­do­res para o con­tact cen­ter”.

   Exem­plo dis­so é o que vem acon­te­cen­do na Tele­per­for­man­ce, uma das líde­res no for­ne­ci­men­to de expe­ri­ên­ci­as mul­ti­ca­nais para o con­su­mi­dor. CEO da empre­sa, Fabri­cio Cou­ti­nho afir­ma que a com­pa­nhia come­çou a repen­sar sua estra­té­gia como ope­ra­do­ra há três anos. A empre­sa reviu pro­ces­sos, adqui­riu novas tec­no­lo­gi­as e entrou em “com­pli­an­ce” com a GDPR antes mes­mo de ela entrar em vigor. Uma das prin­ci­pais medi­das foi optar por não arma­ze­nar dados de “cli­en­tes de cli­en­tes”. “Essas infor­ma­ções nem ficam conos­co; são arma­ze­na­das nos nos­sos cli­en­tes. Assu­mir esse papel foi impor­tan­te para nos ade­quar­mos, des­de já, à nova lei”, expli­ca Cou­ti­nho.

   O posi­ci­o­na­men­to deu tão cer­to que a com­pa­nhia rece­beu um reco­nhe­ci­men­to da auto­ri­da­de fran­ce­sa de pro­te­ção de dados. “Foi um pro­ces­so lon­go, que durou três anos e deman­dou novos pro­ces­sos e inves­ti­men­tos em tec­no­lo­gia. Não foi fácil che­gar aqui, mas foi com­pen­sa­dor”, diz Cou­ti­nho. Ao que tudo indi­ca, empre­sas do setor segui­rão os pas­sos da Tele­per­for­man­ce. Segun­do Done­da, esse é um cami­nho com menos ris­cos para as empre­sas de rela­ci­o­na­men­to. Mas isso não eli­mi­na a pos­si­bi­li­da­de de algu­mas assu­mi­rem uma fun­ção híbri­da, atu­an­do como ope­ra­do­ra e con­tro­la­do­ra ao mes­mo tem­po. O ris­co é mai­or? Sim. Mas as opor­tu­ni­da­des tam­bém.

\\UM CRÉ­DI­TO PARA O QUOD

   Um dos assun­tos que podem cau­sar con­tro­vér­sia ou dis­cus­são sobre a Lei Geral de Pro­te­ção de Dados é o caso do Quod. A ideia do birô de cré­di­to geren­ci­a­do pelos cin­co mai­o­res ban­cos do Bra­sil – Bra­des­co, Itaú Uni­ban­co, Ban­co do Bra­sil, San­tan­der e Cai­xa Econô­mi­ca – é usar big data, inte­li­gên­cia arti­fi­ci­al e dados des­ses cli­en­tes para aper­fei­ço­ar a toma­da de deci­são na con­ces­são de cré­di­to. A dúvi­da é: o Quod pode­ria entrar em con­fli­to com a LGPD? Se o intui­to for ape­nas para pro­te­ção de cré­di­to, a res­pos­ta é não. O pró­prio pre­si­den­te do Quod, Rodri­go Abreu, afir­ma que não há con­fli­to, uma vez que o cadas­tro posi­ti­vo vai bene­fi­ci­ar o bom paga­dor.

A REA­ÇÃO DAS EMPRE­SAS

   Se as empre­sas espe­ci­a­li­za­das em rela­ci­o­na­men­to com o cli­en­te já se movi­men­tam para cum­prir a Lei Geral de Pro­te­ção de Dados, o que tem fei­to ou pen­sa­do as empre­sas que se rela­ci­o­nam dire­ta­men­te com o con­su­mi­dor? O Itaú Uni­ban­co, por exem­plo, come­mo­rou a apro­va­ção da LGPD. “Enten­de­mos como posi­ti­vos os novos meca­nis­mos regu­la­men­ta­dos pela lei, pois eles garan­tem ain­da mais segu­ran­ça e pri­va­ci­da­de às infor­ma­ções dos cli­en­tes”, diz Andrea Car­pes, dire­to­ra de Aten­di­men­to do ban­co. Em rela­ção ao SAC, ela aler­tou que o setor ban­cá­rio é um dos que mais lida com dados sigi­lo­sos e pri­va­dos. “O rigor e o cui­da­do com a pro­te­ção dos dados dos cli­en­tes é pri­o­ri­da­de abso­lu­ta para o Itaú Uni­ban­co”.

