Vitor Morais de Andrade (no centro à dir.)
É HORA DE ORGANIZAR O “NOVO PETRÓLEO”
ORGANIZADO PELO GRUPO PADRÃO, O SEMINÁRIO DE PROTEÇÃO DE DADOS DEBATEU COMO SE PREPARAR PARA A LEI GERAL DE PROTEÇÃO DE DADOS
POR IVAN VENTURA
m assunto que certamente está na pauta do relacionamento entre empresas e clientes é a proteção de dados pessoais. Esse movimento está relacionado à Lei Geral de Proteção de Dados (LGPD), que entrará em vigor a partir de 16 de agosto do ano que vem. No momento, empresas entraram em uma jornada de conformidade da lei, o que inclui diagnóstico sobre os dados que transitam na companhia, inventário, classificação dessas informações, implantação das recomendações de segurança até chegar à nomeação do responsável por todo tipo de tratamento de dados na empresa, o DPO (Data Protection Officer). O trabalho é longo, mas muitas empresas já deram início a essa jornada. Prova disso foi o que se viu no Seminário de Proteção de Dados, uma iniciativa do Grupo Padrão. “Há um dilema entre privacidade e identidade: as pessoas querem proteger o que são ou o que as cerca?”, questionou Jacques Meir, diretor-executivo de Conhecimento do Grupo Padrão. Para ele, o ponto mais obscuro que nos cerca é: estamos substituindo quem somos por personas digitais? “Os algoritmos sabem e interpretam até mesmo o que o consumidor não disse, diante do volume de informações. Assim, ainda em termos de identidade, quanto o ser humano é influenciado por algoritmos?”.
BASES LEGAIS
O CONSENTIMENTO DO CONSUMIDOR É APENAS UMA DAS BASES LEGAIS PARA O TRATAMENTO DE DADOS. VEJA TODAS AS POSSIBILIDADES:
1. CONSENTIMENTO
2. CUMPRIMENTO DA OBRIGAÇÃO LEGAL OU REGULATÓRIA
3. PROTEÇÃO DE CRÉDITO
4. EXECUÇÃO DE CONTRATOS
5. INTERESSES LEGÍTIMOS DO CONTROLADOR E/OU DE TERCEIRO
6. TUTELA OU SAÚDE
7. PELA ADMINISTRAÇÃO PÚBLICA, PARA A EXECUÇÃO DE POLÍTICAS PÚBLICAS
8. ESTUDO POR ÓRGÃOS DE PESQUISAS
9. PROTEÇÃO DA VIDA DE TITULAR OU DE TERCEIRO
10. EXERCÍCIO REGULAR DE DIREITOS EM PROCESSO JUDICIAL, ADMINISTRATIVO OU ARBITRAL
É HORA DE ARRUMAR A CASAS
Uma das primeiras lições do evento é a necessidade de colocar ordem na casa. Por anos, empresas coletaram e armazenaram dados pessoais dos consumidores de maneira desorganizada. Muitas dizem que guardam apenas informações como nome, idade ou endereço do seu cliente. No entanto, há casos em que elas sequer desconfiam que possuem até a opção religiosa ou política do consumidor. Dessa forma, é preciso organizar os dados armazenados na empresa. É o que afirma Edgar D’Andrea, sócio da PwC. “Recomendo que as empresas que ainda não se envolveram com o tema se engajem. É preciso chamar a atenção da organização para o tema, lembrando que o engajamento não tem de ser de somente uma área; não é um app ou um software”. André Fernandes, Portfolio Solutions Director da NICE, destaca que a equipe precisa ser multidisciplinar – não basta que seja, por exemplo, de tecnologia. “É preciso conseguir gerir os dados, mesmo que por meio de uma plataforma, tendo tudo mapeado e coberto pela tecnologia”, afirma. “Se alguém disser que tem um software que resolve tudo saiba que é mentira”.
BASES LEGAIS
Um erro comum sobre a Lei Geral de Proteção de Dados é afirmar que o consumidor precisa consentir ou autorizar o tratamento dos seus dados pessoais. Na verdade, a lei cria dez bases legais que permitem o uso das informações – e o consentimento é apenas uma delas. Para Márcio Cots, Partner & Attorney-at-law da COTS Advogados, do ponto de vista prático e de estratégia de negócio, pautar toda a operação em cima de uma única base legal pode ser um equívoco. “A autonomia é relativa a partir do momento em que há outras nove bases legais. Nós, no escritório, preferimos nos basear em uma das outras nove, antes do consentimento”, afirma Cots.
VAZAMENTO DE DADOS
O vazamento de dados se tornou algo recorrente no mundo corporativo e ganhou os holofotes da imprensa a partir do debate sobre a proteção de dados. O Seminário trouxe duas histórias conhecidas e de grande repercussão: a violação de informações pessoais da Uber e da Netshoes. Segundo Flavia Mitri, Privacy Director for Latin America Uber, o vazamento ocorreu em 2016 e impactou 58 milhões de usuários no mundo. Em resposta ao caso, diversas demissões aconteceram, incluindo cargos de alta chefia. A marca, então, reiterou aos usuários seus pedidos de desculpas e prometeu uma mudança imediata. No fim, a Uber foi multada em aproximadamente US$ 148 milhões. “Quando há uma quebra de confiança, é extremamente difícil recuperar essa relação”, finaliza Flavia Mitri. Já o incidente com a Netshoes aconteceu em 2017. No período, 1.999.704 clientes foram afetados com o vazamento de duas listas de credenciais da companhia que continham diversas informações pessoais. Segundo Mihran Kahvedjian Junior, a empresa passou por um processo de reestruturação da área de segurança e disseminou uma preocupação coletiva com a não reincidência do problema.
DONO DA INFORMAÇÃO
SEGUNDO D’ANDREA, DA PWC, É ESSENCIAL QUE SEJAM CRIADOS PROCESSOS PARA O TRATAMENTO DE DADOS. A SEGUIR, OS DIREITOS DO TITULAR DOS DADOS:
1. INFORMAÇÃO E ACESSO
2. CORREÇÃO
3. REVOGAÇÃO DE CONSENTIMENTO
4. ELIMINAÇÃO
5. PORTABILIDADE
6. BLOQUEIO
7. ANONIMIZAÇÃO
8. INFORMAÇÕES DE COMPARTILHAMENTO
Novas bases legais: LGPD criou dez possibilidades de tratamento de dados
NOVOS PROCESSOS
A SEGUIR, OS PRINCIPAIS FATORES QUE DEVEM SE TORNAR “O NOVO NORMAL” DOS PROCESSOS PARA TRATAMENTO DE DADOS:
1. LEGITIMAÇÃO DE DADOS
2. COMPARTILHAMENTO COM TERCEIROS
3. PRIVACY BY DESIGN & DEFAULT
4. GESTÃO DOS CONSENTIMENTOS
5. ARQUITETURA E GOVERNANÇA DE DADOS PESSOAIS
6. PORTABILIDADE DE DADOS
7. ATENDIMENTO DAS PETIÇÕES DE TITULARES
8. INCIDENTES DE PRIVACIDADE
9. PRAZOS DE RETENÇÃO DE DADOS
10. GESTÃO DO CICLO DE VIDA DOS DADOS E ANONIMIZAÇÃO