dpolgpd
PROTEÇÃO DE DADOS NA INTERNET. MULTAS E PUNIÇÕES DA LGPD VÃO ABALAR O MERCADO
Proteção de dados na internet passa a ser um assunto cada vez mais relevante, na medida em que a conectividade acelera em ritmo impressionante, e atinge patamares assombrosos.
Proteção de dados sempre foi uma preocupação, mas a forma como a internet se expande e suas possibilidades, ficam cada vez mais amplas e envolventes, os dados das pessoas, empresas, corporações, viajam por todos os lugares e guardar padrões de segurança para toda esta informação, foi se transformando num desafio monumental.
Diversas pessoas realizavam um cadastro de compra numa loja virtual e, imediatamente, começavam a ser bombardeadas, através de seus canais de contato, com uma série interminável de anúncios, promoções, convites, propostas de negócios de diversas naturezas.
Era uma praxe mundialmente aceita, que empresas de vários seguimentos, tivessem cuidado quase ZERO com os dados das pessoas que mantinham registros em seus servidores.
Os cadastros eram distribuídos, com interesses comerciais, nunca muito lícitos, e viravam base de dados para verdadeiras campanhas publicitárias e de marketing direto.
Houve um incômodo internacional a respeito do problema e a Comunidade Europeia foi a primeira a se movimentar, com uma legislação agressiva, a GDPR, que pune com rigor os vazamentos de dados pessoais e corporativos, em todas as situações.
No Brasil, a LGPD segue os padrões da irmã mais velha da Europa, e chega com a pretensão de dar uma basta definitivo na irresponsabilidade de grande parte dos empreendimentos brasileiros, que tratam dados e informações de forma irresponsável e desinteressada.
Agora a história muda de figura, e as penalidades e sanções da LGPD, vieram para desmontar quem não tem condições de conviver num mundo conectado.
Proteção de dados no modelo da GDPR:
Proteção de dados é um tema sensível, já que são muitos os agentes diretos ou indiretos no tratamento dos dados das pessoas junto às empresas e corporações.
A verdade, é que os vazamentos não podem ocorrer e isto é responsabilidade de quem se submete a lidar com os dados de outras pessoas, seja qual for o motivo.
Se você se submete a guardar algo de alguém, contando com sua confiança e assegurando sua capacidade de cumprir a tarefa, qualquer dano ou problema que aconteça com este item ou valor que lhe foi confiado, será de sua integral responsabilidade.
Não existe muita discussão com relação a isto.
Com os dados das pessoas, parecia haver uma visão diferente.
Talvez, por não serem tangíveis, palpáveis, os dados não eram vistos como um patrimônio ou um bem de valor.
Parece que existia uma sensação de que os dados das pessoas são públicos, ou de valor irrelevante.
Bem, esta visão foi rapidamente desmentida, a partir do momento em que as pessoas perceberam o valor bastante tangível e palpável que uma base de dados de uma empresa de cartões de crédito, por exemplo, pode representar para negócios que queiram realizar campanhas direcionadas de marketing, a partir do conhecimento sobre receita, hábitos de consumo, faixa-etária e preferências de um grande número de potenciais clientes.
Provavelmente, o primeiro a descobrir este valor, foi algum funcionário subalterno, atuante em alguma empresa, que através de seu acesso à base de informações, percebeu que poderia lucrar, fornecendo aqueles dados, de forma escusa e ilegal (mas dificilmente descoberta).
Provavelmente foi por isto que depois de realizar aquela assinatura de uma revista, você passou a receber promoções, mensagens, ligações, dos mais diversos ramos de atividade, todos interessados em seu potencial comercial.
É claro que estamos falando de um exemplo, muito plausível, além de ser perfeitamente conectado com a realidade provável na situação.
Agora imagine a amplitude do estrago se, porventura, a referida base de dados contiver informações classificadas como sensíveis.
Aquele grupo de dados que se referem aos aspectos mais íntimos das pessoas, como sexualidade, religião, política, dentre tantos outros.
Imagine o nível de poder que alguém pode exercer sobre os outros, se simplesmente dispuser de informações íntimas e pessoais sobre seus hábitos, preferências e comportamentos.
A proteção de dados deixou de ser um adendo num processo de gerenciamento, mas virou uma prioridade global.
Não se trata de uma crise mundial de consciência, estamos falando de lei.
As pessoas não ficaram boazinhas de uma hora para outra, o fato novo foi uma legislação poderosa, abrangendo todo o continente europeu, prevendo os ilícitos e determinando punições severas aos infratores.
A GDPR (General Data Protection Regulation) foi idealizada a partir de 2012, quando já eram bastante sensíveis os problemas originados na falta de controle e regulação sobre o tratamento de dados das pessoas em suas relações com as empresas e com o mundo em geral.
Todo o conjunto de leis existentes, que correspondiam ao cuidado com a privacidade das pessoas de alguma maneira, era antigo e obsoleto, diante da velocidade como a conectividade evoluía.
Em 2016 a GDPR foi aprovada e entrou em vigor, trazendo um assombro terrível sobre as corporações de todos os portes, que se depararam com uma realidade completamente nova, onde a punição era certa e segura, para qualquer mínimo vazamento de informações consideradas restritas e pessoais.
Os dados das pessoas e sua preservação, passaram a ser legalmente classificados como um direito original do indivíduo, assim, qualquer empresa ou entidade que quisesse, a partir dali operar com alguma espécie de trânsito ou tratamento de dados, precisaria estar plenamente em compliance com os preceitos determinados pela nova legislação.
Coletar, processar, compartilhar, armazenar, trafegar, controlar dados pessoais, passou a ser muito delicado, pois precisa cumprir com regras claras e bem definidas.
Podemos citar alguns exemplos…
- É prerrogativa do usuário a definição da forma como seus dados serão tratados, bem como cabe a ele decidir pelo uso ou não de suas informações;
- É direito integral do usuário o conhecimento sobre que dados estão sendo coletados e tratados, além de ter ciência total dos objetivos deste tratamento;
- É prerrogativa do usuário e a ele devem ser oferecidos caminhos para interromper, a qualquer tempo, a coleta de seus dados pessoais, sem questionamentos ou condicionantes;
- É prerrogativa do usuário mover seus dados para qualquer outro fornecedor, em qualquer situação, de forma igualmente inquestionável;
- O nível de comunicação da empresa com o titular dos dados deve ser claro, objetivo e de fácil compreensão, inclusive no que diz respeito aos termos de privacidade;
- As corporações possuem um prazo de até 72h para informar as autoridades sobre qualquer eventual problema de vazamento de dados de suas bases;
- A privacidade e proteção de dados deve ser parte integrante do projeto administrativo das empresas;
- Anonimização e pseudonimização de dados sensíveis é uma obrigação legal das corporações, quando os dados podem ser usados, desde que não estejam conectados aos seus titulares e nem a eles estabeleçam relação;
- Empresas em determinadas condições de operação, serão obrigadas a contarem com um DPO (Data Protection Officer), especializado no controle de segurança das informações da corporação.
As sanções da GDPR:
O portfólio de sanções da GDPR é variável e adaptado ao grau, importância e amplitude da infração cometida.
A verdade é que as punições podem ir de simples advertências, para infrações leves, avançando para um patamar de até 20 milhões de euros de multa, ou 4% do faturamento bruto anual da empresa, o que for maior.
Já pensou?
Imagine o que seria uma multa de 4% sobre o faturamento bruto anual de empresas como Google, Facebook ou Microsoft, caso algum vazamento significativo acontecesse em sua base de dados…
Nem precisa ir muito longe…
Imagine uma multa destas em seu próprio estabelecimento, dentro da sua realidade.
A LGPD e sua adaptação para a realidade brasileira:
No rastro do caminho da GDPR, em 14 de agosto de 2018, foi promulgada a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados, que nasce da necessidade de aprimorar os direitos fundamentais do cidadão expressados na Constituição Federal, em seu Artigo 5º:
- Respeito à privacidade;
- Autodeterminação informativa;
- Liberdade de expressão, de informação, de comunicação e de opinião;
- Inviolabilidade da intimidade;
- Desenvolvimento econômico, tecnológico e inovação;
- Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais.
O corpo da LGPD carrega princípios básicos de regulação no tratamento de dados, como responsabilização, prestação contínua de contas sobre os dados controlados, demonstração objetiva das finalidades de utilização dos dados, plena adequação aos parâmetros de segurança, bastante clareza na demonstração da importância e necessidade dos dados obtidos, potencial capacidade de prevenção contra vazamentos, eliminação de discriminação de qualquer espécie, acesso livre aos titulares dos dados para verificação, acompanhamento ou eliminação direta, sem necessidade de justificativas.