   O Bra­des­co tam­bém se mani­fes­tou sobre o assun­to, mas por meio de um comu­ni­ca­do da empre­sa. “A Orga­ni­za­ção Bra­des­co já ini­ci­ou pro­je­to com o obje­ti­vo de mape­ar os pro­ces­sos, as polí­ti­cas e as tec­no­lo­gi­as que serão impac­ta­dos, a fim de iden­ti­fi­car e esta­be­le­cer regras em con­for­mi­da­de com a lei”, infor­mou em comu­ni­ca­do.

   Outra ini­ci­a­ti­va impor­tan­te em defe­sa da LGPD é o Micro­soft Trust Cen­ter, um por­tal que reú­ne gui­as e manu­ais sobre o assun­to. “Des­de a pro­mul­ga­ção da GDPR, fize­mos inves­ti­men­tos sig­ni­fi­ca­ti­vos para refor­mu­lar nos­sas fer­ra­men­tas e nos­sos sis­te­mas e pro­ces­sos para aten­der aos requi­si­tos neces­sá­ri­os. Che­ga­mos a ter 1.600 enge­nhei­ros no tema”, afir­ma Eli­as Abda­la, head de Polí­ti­cas Públi­cas, Regu­la­ções e Filan­tro­pia da Micro­soft.

   Na Qua­li­corp, espe­ci­a­lis­tas foram con­tra­ta­dos para ofe­re­cer workshops sobre o tema para os fun­ci­o­ná­ri­os. A ideia é que todos este­jam “cra­ques” no assun­to quan­do a lei entrar em vigor. “Além dis­so, esta­mos revi­san­do nos­sos pro­ces­sos com base na nova lei para nos tor­nar­mos total­men­te pron­tos e ade­qua­dos no momen­to em que a legis­la­ção entrar em vigor”, dis­se Juli­a­na Perei­ra, dire­to­ra-exe­cu­ti­va de Cli­en­tes da Qua­li­corp.

Vanes­sa Butal­la, da Sera­sa Expe­ri­an: Empre­sas (ain­da que do mes­mo gru­po) não pode­rão ter aces­so ao dado uma da outra

UMA NOVA ROTI­NA

   O trâ­mi­te den­tro das empre­sas (sejam elas de con­tact cen­ter ou não) tam­bém deve mudar. Há quem diga que o aten­di­men­to e outros seto­res das com­pa­nhi­as serão sub­me­ti­dos a um trei­na­men­to para enten­der o “bê-á-bá” do tra­ta­men­to de dados. Chat­bots ou outros mode­los auto­ma­ti­za­dos de rela­ci­o­na­men­to deve­rão ocu­par o pri­mei­ro nível de aten­di­men­to, dimi­nuin­do, assim, o ris­co de pro­ble­mas com o “opt-in” e até mes­mo de cole­ta de dados des­ne­ces­sá­ri­os.

   Dire­to­ra jurí­di­ca da Sera­sa Expe­ri­an, Vanes­sa Butal­la des­ta­ca ain­da outra mudan­ça no uni­ver­so do SAC. Segun­do ela, empre­sas de con­tact cen­ter podem não arma­ze­nar dados, mas, como a infor­ma­ção tran­si­ta em seus cor­re­do­res, a espe­ci­a­lis­ta defen­de medi­das pre­ven­ti­vas para evi­tar que um dado cir­cu­le entre dife­ren­tes pon­tos de aten­di­men­to. “Supo­nha­mos que o cli­en­te se rela­ci­o­ne com a empre­sa A, que faz par­te de um gran­de con­glo­me­ra­do, do qual faz par­te a empre­sa B. Uma não pode­rá ter aces­so ao dado da outra, mes­mo que essas infor­ma­ções sejam arma­ze­na­das den­tro de uma mes­ma empre­sa ou gru­po econô­mi­co”, aler­ta Vanes­sa.

