Vitor Morais de Andra­de (no cen­tro à dir.)

É HORA DE ORGA­NI­ZAR O “NOVO PETRÓ­LEO

ORGA­NI­ZA­DO PELO GRU­PO PADRÃO, O SEMI­NÁ­RIO DE PRO­TE­ÇÃO DE DADOS DEBA­TEU COMO SE PRE­PA­RAR PARA A LEI GERAL DE PRO­TE­ÇÃO DE DADOS

POR IVAN VEN­TU­RA

m assun­to que cer­ta­men­te está na pau­ta do rela­ci­o­na­men­to entre empre­sas e cli­en­tes é a pro­te­ção de dados pes­so­ais. Esse movi­men­to está rela­ci­o­na­do à Lei Geral de Pro­te­ção de Dados (LGPD), que entra­rá em vigor a par­tir de 16 de agos­to do ano que vem. No momen­to, empre­sas entra­ram em uma jor­na­da de con­for­mi­da­de da lei, o que inclui diag­nós­ti­co sobre os dados que tran­si­tam na com­pa­nhia, inven­tá­rio, clas­si­fi­ca­ção des­sas infor­ma­ções, implan­ta­ção das reco­men­da­ções de segu­ran­ça até che­gar à nome­a­ção do res­pon­sá­vel por todo tipo de tra­ta­men­to de dados na empre­sa, o DPO (Data Pro­tec­ti­on Offi­cer). O tra­ba­lho é lon­go, mas mui­tas empre­sas já deram iní­cio a essa jor­na­da. Pro­va dis­so foi o que se viu no Semi­ná­rio de Pro­te­ção de Dados, uma ini­ci­a­ti­va do Gru­po Padrão. “Há um dile­ma entre pri­va­ci­da­de e iden­ti­da­de: as pes­so­as que­rem pro­te­ger o que são ou o que as cer­ca?”, ques­ti­o­nou Jac­ques Meir, dire­tor-exe­cu­ti­vo de Conhe­ci­men­to do Gru­po Padrão. Para ele, o pon­to mais obs­cu­ro que nos cer­ca é: esta­mos subs­ti­tuin­do quem somos por per­so­nas digi­tais? “Os algo­rit­mos sabem e inter­pre­tam até mes­mo o que o con­su­mi­dor não dis­se, dian­te do volu­me de infor­ma­ções. Assim, ain­da em ter­mos de iden­ti­da­de, quan­to o ser huma­no é influ­en­ci­a­do por algo­rit­mos?”.

 BASES LEGAIS 

O CON­SEN­TI­MEN­TO DO CON­SU­MI­DOR É APE­NAS UMA DAS BASES LEGAIS PARA O TRA­TA­MEN­TO DE DADOS. VEJA TODAS AS POS­SI­BI­LI­DA­DES:

1. CON­SEN­TI­MEN­TO
2. CUM­PRI­MEN­TO DA OBRI­GA­ÇÃO LEGAL OU REGU­LA­TÓ­RIA
3. PRO­TE­ÇÃO DE CRÉ­DI­TO
4. EXE­CU­ÇÃO DE CON­TRA­TOS
5. INTE­RES­SES LEGÍ­TI­MOS DO CON­TRO­LA­DOR E/OU DE TER­CEI­RO
6. TUTE­LA OU SAÚ­DE
7. PELA ADMI­NIS­TRA­ÇÃO PÚBLI­CA, PARA A EXE­CU­ÇÃO DE POLÍ­TI­CAS PÚBLI­CAS
8. ESTU­DO POR ÓRGÃOS DE PES­QUI­SAS
9. PRO­TE­ÇÃO DA VIDA DE TITU­LAR OU DE TER­CEI­RO
10. EXER­CÍ­CIO REGU­LAR DE DIREI­TOS EM PRO­CES­SO JUDI­CI­AL, ADMI­NIS­TRA­TI­VO OU ARBI­TRAL

É HORA DE ARRU­MAR A CASAS 

   Uma das pri­mei­ras lições do even­to é a neces­si­da­de de colo­car ordem na casa. Por anos, empre­sas cole­ta­ram e arma­ze­na­ram dados pes­so­ais dos con­su­mi­do­res de manei­ra desor­ga­ni­za­da. Mui­tas dizem que guar­dam ape­nas infor­ma­ções como nome, ida­de ou ende­re­ço do seu cli­en­te. No entan­to, há casos em que elas sequer des­con­fi­am que pos­su­em até a opção reli­gi­o­sa ou polí­ti­ca do con­su­mi­dor. Des­sa for­ma, é pre­ci­so orga­ni­zar os dados arma­ze­na­dos na empre­sa. É o que afir­ma Edgar D’Andrea, sócio da PwC. “Reco­men­do que as empre­sas que ain­da não se envol­ve­ram com o tema se enga­jem. É pre­ci­so cha­mar a aten­ção da orga­ni­za­ção para o tema, lem­bran­do que o enga­ja­men­to não tem de ser de somen­te uma área; não é um app ou um soft­ware”. André Fer­nan­des, Port­fo­lio Solu­ti­ons Direc­tor da NICE, des­ta­ca que a equi­pe pre­ci­sa ser mul­ti­dis­ci­pli­nar – não bas­ta que seja, por exem­plo, de tec­no­lo­gia. “É pre­ci­so con­se­guir gerir os dados, mes­mo que por meio de uma pla­ta­for­ma, ten­do tudo mape­a­do e cober­to pela tec­no­lo­gia”, afir­ma. “Se alguém dis­ser que tem um soft­ware que resol­ve tudo sai­ba que é men­ti­ra”.