As penalidades previstas na LGPD:
Nosso foco neste artigo, é falar das sanções e punições, e neste quesito, a LGPD também promete complicações importantes para quem não estiver adequado, sofrer algum problema e for alcançado pelo rigor desta nova legislação.
Os níveis de sanções são múltiplos, mas basicamente, as punições para quem falhar em sua missão de cuidar dos dados das pessoas, podem partir de simples advertências, nos casos mais simples, até multas que podem chegar a 2% do faturamento bruto anual da empresa, ou 50 milhões de reais, o que for maior.
A LGPD traz outras surpresas peculiares nada agradáveis, que possuem um potencial de simplesmente inviabilizar completamente o negócio.
Imagine sua empresa ser judicialmente proibida de manter base de dados ativos, e ainda por cima, ser obrigada a deletar todos os dados que possui de clientes, fornecedores e parceiros.
De fato, a LGPD pode provocar a derrocada de muitos negócios que não entendam ou não acreditem no vigor de seu conteúdo e amplitude.
ANDP vai cuidar da gestão e aplicação da LGPD no brasil:
Proteção de dados estará regulada pela LGPD no Brasil, e o órgão responsável pelo controle geral da aplicação e gestão da LGPD, é a ANPD, sigla determinante da Autoridade Nacional de Proteção de Dados, criada através da Medida Provisória 869/2018.
A ANDP ainda está em formação, com a implementação da estrutura administrativa prevista na lei, a nomeação dos integrantes e o aparelhamento adequado para sua perfeita operação, mas a previsão é de que tudo esteja pronto para a data prevista de entrada em vigor da LGPD, em agosto de 2020.
Proteção de dados virou assunto sério e o caminho é a adaptação:
Proteção de dados é um tema que ficou mais sério do que já era, a ponto de envolver a legislação, algo plenamente necessário para regular o que tinha perdido as estribeiras.
Podemos discutir a amplitude da lei e suas sanções, mas o que é indiscutível, é que proteção de dados tem o mesmo status de proteção de qualquer outro bem ou patrimônio.
Não existe caminho intermediário entre o que se gostaria de fazer e o que precisa ser feito, pois é lei, e é definitivo, ou você está adequado e em compliance com o que a legislação determina, ou você está fora, considerando que o custo de “estar fora”, pode ser a própria continuidade da existência de seu negócio.
O mais prudente e altamente recomendado diante deste cenário, é entender, de uma vez por todas, que não existe caminho fora da LGPD, concordando ou não.
Cruzada esta etapa de aceitação, o próximo passo é entender a prioridade em se adaptar o mais rapidamente possível ao que determina a lei.
Trabalhar com um espírito empresarial de buscar a maior adaptação possível, gostando ou não, porque não há outra solução.
O próximo passo:
Proteção de dados é delicado e técnico, e estamos falando de uma legislação nova, o que faz com que o caminho óbvio para a adaptação seja, em primeiro lugar, o entendimento amplo da situação.
É preciso entender não apenas a lei, mas sobretudo, a realidade de sua empresa em relação a ela, em que patamar você se encontra, os níveis de segurança que você já dispõe e tudo isto, normalmente, requer um projeto personalizado.
Você não tem que fazer um plano de prevenção de incêndios personalizado para conseguir o alvará de sua empresa?
Para se adequar à LGPD o caminho é o mesmo.
Não existe ação isolada para LGPD:
Proteção de dados requer cuidado preciso e uma política específica, pois não há como desenvolver pequenas ações isoladas, acreditando que está tudo certo e agora os dados não vão mais vazar.
Saiba que basta que seja constatada a vulnerabilidade dos dados para que a empresa sofra penalidades.
O único caminho seguro de fato, é buscar conhecimento onde ele estiver.
A sugestão, é encontrar profissionais especializados e comprovadamente aptos a indicar os melhores caminhos para que sua empresa fique em compliance LGPD.
Normalmente, as melhores estruturas para apoiar a sua adaptação, são formadas por advogados conectados profundamente com o tema, acompanhados de profissionais de Tecnologia da Informação (TI), pois esta composição consegue abranger a maioria das questões envolvidas no processo de adequação.
Proteção de dados. Como opera uma equipe especializada de adaptação LGPD:
Proteção de dados é a especialidade destes profissionais que estão aptos a encaminhar a adaptação das empresas nos parâmetros definidos na nova legislação.
É claro que estamos nos referindo aos realmente capacitados, preparados e bem-intencionados, já que bons e maus existem em todas as atividades.
De qualquer forma, partimos do princípio que você conseguiu identificar uma boa alternativa e vai partir para os próximos passos, o que acontece na forma de consultoria através da empresa que você contratar.
Os métodos e caminhos podem sofrer algumas variações, mas os passos básicos do processo de compliance possuem uma espécie de coluna vertebral, com alguns pontos que devem ser comuns em qualquer modalidade de aplicação…
Diagnóstico:
O primeiro passo para se definir onde se que quer chegar e o caminho que se deve adotar, é entender o ponto onde estamos, pois este será o start de nossas ações.
Em proteção de dados, um diagnóstico é fundamental, para que as equipes tenham condições de entender a realidade de sua empresa, e a partir daí, possam avançar na compreensão do que é positivo e no que é negativo em sua situação específica.
Empresas são como indivíduos, possuem personalidade e realidade próprias, por isto, cada plano costuma ser personalizado e a perfeita compreensão do cenário existente, é o ponto de partida de qualquer planejamento.
Planejamento:
Para atuar de forma objetiva com a estratégia de proteção de dados da empresa, depois de compreendida a sua realidade, o próximo passo costuma estar ligado a um planejamento sólido das ações, definindo especificamente toda a estratégia de implantação do que é necessário, avaliando equipamentos, pessoas, capacitação técnica de equipes, prazos, metas e controles.
Implementação:
A consultoria contratada para o desenvolvimento do projeto de compliance em proteção de dados, atuará em conjunto com todos os departamentos da empresa, promovendo a aplicação do que foi planejado, assim como ferramentas digitais, sistemas, equipamentos e com forte atuação junto ao treinamento das pessoas, desde a compreensão de tudo o que está envolvido, como a forma de lidar com os aspectos de proteção de dados.
Controle:
Proteção de dados é uma atividade constante, como quem fecha a empresa e ativa o sistema de alarmes quando termina o expediente, e assim deve ser visto por todos.
Controlar o desempenho de tudo o que foi implementado, inclusive as políticas e comportamentos das pessoas, é essencial para identificar eventuais anomalias no desenvolvimento do projeto.
A consultoria deve acompanhar por um tempo este desempenho, até que a empresa consiga determinar seus rumos, a partir da compreensão de que proteção de dados deve ser visto como parte da filosofia empresarial, e não apenas como mais uma tarefa.
Proteção de dados deve ser uma filosofia empresarial:
Proteção de dados não é apenas mais uma atividade da empresa, por mais importância que se dê, nunca será o suficiente, já que proteção de dados deve se equiparar à filosofia operacional e institucional do empreendimento.
Não basta achar que proteção de dados é coisa do “pessoal da informática”, pois este é um erro primitivo e grotesco.
De nada adianta o “pessoal da informática” implementar sistemas e equipamentos de ponta, dentro dos mais elevados padrões de segurança, se um dos usuários da empresa não compreende ou não se engaja na política de proteção de dados com seriedade e responsabilidade.
Mais de 95% dos vazamentos de dados aconteceram de forma espontânea até hoje, quando pessoas decidiram provocar o vazamento, normalmente, com finalidades financeiras.
É menor que 5% os vazamentos provocados por hackers ou falhas técnicas que jogaram dados nas redes.
Proteção de dados tem que estar na mente das pessoas como prioridade, delicadeza, fragilidade e importância, para que todos tenham a perspectiva de quanto é importante, de forma que o conjunto atue na direção da proteção de dados como prioridade extrema do empreendimento.
Os primeiros que precisam ter a consciência da relevância de uma política adequada de proteção de dados, conectada com o que determina a LGPD, são os diretores, a “cabeça da empresa”, pois é dela que partem as iniciativas institucionais, e é sobre a direção que recaem os maiores problemas quando a empresa infringe algum aspecto definido na lei.
Não adianta jogar a responsabilidade para cima do “pessoal da informática”, pois embora eles também sejam importantes no processo, como todos os outros, a responsabilidade definitiva, preponderante e maior, dentre todos os personagens do processo, é do diretor, do dono, de quem tem o poder de realizar as transformações evolutivas que sua empresa necessita.
LGPD. A RESPONSABILIDADE COM A PROTEÇÃO E SEGURANÇA DOS DADOS PESSOAIS
LGPD já é parte de um entendimento consolidado definitivo quanto à sua importância no âmbito da proteção da informação sobre pessoas, assim como também é aceito pacificamente que ela é indispensável, como parte de um processo de evolução da legislação na direção do que se pratica no mundo.