   A gra­va­ção é outro pon­to de aten­ção, segun­do espe­ci­a­lis­tas do setor. A LGPD con­fe­re pode­res ao con­su­mi­dor quan­to a deci­dir sobre o des­ti­no dos seus dados. À pri­mei­ra vis­ta, a LGPD pode­ria con­fron­tar, por exem­plo, o decre­to do SAC, que obri­ga a gra­va­ção de todas as liga­ções dos seto­res regu­la­dos, caso de ban­cos, segu­ra­do­ras, teles e com­pa­nhi­as aére­as, entre outros. No entan­to, exe­cu­ti­vos do setor garan­tem que não há con­fli­to entre as leis. Nes­se caso, o que vale é o decre­to do SAC, prin­ci­pal­men­te por­que a LGPD afir­ma que o tra­ta­men­to de dados vai ocor­rer com ou sem o con­sen­ti­men­to do con­su­mi­dor na hipó­te­se do cum­pri­men­to de uma lei. “A auto­ri­da­de poli­ci­al pode pedir essa gra­va­ção; afi­nal, ela é de uso inter­no e pode ser usa­da como pro­va em um pro­ces­so. Eu não vejo con­fli­to, des­de que se pre­ser­ve a con­fi­den­ci­a­li­da­de da gra­va­ção”, expli­ca Patri­cia Peck, sócia da Peck Advo­ga­dos e espe­ci­a­lis­ta em direi­to digi­tal.

   Outro pro­ce­di­men­to que pas­sa­rá a fazer par­te da roti­na de diver­sas empre­sas (incluin­do os con­tact cen­ters) é o envio de um rela­tó­rio sobre o uso de dados de cli­en­tes para a Auto­ri­da­de Naci­o­nal de Pro­te­ção de Dados – uma espé­cie de agên­cia regu­la­do­ra sobre o tema liga­da à Pre­si­dên­cia da Repú­bli­ca. Ele será assi­na­do por um repre­sen­tan­te – mui­to pro­va­vel­men­te, um Chi­ef Secu­rity Offi­cer. “Empre­sas serão obri­ga­das a mos­trar rela­tó­rio de como tra­ba­lham com os dados dos cli­en­tes. É como se fos­se a apre­sen­ta­ção de um impos­to de ren­da pes­soa jurí­di­ca”, afir­ma Brau­lio Lalau de Car­va­lho, CEO da Orbi­tall.

A LGPD TRA­RÁ OPOR­TU­NI­DA­DES DE NEGÓ­CI­OS PARA AS EMPRE­SAS, COMO SER­VI­ÇOS DE COM­PLI­AN­CE RELA­CI­O­NA­DOS À PRO­TE­ÇÃO DE DADOS

André Fer­nan­des, da Nice: Nova solu­ção infor­ma­rá ao aten­den­te, em tem­po real, o que pode ou não ser dito

NOVAS OPOR­TU­NI­DA­DES

   Ao mes­mo tem­po em que a LGDP traz desa­fi­os, ela dis­se­mi­na opor­tu­ni­da­des. “As empre­sas pode­rão, por exem­plo, ofer­tar ser­vi­ços de com­pli­an­ce rela­ci­o­na­dos à pro­te­ção de dados”, expli­ca Morais. Outro papel que ela s devem assu­mir é o de for­ne­ce­do­ras de tec­no­lo­gi­as para pro­te­ção de dados. “A mai­o­ria das empre­sas não uti­li­za crip­to­gra­fia, por exem­plo; um erro que pode resul­tar em uma puni­ção pesa­da segun­do a LGPD”, diz Mau­ro Naka­mu­ra, arqui­te­to de Solu­ções da Wit­tel. Segun­do ele, oito em cada dez teles no Bra­sil não pos­su­em crip­to­gra­fia no áudio. “É uma chan­ce de entrar­mos nes­se mer­ca­do”, afir­ma.