BASES LEGAIS 

   Um erro comum sobre a Lei Geral de Pro­te­ção de Dados é afir­mar que o con­su­mi­dor pre­ci­sa con­sen­tir ou auto­ri­zar o tra­ta­men­to dos seus dados pes­so­ais. Na ver­da­de, a lei cria dez bases legais que per­mi­tem o uso das infor­ma­ções – e o con­sen­ti­men­to é ape­nas uma delas. Para Már­cio Cots, Part­ner & Attor­ney-at-law da COTS Advo­ga­dos, do pon­to de vis­ta prá­ti­co e de estra­té­gia de negó­cio, pau­tar toda a ope­ra­ção em cima de uma úni­ca base legal pode ser um equí­vo­co. “A auto­no­mia é rela­ti­va a par­tir do momen­to em que há outras nove bases legais. Nós, no escri­tó­rio, pre­fe­ri­mos nos base­ar em uma das outras nove, antes do con­sen­ti­men­to”, afir­ma Cots.

VAZA­MEN­TO DE DADOS 

   O vaza­men­to de dados se tor­nou algo recor­ren­te no mun­do cor­po­ra­ti­vo e ganhou os holo­fo­tes da impren­sa a par­tir do deba­te sobre a pro­te­ção de dados. O Semi­ná­rio trou­xe duas his­tó­ri­as conhe­ci­das e de gran­de reper­cus­são: a vio­la­ção de infor­ma­ções pes­so­ais da Uber e da Netsho­es. Segun­do Fla­via Mitri, Pri­vacy Direc­tor for Latin Ame­ri­ca Uber, o vaza­men­to ocor­reu em 2016 e impac­tou 58 milhões de usuá­ri­os no mun­do. Em res­pos­ta ao caso, diver­sas demis­sões acon­te­ce­ram, incluin­do car­gos de alta che­fia. A mar­ca, então, rei­te­rou aos usuá­ri­os seus pedi­dos de des­cul­pas e pro­me­teu uma mudan­ça ime­di­a­ta. No fim, a Uber foi mul­ta­da em apro­xi­ma­da­men­te US$ 148 milhões. “Quan­do há uma que­bra de con­fi­an­ça, é extre­ma­men­te difí­cil recu­pe­rar essa rela­ção”, fina­li­za Fla­via Mitri. Já o inci­den­te com a Netsho­es acon­te­ceu em 2017. No perío­do, 1.999.704 cli­en­tes foram afe­ta­dos com o vaza­men­to de duas lis­tas de cre­den­ci­ais da com­pa­nhia que con­ti­nham diver­sas infor­ma­ções pes­so­ais. Segun­do Mih­ran Kah­ved­ji­an Juni­or, a empre­sa pas­sou por um pro­ces­so de rees­tru­tu­ra­ção da área de segu­ran­ça e dis­se­mi­nou uma pre­o­cu­pa­ção cole­ti­va com a não rein­ci­dên­cia do pro­ble­ma.

 DONO DA INFOR­MA­ÇÃO 

SEGUN­DO D’ANDREA, DA PWC, É ESSEN­CI­AL QUE SEJAM CRI­A­DOS PRO­CES­SOS PARA O TRA­TA­MEN­TO DE DADOS. A SEGUIR, OS DIREI­TOS DO TITU­LAR DOS DADOS:

1. INFOR­MA­ÇÃO E ACES­SO
2. COR­RE­ÇÃO
3. REVO­GA­ÇÃO DE CON­SEN­TI­MEN­TO
4. ELI­MI­NA­ÇÃO
5. POR­TA­BI­LI­DA­DE
6. BLO­QUEIO
7. ANO­NI­MI­ZA­ÇÃO
8. INFOR­MA­ÇÕES DE COM­PAR­TI­LHA­MEN­TO

Novas bases legais: LGPD cri­ou dez pos­si­bi­li­da­des de tra­ta­men­to de dados

 NOVOS PRO­CES­SOS 

A SEGUIR, OS PRIN­CI­PAIS FATO­RES QUE DEVEM SE TOR­NAR “O NOVO NOR­MALDOS PRO­CES­SOS PARA TRA­TA­MEN­TO DE DADOS:

1. LEGI­TI­MA­ÇÃO DE DADOS
2. COM­PAR­TI­LHA­MEN­TO COM TER­CEI­ROS
3. PRI­VACY BY DESIGN & DEFAULT
4. GES­TÃO DOS CON­SEN­TI­MEN­TOS
5. ARQUI­TE­TU­RA E GOVER­NAN­ÇA DE DADOS PES­SO­AIS
6. POR­TA­BI­LI­DA­DE DE DADOS
7. ATEN­DI­MEN­TO DAS PETI­ÇÕES DE TITU­LA­RES
8. INCI­DEN­TES DE PRI­VA­CI­DA­DE
9. PRA­ZOS DE RETEN­ÇÃO DE DADOS
10. GES­TÃO DO CICLO DE VIDA DOS DADOS E ANO­NI­MI­ZA­ÇÃO