LGPD, portanto, pode ser visto como parte de uma realidade que já está acontecendo, em diversos níveis diferentes, de acordo com o grau de evolução das empresas.
Algumas já se movimentam de forma robusta no sentido de encontrar uma estratégia adequada para a adaptação, outras começam a se direcionar a isto, mas mesmo as mais adiantadas, se é que se pode dizer assim, ainda têm pela frente, um grande desafio, pois o prazo para a entrada em vigência da LGPD no Brasil, carregando todo o seu pesado cabedal de sanções, se esgota numa contagem de dias apenas.
Independente do que diz a LGPD ou qualquer outra lei, estamos tratando de uma constatação.
As empresas precisam, de uma vez por todas, assumir o seu papel de responsabilidade sobre o cuidado com os dados das pessoas com as quais se relacionam, já que informação, é patrimônio de valor.
LGPD e a visão que o empresário latino possui sobre o cumprimento legal:
LGPD é mais uma lei, mas não se trata de “apenas mais uma lei”, já que sua aplicação vem atender um clamor institucionalizado de segurança, sobre o bem mais precioso que existe: a informação.
Tudo está altamente conectado no mundo, desde os joguinhos despretensiosos com os quais as crianças interagem inocentemente, até as mais complexas transações bancárias.
Tudo circula através de caminhos conectados e interligados, através de redes eletrônicas e digitais poderosas e abrangentes, onde a segurança é um item tão importante, quanto delicado e vulnerável.
Alguns especialistas do caos, costumam realizar citações, como aquela que afirma que na internet nada é 100% seguro.
Provavelmente isto tenha uma boa dose de verdade, mas de qualquer maneira, a parte assustadora disto tudo, é que se nada do que existe na internet é totalmente seguro, qualquer espécie de vazamento de dados que comprometa a integridade das informações das pessoas, será de responsabilidade da sua empresa.
Tomou um susto?
Melhor que tenha sentido assim, a tendência será sofrer menos e ter menores prejuízos, quanto antes você se acostumar à esta realidade.
Se os dados estão com você, passaram por você e vazaram de alguma maneira, você e sua empresa são os responsáveis e assim serão tratados, tendo que enfrentar sanções que podem ser muito graves, algo como uma multa equivalente a 2% sobre o valor total de seu faturamento bruto anual ou 50 milhões de reais, o que for maior.
Não para por aí…
Imagine que, mesmo diante de valores tão elevados para multas, também existem outras sanções com potencial de gravidade que podem inviabilizar completamente a sequência de sua empresa nas atividades.
O que você acha de ter que deletar todos os dados que possui em seus servidores e/ou ficar impossibilitado, por um certo período, de operar com dados de pessoas de qualquer espécie?
É provável que neste ponto você já esteja, na sua parte mais íntima, assustado com o cenário que estamos desenhando.
Acredite, dá para ficar bem mais assustado ainda, pois a LGPD é uma realidade que não vai mudar e você simplesmente terá que se adequar, se não quiser ter surpresas muito desagradáveis relacionadas ao futuro de sua empresa.
Consideramos que exista outra possibilidade também…
Você pode ser um empresário latino, e, portanto, pode ter seu perfil ajustado ao comportamento comum ao nosso povo, de deixar praticamente tudo para a última hora, acreditando que na hora do incêndio você pode ligar a torneira e se livrar do fogo.
Viu como pode piorar?
A pior atitude que está ao alcance de um empresário em relação à LGPD é ter conhecimento dela, da abrangência, do potencial destruidor do futuro do empreendimento, da sua entrada em vigor, e ainda assim, não fazer nada para acelerar sua adaptação a esta nova e imutável realidade.
Estar ciente do problema e não tomar atitudes para criar as soluções, é além da irresponsabilidade, é a consolidação do descumprimento daquilo que o empresário se propôs quando abriu seu negócio.
Se preparar para a LGPD, é meio como fazer exame de prevenção ao câncer, uma questão de sobrevivência, e embora deixar para lá seja uma possibilidade, não é, nem de longe, algo inteligente a fazer.
Adequação antecipada à LGPD é um diferencial de qualidade altamente competitivo:
Em meio a este cenário ameaçador e real, aquele empresário que conseguir enxergar a urgência de construir uma estratégia, montar um plano e dar andamento a um projeto de adequação ao que determina a nova lei, estará claramente à frente de seu tempo, portador de um diferencial competitivo que sua concorrência não possuirá.
A segurança de operar em adequação ao que determina a lei, assim como a LGPD, é um aval de cuidado, responsabilidade, competência, confiança e credibilidade para qualquer empresa.
O contrário também é verdadeiro.
Como explicar para o mercado aquela notícia de que sua empresa foi autuada por não cuidar adequadamente das informações dos seus clientes?
Que estratégia de marketing pode apagar esta imagem e esta memória?
Provavelmente a resposta é NENHUMA!
Os danos aos quais uma empresa se submete todos os dias, no risco cotidiano de operar dentro de um mercado oscilante, com aspectos não muito claros de competitividade e concorrência, num país com um cenário político, jurídico e econômico conturbado, são de elevado risco.
Agora, se incorpora a todo este rol de ameaças veladas, uma ameaça objetiva, na forma de uma lei rigorosa e abrangente, que promete chegar com força e impacto decisivo na construção de uma estrutura de segurança de dados mais aprimorada, e a célula onde acontecerão as ações previstas nesta lei, é a sua empresa.
Como se preparar para a chegada da LGPD:
LGPD, cabe ressaltar, já está pronta, promulgada e com a entrada em vigor claramente definida para agosto de 2020, data em que o processo de aplicação estará ativo, passível inclusive, das poderosas sanções que têm assustado a todos que delas têm conhecimento.
Estamos falando da Lei 13.709/2018, que define, regula e determina todos os aspectos previsíveis sobre a relação das empresas e do mercado, com os dados pessoais de todos que estabelecem uma relação comercial ou institucional com qualquer empreendimento.
O primeiro passo para se adequar a esta nova e importante situação, é tomar consciência da importância em estar dentro do que a legislação prevê.
Não são poucos os casos de punições severas que já estão sendo aplicadas com base no Marco Civil da Internet e no próprio Código de Processo Penal, além de um suporte representativo do Código de Defesa do Consumidor.
Ter noção do problema e não agir no sentido de remediar e sanar seus impactos, é uma demonstração de irresponsabilidade, que certamente, custará muito caro a todos os envolvidos.
Depois de tomar ciência da situação, o caminho correto é buscar suporte e conhecimento, de forma a possibilitar a compreensão personalizada da empresa, compreender em que estágio ela se encontra, em relação a como deverá estar quando a lei entrar em vigor.
A melhor forma de ter segurança quanto a sua condição e de sua empresa no enfrentamento deste desafio, é recorrer a profissionais comprovadamente especializados.
Encontrar um suporte profissional de qualidade, capaz de realizar um diagnóstico apurado e preciso das reais condições da empresa, partindo disto para construir um planejamento sólido e tecnicamente embasado, no sentido de buscar a adequação do empreendimento ao que determina a LGPD.
A fase de aplicação do projeto também requer o acompanhamento bem próximo da equipe de orientação, normalmente composta por advogados qualificados e conhecedores do tema, associados a profissionais de Tecnologia da Informação (TI), que num trabalho conjunto, conseguem encontrar os caminhos para proporcionar uma adequação indicada para que a empresa siga operando, com segurança e com um risco muito reduzido de anomalias legais.
O envolvimento global da empresa no processo de adequação LGPD:
Não se iluda acreditando que você vai contratar uma empresa de fora, que acessará suas estruturas e instalações, aplicará um projeto e sairá, deixando todo o seu problema resolvido, sem que você tenha maiores envolvimentos.
Isto não acontecerá, esqueça!
Estar em adequação com a LGPD é um processo de responsabilidade da empresa e sobre ela recairão as sanções por qualquer eventualidade.
As transformações acontecem na empresa, onde é preciso modificar toda a cultura de tratamento de dados, a forma como são armazenados, como as pessoas fazem trafegar a informação e o uso que é dado a cada detalhe de dados pessoais, sensíveis ou não.
Esta é uma política empresarial, que deverá permanecer, como cultura, e por isto, não é uma responsabilidade isolada da equipe que vai desenvolver e atuar na implantação de seu projeto de compliance LGPD.
A equipe é apenas o seu apoio técnico qualificado, a vertente de conhecimento e experiência, que criará um planejamento personalizado para sua empresa, em todas as etapas, mas isto não tira a sua responsabilidade de implementação e operação.
A sua empresa deverá passar a agir dentro dos padrões determinados, sempre, mesmo depois da aplicação do projeto.