   Outras empre­sas, como a Nice, estão desen­vol­ven­do solu­ções pen­sa­das de acor­do com a nova lei, como um soft­ware de gra­va­ção para con­tact cen­ters que per­mi­te cen­tra­li­zar e orga­ni­zar as ati­vi­da­des de cap­tu­ra, reten­ção, iden­ti­fi­ca­ção e recu­pe­ra­ção das inte­ra­ções em qual­quer que seja o canal. “Essa fer­ra­men­ta aju­da na roti­na de ven­das ao for­ne­cer, por exem­plo, ‘dis­clai­mers’ (avi­sos legais), infor­man­do ao aten­den­te em tem­po real o que pode ou não ser dito”, expli­ca André Fer­nan­des, head de Enge­nha­ria de Solu­ções para a Amé­ri­ca Lati­na da Nice. A fer­ra­men­ta, diz ele, tam­bém per­mi­te inves­ti­gar o que foi dito pelo cli­en­te a par­tir da gra­va­ção.

   O mer­ca­do dis­cu­te ain­da a pos­si­bi­li­da­de de robôs assu­mi­rem a tare­fa de tra­tar dados, usan­do tec­no­lo­gi­as como a bio­me­tria para con­fir­mar a iden­ti­da­de de uma pes­soa a par­tir do seu dis­po­si­ti­vo móvel. “Os huma­nos entra­ri­am em uma eta­pa mais com­ple­xa des­se rela­ci­o­na­men­to, mas a ideia é que os robôs tra­gam o máxi­mo de infor­ma­ções”, acre­di­ta Car­va­lho, da Orbi­tall. Outro exem­plo de fer­ra­men­ta ajus­ta­da para a LGPD é o spe­e­ch analy­tics, uma ideia não neces­sa­ri­a­men­te nova, mas que ganhou novos con­tor­nos. “A fer­ra­men­ta pode­ria aju­dar a des­car­tar o que não tem rela­ção com o negó­cio”, afir­ma Naka­mu­ra.

   Dian­te de mudan­ças brus­cas e do olhar aten­to das auto­ri­da­des para o uso dos dados, o mer­ca­do pre­ci­sa se pre­pa­rar para a revo­lu­ção que está por vir e que irá trans­for­mar, impre­te­ri­vel­men­te, a rela­ção entre empre­sas e con­su­mi­do­res. Que essa trans­for­ma­ção sir­va de exem­plo a Zuc­ker­berg.

Brau­lio Lalau de Car­va­lho, da Orbi­tall: Huma­nos entra­ri­am em uma eta­pa mais com­ple­xa do rela­ci­o­na­men­to entre empre­sas e cli­en­tes

POR DEN­TRO DA

LGPD

O QUE É A LEI GERAL DE PRO­TE­ÇÃO DE DADOS?

Tra­ta-se da legis­la­ção bra­si­lei­ra que deter­mi­na como os dados dos cida­dãos podem ser cole­ta­dos e tra­ta­dos e que pre­vê puni­ções para even­tu­ais trans­gres­sões

A DIFE­REN­ÇA ENTRE OS DADOS

DADO PES­SO­AL: infor­ma­ções usa­das para iden­ti­fi­car alguém, como nome, ende­re­ço, tele­fo­ne, CPF, RG, dados ban­cá­ri­os, per­fil com­por­ta­men­tal, IP, coo­ki­es etc.