Pense nesta solução, como uma espécie de consultoria aplicada altamente especializada, com todo o potencial de realmente indicar os caminhos adequados, encontrar os pontos críticos, desenvolver as soluções, treinar, orientar, controlar, mas é a sua empresa que precisa adotar uma nova postura diante do novo cenário que a LGPD vai impulsionar no mercado.
LGPD é um marco de transformação da política de respeito às pessoas no mundo corporativo:
LGPD não é apenas uma lei que chega para funcionar como muitas outras do País, daquelas que a gente ouve, antes mesmo de entrar em vigor… “Esta lei não vai pegar!”
Vivemos num país onde a lei pode ou não pegar, tem ou não efeito, o que é uma constatação infeliz, quando se reconhece a segurança jurídica como um fator determinante do desenvolvimento de uma nação.
Com relação à LGPD, o aspecto de “pegar” ou não, é muito minimizado, pois como a justiça funciona quando provocada, qualquer pessoa que tenha seus dados comprometidos, em qualquer situação, poderá recorrer à LGPD, denunciando a falha, o que dispara um encaminhamento mais rápido e imediato, pois a maior parte das situações já está claramente prevista na nova lei, o que leva o processo apenas às fases de constatação, julgamento e sentença (sempre preservados os direitos à ampla defesa).
Entender que a LGPD seja uma lei que “não vá pegar”, ou que acontecerão prorrogações, ou “jeitinhos brasileiros” de fazer “não funcionar”, é um outro erro mais grave ainda, numa busca desesperada de empresários não tão recomendáveis, que preferem esgotar todas as possibilidades de driblar a lei, do que se adequar ao que é certo e recomendado fazer.
A LGPD não vem como um simples instrumento punitivo, pois sua intenção não é a coercitiva.
A coerção, nela contida, é forte e contundente, pois é a maneira de forçar empresários não tão responsáveis, a cumprirem com os parâmetros mínimos que assegurem a confidencialidade dos dados pessoais de quem opera, direta ou indiretamente com a empresa.
A empresa é o meio do processo, na ponta principal, está o cliente, o fornecedor, a comunidade, enfim, a pessoa, que detém a autoridade e propriedade sobre as suas informações, enquanto a empresa, exatamente como meio do processo, deve ser responsabilizada pelas fragilidades que apresenta no controle adequado de um patrimônio tão valioso e decisivo: a informação.
Ainda é tempo de correr e buscar os caminhos propícios para construir um bom diagnóstico da situação de sua empresa, com profissionais realmente capacitados e aptos a entender os seus processos, elaborar um projeto e um planejamento para sua implementação, treinar você e sua equipe, além de estabelecer e implantar ferramentas de controle da qualidade do seu tratamento de dados.
É inteligente de sua parte acionar esta estratégia enquanto é tempo, pois o tempo, é outro elemento raro e precioso nesta verdadeira corrida pela adequação, e quanto mais o tempo passa, mais a areia da ampulheta da contagem regressiva se esvai, e quanto menos tempo você tiver, mais caro, complexo, urgente e arriscado será a sua adaptação.
Não adianta correr, a fera da LGPD vem aí, vem com fome e é implacável.
LGPD – COMO AS EMPRESAS ESTÃO ENCARANDO A CHEGADA DA NOVA LEGISLAÇÃO
LGPD é uma sigla que está se tornando comum no dia a dia das empresas e das pessoas que estão ligadas ao mundo corporativo e ao universo dos profissionais de TI, porque sua entrada em vigor se aproxima e, segundo a análise geral em torno do tema, de fato, “o bicho vai pegar!”
A LGPD, sigla que define a Lei Geral de Proteção de Dados, entra em vigor em agosto de 2020 e traz punições pesadas para quem for pego infringindo as suas determinações.
O cabedal de sanções é amplo, mas os seus limites são assombrosos, pois estamos falando de multas, que podem ser de até 2% sobre o faturamento bruto anual da empresa infratora, ou 50 milhões de reais, o que for maior.
Não dá para desmerecer uma punição desta envergadura.
A LGPD não para por aí em seus mecanismos punitivos, pois também carrega sanções que, em determinados casos, podem ser muito mais contundentes que as multas vultuosas, como a obrigatoriedade de deletar toda a base de dados da empresa.
Você consegue imaginar como uma empresa operaria sem ter os preciosos dados sobre sua carteira de clientes, fornecedores e movimentações?
É por isto que resolvemos criar este conteúdo, para alertar da importância de se preparar com a maior antecedência possível, já que a LGPD vem com força e vai atuar de forma impiedosa sobre as empresas que não estiverem adequadas quando a fiscalização chegar, e acredite, uma estrutura gigantesca está sendo montada para que a fiscalização chegue de fato.
Os motivos que fizeram surgir a LGPD
LGPD surgiu para equacionar o fato de que a informação, finalmente, passou a ser considerada um ativo e, mais que isto, já é reconhecida como o principal ativo da maioria das empresas.
É através da informação que os caminhos se encurtam ou se alongam.
Conseguir a conexão adequada com o potencial cliente, é um desafio que resulta em investimentos poderosos, por parte de empreendimentos de todos os segmentos.
Na medida que a tecnologia evoluiu e possibilitou estes impressionantes níveis de conectividade que experimentamos hoje, e que estão em constante evolução, a troca de informações passou a ser algo instantâneo e abrangente.
Este movimento chamou a atenção para o potencial comercial que estava evidente na concentração de informações de contato, de características socioeconômicas, de preferências, tudo relacionado às pessoas que estabeleciam alguma relação comercial com as empresas.
Foi um passo natural e previsível, que algumas pessoas passassem a tirar vantagens das informações que guardavam, pois elas despertavam muitos interesses, que evoluíram para negócios, e quando o dinheiro entrou em cena, dados pessoais, sensíveis ou não, foram despejados em abundância no mercado, o que favorecia ações de marketing, focadas no estabelecimento de conexões diretas com potenciais consumidores.
Listagens gigantescas oriundas de bases de dados de todos os tipos, de uma forma ou de outra, acabavam por alimentar estratégias de marketing direto de iniciativas de todos os modelos e segmentos.
O velho telemarketing ganhou fôlego e os telefones e caixas de email passaram a receber uma enxurrada de mensagens de venda, de divulgação, de marketing em geral.
Os momentos áureos passaram rapidamente, até serem substituídos pela crescente indignação das pessoas, que não aguentavam mais estar expostas ao mercado como um cardume de salmões em direção aos ursos famintos.
Alguns países se adiantaram e passaram a regulamentar, de alguma maneira, a forma como as empresas e pessoas precisavam cuidar e tratar os dados de seus clientes, funcionários, fornecedores e qualquer um com os quais estabelecesse relação, a ponto de possuir suas informações.
Até o Brasil lançou o conhecido Marco Civil da Internet, a Lei 12.965, de 23/04/2014, uma espécie de regulamento geral para a utilização da internet e tudo o que está a ela relacionado.
O próprio CPC (Código de Processo Civil) também aprimorou especificações relacionadas aos direitos sobre os dados e informações.
O conjunto destas legislações, vem trazendo uma série de punições e sentenças importantes contra empresas que desobedecem às determinações já existentes.
O tempo não para e o mercado foi ficando cada vez mais voraz.
O marketing virou “marketing digital” e o que era agressivo, ficou feroz.
Possuir acesso a bases de dados robustas, era um privilégio, um diferencial competitivo valioso, e este valor foi imediatamente reconhecido.
Imagine que, eventualmente, você queira lançar uma campanha de cruzeiros marítimos e precisa direcionar sua campanha para um público-alvo muito específico…
Agora imagine que, por algum motivo, alguém lhe oferece uma base de dados de uma empresa de cartões de crédito, contendo informações de contato, de remuneração e potencial econômico, de gênero, de preferências de lazer, de faixa-etária, de perfil de consumo nos últimos 6 ou 12 meses…
Tudo o que você precisa, é filtrar desta rica massa de marketing, aquele grupo mais específico, que se encaixe na sua oferta, e então, disparar a campanha, de forma ostensiva, utilizando o email e o telemarketing.
Quanto você acha que vale esta base de dados?
As legislações existentes não eram (e não são) suficientes.
Por questão de evolução, os primeiros a agir decisivamente sobre o problema, foram os integrantes da comunidade europeia, que lançaram a GDPR (General Data Protection Regulation), a legislação similar e inspiração da LGPD, só que com abrangência europeia.
As normas a serem obedecidas neste tipo de legislação são rigorosas e as punições são severas, e vêm causando pânico e pressa em empresas e operações de todos os portes por toda a Europa e em outros lugares onde estão em vigor.
O Brasil seguiu a esteira desta inovação da lei e a LGPD foi promulgada como a Lei 13.709/2018, datando de 14 de agosto de 2018, com previsão para entrar em vigor em agosto de 2020.
Nós desenvolvemos um artigo específico que explica, detalhadamente, o que é a LGPD, dando ênfase às minucias, motivos, previsões, regulações, controladores e tudo o que diga respeito ao tema, numa abordagem bastante completa, que vale a pena conferir.
Nossa intenção agora, é entender como as empresas estão recebendo a proximidade do vigor da LGPD, em que estágio de preparação se encontram e qual o seu planejamento para se adequar ao que determina a lei, fugindo das assustadoras punições que estão previstas para quem não se enquadrar.
Como as empresas estão se preparando para o desafio
LGPD já está começando a fazer parte do cotidiano de muitas empresas, ao menos, no que diz respeito às mais antenadas e conectadas com os movimentos determinantes de mercado.
Não há como ficar alheio à LGPD, pois o baque pode ser violento e irremediável.
É consenso que o grau de punições é violento e o potencial de mais da metade das penas previstas, pode inviabilizar qualquer empresa, de uma hora para outra.
Um juiz, em determinada circunstância, pode definir uma multa milionária, ou até mesmo, um conjunto de multas sequenciais, determinando, inclusive, que a empresa simplesmente elimine suas bases de dados.
Qualquer negócio fica inviável diante de tal realidade.
O mais interessante, é a relação que as empresas possuem com um elemento imutável: o tempo.
Cada dia que passa, a entrada em vigor da LGPD fica mais próxima e, por consequência, o tempo de preparação e adequação fica menor.
Quanto menor o tempo para a preparação, maiores serão os esforços, os riscos e, por consequência, os investimentos necessários.
É curioso observar o comportamento dos empresários brasileiros diante desta realidade.
Sem demérito, o brasileiro em geral, é conhecido por suas características protelatórias, com o costume de deixar tudo para a última hora.
Se é preciso renovar um documento, por exemplo, a repartição pública necessária passa vazia na maioria do período, mas quando chega a data limite, percebemos uma fila gigante diante do local, onde todos estão apavorados para conseguir realizar a tal renovação antes que o prazo vença.
Será algo inovador observar como isto se refletirá em relação à LGPD.
Embora aumente gradativamente o fluxo de informações sobre a LGPD em trânsito na internet e nos demais veículos de comunicação, o que se encontra muito, é uma troca de informações entre profissionais do direito, empresas de consultoria que começam a se preparar para atuar no segmento e uma fração bem menor de empresários em busca de caminhos para seu empreendimento.
Não restam dúvidas de que a “fila vai aumentando” de acordo com a proximidade da data limite.
Já é esperada uma corrida sem precedentes para os últimos meses antes da lei entrar em vigor.
Existem algumas empresas se preparando para realizar bons negócios com esta demanda desesperada.
Se você é empresário, é interessante entender em que estágio de preocupação e preparação sua empresa se encontra, diante do que a LGPD exigirá.
Criamos 3 grupos de classificação para que você analise e se enquadre, e a partir daí, tenha uma visão aproximada do grau de desesp… ops!!! “prevenção” que precisa adotar em relação ao tema:
- Baixo nível de conhecimento (alienação total sobre o tema): Neste nível, o empresário se encontra totalmente fora do espectro de conhecimento sobre a LGPD, só ouviu falar, não tem ideia clara sobre o que se trata, percebe que tem cada vez mais pessoas se envolvendo com o tema, mas acredita, veladamente, que é algo que pode ser deixado para depois (o que é o seu maior erro), e que “na hora certa”, ele dará um jeito;
- Baixo nível de preparação: Além de estar desconectado da realidade sobre LGPD, este empresário ainda tem uma operação que acontece ao sabor dos movimentos, sem maiores controles quanto aos dados com os quais opera e sua estrutura de informação apresenta vários riscos e vulnerabilidades, tanto do ponto de vista estrutural quanto de consciência legal e políticas de tratamento de dados;
- Este será o tipo de empresário que passará maior trabalho para se adequar, terá menos tempo e deverá pagar mais pela adequação;
- Intermediário nível de preparação: Mesmo sem ter noção real do que significa a entrada em vigor da LGPD, alguns empresários possuem uma certa ideia da importância de proteger os dados que transitam sob sua responsabilidade e, em função disto, já criaram sistemas, processos e políticas razoavelmente equilibradas no tratamento dos dados;
- Este tipo de empresário terá um esforço médio para se adequar, mas ainda precisará de investimentos de porte, pois seu grau de desapego da realidade da LGPD, tende a fazer com que ele deixe para última hora a aplicação das ações necessárias;
- Elevado nível de preparação: Difícil encontrar um empresário que esteja alienado à LGPD e apresente uma estrutura de tratamento de dados bem elaborada, pois o conhecimento neste quesito está interligado à compreensão da lei, mas pode acontecer, de algum empresário, mesmo sem percepção da amplitude e poder da nova lei, ter construído um sistema de tratamento de dados de boa qualidade, privilegiando a segurança e a privacidade;
- Este empresário precisará de menores adequações em suas estruturas, mas ainda assim, tende a ter que realizar investimentos relevantes no processo, pois sua falta de conhecimento sobre o tema, será determinante para que ele deixe tudo para o limite do prazo;
- Conhecimento intermediário: Neste nível o empresário é mais antenado, já está ligado nos impactos da LGPD e mesmo que não avance na preparação, perde o sono imaginando que terá que enfrentar a situação e sente a responsabilidade em tomar alguma atitude, já que percebe o tempo escorrer entre os dedos e sabe que vai complicar quando se aproximar da ponta do funil;
- Baixo nível de preparação: Alguns empresários podem até demonstrar consciência do problema, mas não realizaram, através do tempo, ações de proteção e tratamento seguro dos dados, estando com a estrutura vulnerável para o que está previsto na lei;
- Este grupo de empresários ainda terá esforços maiores e terá que dispender mais recursos para sua adequação, pois por maior que seja sua consciência, a sua estrutura demandará de emergência para adequação, e isto custará mais, aumentando conforme a proximidade da data limite;
- Intermediário nível de preparação: Se o empresário possui consciência da importância da LGPD e seus efeitos na empresa, e ainda possui uma estrutura intermediária de segurança e políticas de tratamento de dados, os seus esforços e dispêndios de recursos tendem a ser igualmente intermediários, sendo que tudo está relacionado ao tempo que ele leva para adotar as medidas corretivas necessárias;
- Este empresário tende a se mexer ainda em tempo, evitando a explosão de fluxo dos limites, mas ainda depende de sua decisão ágil, o que não tende a acontecer, fazendo com que tenha que investir somas representativas para se adaptar;
- Elevado nível de preparação: Nível intermediário de consciência sobre a amplitude do problema ajuda, pois este empresário não está completamente alienado, mas o que mais facilitará sua vida, é o fato de que ele já vinha mantendo uma estrutura e política de segurança e tratamento de dados aceitável;
- Neste estágio, o empresário passa a colher os frutos de sua consciência e preparação, pois embora ainda tenha que investir em adaptação e adequação, suas necessidades são menores e ele tende a procurar ajuda com certa folga em relação às datas limites;
- Conhecimento elevado: Este empresário já é reconhecido por seus resultados em todos os setores, pois costuma acompanhar as movimentações relevantes do mercado e com a legislação não é diferente, já que está sempre focado em tudo o que pode interferir na saúde de seu negócio, com potencial, capacidade e visão de avaliar situações de curto, médio e longo prazos;
- Baixo nível de preparação: Mesmo com amplo conhecimento da situação, ainda assim, suas estruturas e políticas de tratamento de dados são iniciantes e apresentam muitas vulnerabilidades;
- Neste estágio, o empresário ainda estará sujeito ao dispêndio de recursos e esforços representativos, pois terá muito o que fazer no campo estrutural, mas deve ter certa compensação, pois tende a se antecipar e conseguir mais prazo para as implementações necessárias;
- Intermediário nível de preparação: Conhecimento elevado e um nível intermediário de preparação sugerem que este empresário já está num estágio bastante avançado de adaptação, precisando realizar a leitura profissional de suas vulnerabilidades e adaptações pertinentes, resultantes destes diagnósticos;
- No nível de conhecimento mais elevado e preparação intermediária, os recursos necessários já tendem a ser bem menores, pois a demanda é por adequação específica, uma espécie de “sintonia fina” sobre todo o seu aparato de gestão;
- Elevado nível de preparação: Um empresário com elevado nível de consciência da situação e que tenha uma empresa bem adaptada em sistemas, políticas e processos de tratamento e segurança de dados, tende a se movimentar com certa desenvoltura através do problema;
- Seu conhecimento fará com que ele antecipe ações, ao mesmo tempo em que suas estruturas estão praticamente adequadas ao que a LGPD determina, fazendo com que os esforços e recursos sejam mínimos para completar sua adequação;
- Baixo nível de preparação: Mesmo com amplo conhecimento da situação, ainda assim, suas estruturas e políticas de tratamento de dados são iniciantes e apresentam muitas vulnerabilidades;
- Baixo nível de preparação: Alguns empresários podem até demonstrar consciência do problema, mas não realizaram, através do tempo, ações de proteção e tratamento seguro dos dados, estando com a estrutura vulnerável para o que está previsto na lei;
- Baixo nível de preparação: Além de estar desconectado da realidade sobre LGPD, este empresário ainda tem uma operação que acontece ao sabor dos movimentos, sem maiores controles quanto aos dados com os quais opera e sua estrutura de informação apresenta vários riscos e vulnerabilidades, tanto do ponto de vista estrutural quanto de consciência legal e políticas de tratamento de dados;
OBSERVAÇÕES:
Conforme o infográfico, em forma de pirâmide, é possível constatar que a base da pirâmide, é composta pela maioria, que é o empresário que não tem conhecimento sobre o tema, ignora a importância da situação e possui a empresa despreparada para lidar com os dados e informações que estão sob cuidados da LGPD.