 

DADO PES­SO­AL SEN­SÍ­VEL: Infor­ma­ções sobre raça, gené­ti­ca, etnia, reli­gião, opi­nião polí­ti­ca, saú­de, vida sexu­al.

 

DANO ANO­NI­MI­ZA­DO: Não con­tém nenhum ele­men­to de iden­ti­fi­ca­ção. É o caso de dados usa­dos para estu­dos macro­e­conô­mi­cos

O QUE AS PENAS

• Adver­tên­cia, com pra­zo para cor­re­ção
• Mul­ta de até 2% do fatu­ra­men­to, limi­ta­da a R$ 50 milhões por infra­ção
• Publi­ci­da­de da infra­ção
• Sus­pen­são e proi­bi­ção das ati­vi­da­des de tra­ta­men­to dos dados até a regu­la­ri­za­ção

OS DONOS DOS DADOS TÊM DIREI­TO A:

• Ques­ti­o­nar a empre­sa sobre a ori­gem e o moti­vo do arma­ze­na­men­to e uso do dado

• Cor­ri­gir dados incom­ple­tos, ine­xa­tos ou desa­tu­a­li­za­dos

• Se recu­sar a for­ne­cer seus dados

• Pedir o can­ce­la­men­to ou a exclu­são de dados des­ne­ces­sá­ri­os, exces­si­vos ou tra­ta­dos em des­con­for­mi­da­de com a LGPD

• Trans­fe­rir os seus dados pes­so­ais de um con­tro­la­dor para outro (caso da trans­fe­rên­cia de uma TV por assi­na­tu­ra, por exem­plo)

• Revo­gar a auto­ri­za­ção para o tra­ta­men­to de seus dados pes­so­ais a qual­quer momen­to

• Opor-se a quais­quer tra­ta­men­tos e infor­ma­ções que não este­jam em con­for­mi­da­de com a lei a par­tir de dados como per­fil pes­so­al, pro­fis­si­o­nal, de con­su­mo e de cré­di­to

• Rece­ber infor­ma­ções sobre even­tu­ais com­par­ti­lha­men­tos de dados com enti­da­des públi­cas ou pri­va­das

 

QUAN­DO EU POS­SO TRA­TAR OS DADOS DE OUTRA PES­SOA?

• Com a auto­ri­za­ção do titu­lar (ou dos res­pon­sá­veis legais)
• Para cum­prir obri­ga­ção legal ou regu­la­tó­ria
• Para exe­cu­tar con­tra­to, a pedi­do do titu­lar
• Para exer­cer seus direi­tos regu­la­res, inclu­si­ve na Jus­ti­ça
• Para pro­te­ger a vida ou tute­lar a saú­de
• Para pro­te­ger o cré­di­to
• Para aten­der a seus inte­res­ses legí­ti­mos ou de ter­cei­ro
• Para exe­cu­tar polí­ti­cas públi­cas (admi­nis­tra­ção públi­ca)
• Para rea­li­zar estu­dos (órgão de pes­qui­sa)

 

O USO DOS DADOS DEVE OBE­DE­CER AOS PRIN­CÍ­PI­OS DA:

• Fina­li­da­de: Ape­nas para pro­pó­si­tos legí­ti­mos, espe­cí­fi­cos, explí­ci­tos e infor­ma­dos ao titu­lar

• Pre­ven­ção: Evi­tar a ocor­rên­cia de danos

• Neces­si­da­de: Uso míni­mo neces­sá­rio para o negó­cio

• Segu­ran­ça: Pro­te­ção de dados pes­so­ais de aces­sos não auto­ri­za­dos e de situ­a­ções aci­den­tais ou ilí­ci­tas de des­trui­ção, per­da, alte­ra­ção, comu­ni­ca­ção ou difu­são

• Res­pon­sa­bi­li­za­ção: Com­pro­va­ção de que foram ado­ta­das medi­das efi­ca­zes para pro­te­ção de dados pes­so­ais


DADOS

VIO­LA­DOS

A Gemal­to divul­gou recen­te­men­te um índi­ce cha­ma­do Bre­a­ch Level Index com as vio­la­ções que se tor­na­ram públi­cas pelo mun­do no pri­mei­ro semes­tre do ano pas­sa­do:

945 casos de vio­la­ções de dados

4,5 bilhões de dados vaza­dos

133% é o aumen­to do núme­ro de dados vaza­dos em rela­ção a 2017

ONDE OCOR­RE­RAM OS VAZA­MEN­TOS?