Na medida que direcionamos nossa atenção para o topo da pirâmide, onde estão os empresários de maior conhecimento sobre o tema, sua relevância e que, por suas características visionárias, já possuem uma percepção da importância de cuidar adequadamente das informações dentro de suas empresas, deverá necessitar de um esforço muito menor em sua adequação, o que também irá requisitar menores investimentos.
Convém mencionar que este grupo privilegiado de empresários é a minoria.
O que fazer para ganhar tempo e dinheiro no processo de adequação da empresa à Lei Geral de Proteção de Dados
LGPD é um assunto muito sério e a conta é simples, pois quanto antes o empresário se mexer, no sentido de correr atrás do que precisa para estar alinhado ao que a nova lei determina, menor será seu esforço para se adaptar e menor será sua necessidade de investimento com aquisição de conhecimento e implantação de processos.
Por lógica pura, podemos afirmar categoricamente que, neste caso em específico, a máxima que ensina que “tempo é dinheiro”, se reafirma com força e traduz exatamente a situação.
Um grau mais elevado de conhecimento sobre o tema, por parte do empresário, pode ser convertido em “sabedoria”, que irá leva-lo a se movimentar rápido na busca do que lhe falta, fazendo com que ele tenha mais tempo útil para ajustar seus processos e sistemas, economizando recursos importantes com a contratação de pessoal especializado.
Em outras palavras, é melhor contratar uma equipe de consultoria especializada agora, do que ter que contratar um batalhão de bombeiros mais tarde.
Não se trata de uma escolha entre fazer ou não fazer uma estratégia de adequação ao novo cenário com a LGPD, pois isto efetivamente não é uma opção, é uma necessidade prioritária inegável.
A única questão que fica sob escolha do empresário, é o quanto ele vai precisar investir em tempo, recursos e dedicação no processo de adequação, considerando que, quanto mais tempo ele demorar, mais terá que investir para fazer o que precisa ser feito, numa relação direta com o prazo, que quanto mais se aproximar agosto de 2020, menor será sua margem temporal de trabalho, maiores serão os esforços e, por consequência natural, os custos.
Cada um sabe de si e de suas necessidades, a menos que exista uma lei nova vindo por aí, com poder de transformar a realidade como as empresas lidam com algo de tão complexo tratamento e de extremo valor para as operações, quanto os dados e informações.
Não por acaso, a LGPD é exatamente isto, uma revolução, uma transformação, uma mudança radical e épica, com prazo definido para acontecer.
Uma espécie de “tsunami” que todos sabemos que se encaminha, com dia marcado para atingir a todos, indistintamente, deixando em pé, apenas aqueles que se preparam para enfrentar o turbilhão, fortalecendo suas bases, consolidando suas estruturas e amarrando suas pendências, e a única forma de superar o desafio, é com conhecimento e ação.
Mãos a obra, pois o tempo é curto e temos muito para fazer.
SEGURANÇA NA INTERNET. COMO A LGPD VAI TRANSFORMAR AS POLÍTICAS DE PROTEÇÃO
Segurança na internet é uma preocupação que cresce na mesma proporção em que a própria internet se transforma e se consolida como o veículo de comunicação e conexão de amplitude mundial, onde tudo trafega, é armazenado e disponibilizado, neste novo mundo 4.0.
A sociedade evolui e os valores são adaptados às novas realidades, algo comum através da história da humanidade, o que traduz, de maneira simples, o funcionamento do ciclo da evolução.
Neste caminho, elementos que não tinham valor relevante, até por não existirem, passam a existir, ganham importância e, portanto, valor.
O maior exemplo disto são os dados.
Dados são unidades básicas de informação e é através da informação que empresas e negócios do mundo todo vão construindo seu poderio de mercado, onde algumas se tornam grandes conglomerados, concentradores de valiosas informações sobre pessoas, corporações e mercados.
A competitividade moderna está, claramente, construída sobre uma base ampla de informações, envolvendo pessoas, negócios, produtos, costumes, preferências.
Dados são o novo petróleo.
Quem consegue obter mais dados e mais relevantes informações, em tese, tem o potencial de construir e manter estratégias vencedoras.
A questão passou a ser a segurança deste novo petróleo, a forma como os dados são disponibilizados e utilizados, sem ferir a privacidade de seus verdadeiros proprietários: as pessoas.
Segurança na internet virou questão legal
Segurança na internet nem precisava de muito exercício de pensamento para ser percebida como fundamental nos dias de hoje, mesmo excluindo os aspectos legais da análise.
Nenhum tipo de negócio prospera se não assegura segurança no tratamento dos dados das pessoas que interagem no universo virtual.
O gritante aumento das operações comerciais no mundo virtual, só aconteceu a partir do momento em que as pessoas começaram a se sentir seguras quanto à integridade dos seus dados, a forma como eles são tratados pelas empresas que operam no setor, e a certeza de que eles não seriam ameaçados de alguma maneira ilícita ou clandestina.
É lógico que plenitude de segurança é uma utopia, em qualquer segmento da humanidade, não seria diferente no universo virtual.
O avanço da tecnologia tem possibilitado às empresas, condições cada vez mais seguras de tratamento de dados, com a utilização de dispositivos, sistemas, mecanismos digitais cada vez mais complexos e evoluídos no cuidado com estes preciosos elementos de valor.
Ainda assim, nada é 100% seguro, embora a necessidade de segurança seja independente de nossa capacidade de oferecer esta segurança.
Na esteira desta nova realidade e do grande valor que os dados e informações passaram a ter, o mundo vem se mobilizando e criando legislação específica para obrigar empresas, entidades e pessoas, a assegurarem segurança plena dos dados e informações de seus usuários.
O desafio de adotar procedimentos de segurança eficientes e confiáveis, recai sobre os empreendimentos que se lançam na empreitada dos negócios e relações virtuais.
Na Europa, surgiu a GDPR (General Data Protection Regulation), que nada mais é que o Regulamento Geral de Proteção de Dados, uma “Lei Europeia”, vigente em toda a EU, identificada como UE2016/649, elaborada em 14 de Abril de 2016, em vigor desde 25 de Maio de 2018, que define os pontos principais da proteção de dados no continente europeu, trazendo as diretrizes e as punições, que são pesadas, para quem não se enquadrar no que a legislação determina.
Claramente a Europa está mais avançada que o Brasil numa série de aspectos, onde a legislação geral é um dos que se destaca.
No caso da proteção de dados, no entanto, o Brasil não está tão atrás assim, já que a legislação já existe e entra em vigor a partir de agosto de 2020, trazendo uma semelhança considerável com a GDPR europeia, de onde surgiu a inspiração que construiu as bases centrais da nossa lei.
No caso brasileiro, a LGPD é a lei 13.709 de 14 de Agosto de 2018, com início de vigência previsto para 16 de Agosto de 2020, quando suas determinações começarão a valer de forma punitiva, exigindo que empresas de todos os portes estejam adequadas à operação de dados, com a finalidade de preservar a intimidade, propriedade e segurança dos dados das pessoas.
No mundo moderno, as informações passaram a ser um elemento de muito valor no ambiente comercial, e obter informações privadas de potenciais consumidores, passou a ser uma ferramenta estratégica relevante na construção da maioria das empresas.
Dispondo destas informações pessoais privadas, é possível modular ofertas, através do conhecimento e inteligência de marketing, que foca em grupos específicos e atua de maneira mais agressiva nas ações comerciais.
Este é um dos exemplos de como os dados privados das pessoas estão expostos a ações que acontecem à sua revelia, sem que exista seu conhecimento e, muito menos, autorização para todos estes trâmites.
A legislação se modulou à sociedade e criou mecanismos de controle da forma como os dados das pessoas são utilizados, guardados, protegidos e administrados.