16-consumidor-moderno-revolucao-dados-grafico

O PRIN­CI­PAL ALVO DE CRAC­KERS: Rou­bo de iden­ti­da­de. Cor­res­pon­dem a 87% de todos os regis­tros vaza­dos do pri­mei­ro semes­tre do ano pas­sa­do

CUS­TO MÉDIO POR VAZA­MEN­TO: US$ 1,2 milhão

RAN­KING DOS CASOS DE VAZA­MEN­TOS POR PAÍS:

1º — ESTA­DOS UNI­DOS: 540
AUS­TRÁ­LIA: 308
REI­NO UNI­DO: 22


DADOS

EM RIS­CO

A seguir, alguns casos de vaza­men­to de dados em 2018:

 FACE­BO­OK 

Admi­tiu que agen­tes mali­ci­o­sos, entre eles os pró­pri­os par­cei­ros, podem ter usa­do de for­ma indis­cri­mi­na­da infor­ma­ções do per­fil da mai­o­ria de seus 2 bilhões de usuá­ri­os. Nes­sa con­ta está o escân­da­lo da Cam­brid­ge Analy­ti­ca

 MAR­RI­OTT 

Em novem­bro do ano pas­sa­do, a rede de hotéis Mar­ri­ott con­fir­mou que dados de até 500 milhões de cli­en­tes podem ter sido com­pro­me­ti­dos por cau­sa da ação de hac­kers em seu ban­co de dados de reser­vas Starwo­od (rede reú­ne infor­ma­ções de hós­pe­des da Mar­ri­ott e de outros hotéis da rede, como She­ra­ton, W Hotels, St. Regis e Wes­tin). Os ata­ques teri­am come­ça­do em 2014, antes de a Mar­ri­ott com­prar a Starwo­od

 EXAC­TIS 

A empre­sa de mar­ke­ting e agre­ga­ção de dados com sede na Fló­ri­da dei­xou um ban­co de dados con­ten­do 340 milhões de regis­tros indi­vi­du­ais des­pro­te­gi­dos na web. A des­co­ber­ta foi fei­ta por um pes­qui­sa­dor de segu­ran­ça conhe­ci­do como Vinny Troia, que aler­tou o pro­ble­ma em junho de 2018. O que não se sabe (ain­da) é se os dados de 340 milhões de regis­tros foram efe­ti­va­men­te uti­li­za­dos

 UNDER ARMOUR 

De acor­do com o site, um inva­sor teve aces­so não auto­ri­za­do a um soft­ware de die­ta e exer­cí­ci­os de pro­pri­e­da­de da Under Armour. Ao fazê-lo, o inva­sor teve aces­so a nada menos que 150 milhões de infor­ma­ções de con­tas de pes­so­as. A des­co­ber­ta foi fei­ta no dia 25 de mar­ço do ano pas­sa­do

 TWIT­TER 

Recen­te­men­te, o Twit­ter pediu que todos os seus mais de 330 milhões de usuá­ri­os mudas­sem suas senhas logo após iden­ti­fi­car uma falha de soft­ware duran­te a gra­va­ção de senhas, que aca­ba­ram fican­do expos­tas

 BAN­CO INTER 

Em julho do ano pas­sa­do, uma inves­ti­ga­ção do Minis­té­rio Públi­co do Dis­tri­to Fede­ral e Ter­ri­tó­ri­os (MPDFT) des­co­briu o vaza­men­to de 19.961 dados de cor­ren­tis­tas do ban­co digi­tal Inter. A empre­sa con­fir­mou o ata­que e infor­mou que um hac­ker iden­ti­fi­ca­do como “John” teve aces­so aos dados. Para não expor as infor­ma­ções, o cri­mi­no­so exi­giu o paga­men­to de um valor em dinhei­ro, que não foi pago. A ins­ti­tui­ção finan­cei­ra fechou um acor­do e desem­bol­sou R$ 1,5 milhão de mul­ta por dano moral

 C&A

Em agos­to do ano pas­sa­do, hac­kers inva­di­ram o sis­te­ma de vale-pre­sen­te/­tro­cas da C&A e teri­am vaza­do infor­ma­ções pes­so­ais (como e‑mail e CPF) de 2 milhões de cli­en­tes. A empre­sa con­fir­mou um movi­men­to de cibe­ra­ta­que e aci­o­nou o seu sis­te­ma de segu­ran­ça, mas não con­fir­mou o vaza­men­to das infor­ma­ções

 SICRE­DI

A ins­ti­tui­ção finan­cei­ra Sicre­di (Sis­te­ma de Cré­di­to Coo­pe­ra­ti­vo) sofreu um ata­que de hac­kers, o que resul­tou no vaza­men­to de qua­se 1,2 TB de dados que inclu­em regis­tros de trans­fe­rên­ci­as, depó­si­tos, extra­tos de con­ta, tele­fo­ne de con­ta­to, data de aber­tu­ra de con­ta, nome com­ple­to, nomes de paren­tes, local de tra­ba­lho, pro­fis­são e outros deta­lhes. O ata­que, con­fir­ma­do pela empre­sa, teria ocor­ri­do em dezem­bro do ano pas­sa­do

Fon­tes: Unisys, Bre­a­ch Level Index (Índi­ce de Nível de Vio­la­ção), Dani­el Advo­ga­dos e Kas­persky Lab

//DADOS NA REDE

Em entre­vis­ta à Con­su­mi­dor Moder­no, Luci­a­no Benet­ti Timm, o novo secre­tá­rio da Secre­ta­ria Naci­o­nal do Con­su­mi­dor (Sena­con), fala sobre os rumos da Lei Geral de Pro­te­ção de Dados no País

CON­SU­MI­DOR MODER­NO – A PRO­TE­ÇÃO DE DADOS ENTROU NA LIS­TA DE ASSUN­TOS DA DEFE­SA DO CON­SU­MI­DOR NÃO APE­NAS PELA APRO­VA­ÇÃO DA LEI BRA­SI­LEI­RA, MAS TAM­BÉM POR CAU­SA DA LEGIS­LA­ÇÃO EURO­PEIA. COMO O SENHOR ENXER­GA ESSA MUDAN­ÇA?

Luci­a­no Timm – No ano pas­sa­do, esse foi um tema bas­tan­te dis­cu­ti­do na Sena­con e con­ti­nu­a­re­mos a nos debru­çar sobre ele. Mas essa é uma pre­o­cu­pa­ção mun­di­al.

CM – O QUE MAIS O PRE­O­CU­PA?

LT – Eu, par­ti­cu­lar­men­te, estou pre­o­cu­pa­do com o con­sen­ti­men­to que é dado pelo con­su­mi­dor para que as empre­sas tenham aces­so aos seus dados. Esse con­sen­ti­men­to será fei­to de manei­ra trans­pa­ren­te e fácil?

CM – E O QUE O SENHOR ACHA?

LT  – Hoje exis­tem empre­sas que ope­ram como pon­tos de encon­tro, caso de Airbnb, Uber, pla­ta­for­mas de encon­tros, entre outras. Já as redes soci­ais apa­ren­tam não ter uma fina­li­da­de de lucro, mas são enti­da­des ori­en­ta­das ao lucro, sim. A ideia é enten­der o que cada uma delas está fazen­do com
esses dados.