Nesta esteira surgiu a LGPD, que estabelece normas claras sobre a forma como os dados privados das pessoas podem transitar através do ciclo empresarial, sobretudo, no que diz respeito à sua guarda e proteção, que passa a ser responsabilidade legal do detentor.
A LGPD faz evoluir a Lei 12.965, de 23 de Abril de 2014, também conhecida como Marco Civil da Internet, que surgiu para enquadrar vários aspectos relacionados à forma como a internet é utilizada no País.
O que são dados pessoais:
Dados pessoais são todos os dados relativos à identidade, geopolítica e sociológicos que podem identificar um indivíduo, definindo sua existência, localização e características pessoais.
O que são dados pessoais sensíveis:
Os dados pessoais sensíveis são todos aqueles que, por sua essência, permitem conhecer a diversidade do indivíduo, o que possibilita uma exposição ao risco de discriminação.
A definição de dados sensíveis está associada aos conceitos de sensibilidade dos dados do cidadão, apresentados no Artigo 5º da Constituição Federal, basicamente definindo sexualidade, privacidade, autodeterminação, liberdade de expressão, informação, comunicação, opinião, religião, etnia, opção política, situação sindical, filosofia, saúde, sexualidade, genética, biometria, intimidade, honra, imagem, economia pessoal, conhecimento, desenvolvimento da personalidade, dignidade, cidadania e garantia dos seus direitos humanos.
O que são dados anônimos:
Os dados anônimos estão relacionados às informações estatísticas de indivíduos ou grupos, onde não é possível realizar a conexão das informações com o seu titular, de forma que os dados aproveitados sirvam para purificar informações de cunho genérico, sem que estes possam ser cruzados com seus titulares.
O que é anonimização dos dados:
A anonimização dos dados é exatamente o processo de quebrar a relação entre as informações e seus titulares, desvinculando o dado do indivíduo.
Criptografia e codificação em geral são algumas das ferramentas utilizadas na anonimização dos dados.
O que é tratamento de dados:
Tratamento de dados é a forma como a empresa opera com os dados de seus clientes, colaboradores, fornecedores, todos aqueles que estabeleçam alguma espécie de relação com o empreendimento, que envolva disponibilização de dados de qualquer tipo.
O tratamento de dados está relacionado com o que a empresa utiliza para obter, manter, controlar, armazenar, utilizar e distribuir os dados das pessoas e este é o elemento chave para a aplicação da LGPD, pois tudo está relacionado à forma como a empresa trata as informações que nela trafegam.
Os princípios básicos da LGPD:
Segurança na internet é um quesito que interessa a todo mundo, pois de uma forma ou de outra, nosso perfil está acessível e transitando na internet, mesmo que de forma independente de nosso conhecimento.
O contexto da LGPD foi construído respeitando uma espinha dorsal de princípios, através dos quais as empresas tratam os dados das pessoas:
- FINALIDADE: A LGPD monitora o senso de finalidade para a qual a utilização de determinado conjunto de dados se dará e a razoabilidade desta utilização, garantindo que o motivo seja justificável e limitado ao objetivo;
- ADEQUAÇÃO: A LGPD também avalia se existe adequação na forma como os dados são tratados pelas empresas, assegurando de que não estejam em risco de utilização inadequada e falta de segurança;
- NECESSIDADE: A LGPD também avalia o grau de necessidade e importância do grupo de dados que é tratado por uma empresa, se as informações colhidas possuem uma linha de compatibilidade lógica com a sua utilização;
- TRANSPARÊNCIA: O conceito de transparência e clareza na operação com os dados das pessoas também é relevante para a LGPD, que garante o direito à titularidade dos dados aos seus proprietários, bem como o conhecimento, a qualquer tempo, de todos os processos aos quais os seus dados estão submetidos e expostos.
Os personagens envolvidos no processo:
Segurança na internet requer um trabalho específico e personalizado, envolvendo praticamente todas as pessoas, em todos os pontos das empresas, mas é possível, de uma forma geral, determinar algumas funções relevantes:
- TITULAR: O proprietário dos dados, a pessoa aos quais os dados, de qualquer tipo, se relacionam;
- CONTROLADOR: O responsável pela captação dos dados, seu armazenamento, controle, segurança e tratamento geral, normalmente é a empresa e suas estruturas específicas pela ação;
- OPERADOR: Pessoas ligadas à empresa, de forma direta ou terceirizada, que são encarregadas de tratar os dados do controlador de forma técnica e operacional;
- RESPONSÁVEL TÉCNICO (DPO): O técnico responsável por todos os aspectos relacionados aos dados das pessoas, bem como as políticas internas de tratamento de dados, o grau de capacitação das pessoas, a construção de estratégias de segurança e proteção, de cumprimento integral por parte da empresa, das determinações da legislação.
LGPD e o cenário atual
Segurança na internet é reconhecido como um fator importante para o sucesso dos empreendimentos, mas ainda hoje, medidas diretas e definitivas para procedimentos de segurança são muito frágeis, quando acontecem e existem.
Hoje em dia tudo parece uma gigantesca salada, sem receita, onde vão sendo jogados os dados das pessoas, de forma indiscriminada, sem muitos cuidados de segurança, além do básico, e com um tratamento que não obedece a padrões.
É difícil afirmar, mas a sensação, é de que grande parte das empresas, seus intermediários, operadores ou qualquer pessoa com algum acesso, chega a comercializar as bases de dados para que outros empreendimentos desenvolvam seus projetos de marketing.
É muito comum encontrar anúncios oferecendo bases de dados de operadoras de cartões de crédito, bancos, telefônicas, empresas de diversos segmentos comerciais, órgãos do governo, tudo para que o mercado consiga os dados de contato, além de muitos dados sensíveis, de pessoas de todos os grupos sociais, visando estratégias agressivas de comercialização e marketing, tudo sem maiores consequências.
LGPD e o cenário futuro
O que a LGPD espera conseguir, é uma organização do processo de tratamento dos dados das pessoas, garantindo segurança e privacidade, proporcionando uma relação honesta entre todos os personagens.
Políticas de privacidade serão mais ativas e funcionais, deixando de ser aquele conjunto de textos que simplesmente aceitamos, sem nem mesmo saber o que está contido ali.
As pessoas terão direito ao cuidado geral com seus dados, sejam eles sensíveis ou não, podendo acionar, a qualquer tempo, os dispositivos legais para situações que não estejam respeitando o que determina a LGPD.
Os profissionais que atuam, de alguma maneira, com os dados das pessoas, terão um nível de responsabilidade muito mais elevado e estarão sujeitos, tanto quanto a empresa, a punições severas a contundentes.
No Brasil, a previsão legal de punições pode chegar a 2% sobre o faturamento bruto anual da empresa ou 50 milhões de reais, o que for maior.
Talvez um dos elementos de punição mais agressivos, além do pecuniário (multa), é a possibilidade de algum juiz determinar que toda a base de dados do empreendimento seja simplesmente apagada, sem backups ou opções alternativas.
Imagine que, de uma hora para outra, por cometer algum tipo de infração à LGPD, uma determinada empresa seja multada em até 50 milhões de reais e ainda tenha toda a sua base de dados apagada.
Certamente isto seria o fim existencial do empreendimento, que não teria mais como seguir operando.
É neste sentido que as empresas estarão sujeitas a fiscalizações, auditorias e denúncias, a qualquer tempo, de que alguém teve acesso aos dados que estão sob sua responsabilidade e isto vai trazer transtornos graves diante da lei.
O papel da ANDP
A Autoridade Nacional de Proteção de Dados (ANPD), foi criada a partir da Medida Provisória 869, de 27 de Dezembro de 2018, transformada na Lei nº 13.853/2019.
Uma agência governamental específica para cuidar exclusivamente dos aspectos relacionados à proteção de dados, a aplicação e controle da LGPD.
São várias as atribuições e encargos da ANPD, como cuidar da proteção de dados de uma forma geral, observando que sejam guardados os segredos industriais e comerciais, elaborar diretrizes e normas, fiscalizar, aplicar sanções, arbitrar demandas, ensinar, orientar, acompanhar o movimento internacional de proteção de dados, estimular o controle adequado, cooperar com outras nações, tornar pública a informação sobre a LGPD, controlar o tratamento de dados da máquina pública, auditar, emitir parecer técnico, apresentar relatórios de desenvolvimento do setor, congregar, detalhar a utilização de suas verbas e recursos, corrigir, simplificar, multar, punir.
A ANPD é controlada por um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, uma entidade de fins específicos, composta por 20 membros da sociedade civil e do governo, para administrar a aplicação da LGPD da melhor maneira possível.
Segurança na Internet. Como se adequar à LGPD
Segurança de dados e segurança na internet, se não eram prioridade, passarão a ser, muito mais rapidamente do que a maioria das pessoas imagina, e não é bom ser pego de surpresa por ações punitivas tão duras e contundentes.
O mais correto, é sair do trilho normal da forma como as coisas costumam acontecer no Brasil e se antecipar.
Na verdade, se antecipar não é exatamente o termo correto, pois quanto antes a empresa se adaptar ao que determina a lei, mais cedo ela estará cumprindo com aquilo que é sua obrigação, independe da legislação.
Muito antes da LGPD entrar em vigor já se tem diversas notícias de várias empresas e instituições sendo multadas e punidas com base no Marco Civil, na Constituição Federal e no Código de Defesa do Consumidor.
O que vai acontecer com a entrada em vigor da LGPD é um rigor muito maior e um nível de tolerância muito próximo a zero, principalmente nas etapas iniciais, quando tudo servirá de exemplo e muitos desavisados vão cair em processos bem animados de fiscalização e auditoria, por parte dos órgãos encarregados.
Desde já, é possível e necessário buscar suporte e apoio para resolver as questões pendentes da sua empresa com relação à proteção de dados e à segurança na internet, buscando uma adequação ao que está previsto em lei, evitando surpresas desagradáveis logo ali adiante.
Busque pessoas especializadas para consultoria e orientação:
Para obter uma boa conformidade com a LGPD, o primeiro passo é conhecer o que está contido em suas deliberações, entender a lei com profundidade e segurança, fugindo dos processos opinativos e estando certo de que possui uma boa base para enfrentar a transformação pela qual sua empresa terá que passar.
O recomendado é encontrar uma consultoria capacitada, uma empresa especializada em LGPD, com profissionais que conheçam o segmento e estejam perfeitamente preparados para construir um projeto personalizado de adequação à lei.
Uma empresa qualificada é a base de conhecimento confiável para determinar o que é importante e relevante para cada caso.
Mesmo distante da lei, algumas empresas já estão em maior conformidade que outras, o que faz com que cada projeto seja único, e assim deve ser tratado.
Crie um departamento e nomeie um encarregado específico:
Segurança na internet é tão sério que vai requerer um departamento especializado, ou no mínimo, um profissional encarregado, dependendo do porte da empresa.
Provavelmente, um dos primeiros passos que a consultoria vai orientar, é exatamente a criação de um departamento, comitê e/ou encarregado de lidar com todos os aspectos relativos à LGPD.
A própria legislação prevê a nomeação de um controlador responsável, físico ou jurídico, para atender às necessidades específicas de cada empresa.
Esta é a figura do DPO (Data Protection Officer), herdada da GDPR europeia, que atua na aplicação e controle das políticas de proteção de dados e conformidade com a legislação, de atuação direta nas empresas.
Auditoria de dados:
Logo no início dos trabalhos da sua consultoria, você será orientado na realização de uma completa e ampla auditoria de tratamento de dados, avaliando tudo que se relaciona à aquisição, armazenamento, tráfego, controle e segurança dos dados tratados por sua empresa.
Esta auditoria, além de profunda, terá um perfil crítico, buscando falhas e vulnerabilidades, o que é necessário para resolver eventuais problemas e aplicar soluções corretivas definitivas nas situações críticas detectadas.
A auditoria, ao identificar fraquezas e corrigi-las, também serve para estabelecer padrões personalizados de operação e tratamento de dados, embasando a atividade e os programas de treinamento.
Estabelecer um sistema de governança de dados:
Governança de dados é o conjunto de cuidados que sua empresa dispensa para toda a operação de tratamento de dados, e estabelecer este processo de governança, é se certificar de que suas estruturas, além de estarem adequadas às exigências, possuem competência e segurança de que não acontecerão surpresas quando de alguma eventual fiscalização e, mesmo que não ocorram verificações externas, que os riscos de vazamentos de dados e vulnerabilidades de segurança, sejam inexistentes ou minimizados.
Políticas de segurança:
A partir da auditoria completa é possível estabelecer padrões e, a partir destes padrões, é possível definir as políticas de segurança de dados da empresa.
Serão criados regulamentos, normas internas, padrões de controle e verificação, processos de melhoria contínua e evolução permanente do tratamento de dados da empresa.
Todo este conjunto será conhecido como as políticas de segurança do empreendimento.
Revisão de contratos, documentação e política de privacidade:
Um passo importante na construção de um padrão adequado à LGPD é um conjunto documental rigorosamente enquadrado nas previsões legais.
A forma como os dados das pessoas serão acessados e tratados, deve estar explicitada nos documentos cotidianos, como contratos, fichas cadastrais, formulários e toda a espécie de ferramenta de registro de operações e captação de dados das pessoas, sejam eles sensíveis ou não.
A política de privacidade da empresa também deve ser completa, eficiente, adequada ao que determina a lei e utilizada corretamente.
Inventário de armazenamento e tráfego de dados:
É necessário construir um processo de controle absoluto quanto à guarda dos dados das pessoas, a forma como são armazenados, como trafegam, quem pode acessar e a segurança geral dos sistemas.
Este inventário deve funcionar nos moldes patrimoniais, apontando localizações, valor, movimentação e estatísticas de segurança.
Treinamento e aprendizado contínuo:
A consultoria orientará a criação de um programa de treinamento constante nas operações relacionadas à segurança na internet e proteção de dados, algo extremamente importante para a adequação, melhoria contínua e correção de eventuais anomalias identificadas no processo.
O programa de treinamento também é importante ferramenta de conscientização da equipe quanto a importância do tema e a responsabilidade compartilhada entre todos, já que um vazamento pode acontecer em qualquer parte da operação.
Política de gerenciamento de riscos:
Segurança na internet está intimamente ligada a riscos, pois tudo o que envolve segurança apresenta algum grau de riscos e ameaças.
A consultoria orientará a criação, aplicação e controle de uma política de riscos, alimentada a partir das auditorias, que vão apontar pontos críticos e ações corretivas, ao mesmo tempo que devem estabelecer monitoramento ativo sobre as zonas críticas, antevendo e atuando em potenciais problemas de segurança na internet e proteção de dados.
Política de relacionamento com fornecedores e terceiros:
O LGPD avança para além das fronteiras das empresas, pois se você cuida de seus dados, mas dá acesso a algum parceiro, fornecedor, prestador de serviços e este não cuida dos seus dados como você, a responsabilidade será diretamente sua, mesmo que você consiga justificar a ação indireta do intermediário.
Suponha que você mantenha total integridade e conformidade em todos os níveis de sua operação, mas que por algum motivo, precise contratar um intermediário para realizar a entrega de um produto, por exemplo.
Entenda que os dados de seu cliente estarão dispostos nos documentos de entrega e transporte aos quais o seu intermediário terá acesso.
Agora imagine, que por algum motivo qualquer, este intermediário não seja tão cuidadoso com os dados de seu cliente, e que ao mesmo tempo, você não seja tão cuidadoso com o nível de cuidado que seu intermediário possui…
Se os dados vazarem e a situação for acionada pelo cliente, fatalmente as sanções recairão sobre a sua empresa.
É possível observar a amplitude de abrangência do espectro da lei, não bastando estar adequado a todas as determinações, se os seus parceiros não estiverem também.
Informações e avisos legais:
O processo de auditoria e de cuidado com os documentos e contratos deverá dar origem a um sistema de informações regulares e legais, junto a todos os personagens, assegurando à empresa os registros de conformidade e concordância com as políticas de privacidade do empreendimento.
Avaliação e monitoramento permanente das ações da empresa, além de manter vigilância estreita nas novas práticas:
Depois de regularizar todos os aspectos de segurança na internet e proteção de dados praticados pela empresa, é fundamental que o empreendimento crie mecanismos para avaliar o grau de segurança e eficiência na proteção de dados das novas operações desenvolvidas pela empresa.
Quando novos processos forem incorporados, é preciso verificar se eles estão “desinfetados” de riscos à segurança na internet e à política de proteção de dados.
Implementar sistemas de comunicação e resposta instantânea a reclamações e anomalias:
A consultoria de segurança na internet e LGPD, também vai orientar na criação e manutenção ativa de canais de comunicação direta, para pessoas que eventualmente se sintam compelidas a reclamar sobre algo que às desagradou, quanto à segurança na internet ou proteção de dados, encontrem um caminho rápido e direto, demonstrando, antes de tudo, boa-vontade e atitude solucionadora.
Os níveis de resposta devem ser instantâneos, para caminhar rapidamente em direção à solução.
A criação deste canal de contato e de uma política solucionadora imediata, tem 2 aspectos positivos relevantes, onde em primeiro plano, está o imediatismo como o problema pode ser tratado, antes que aumente e ganhe proporções incontroláveis, além de demonstrar aos fiscalizadores, uma definitiva boa-vontade, o que pode ser determinante na avaliação de eventuais punições decorrentes de alguma inconformidade.
Políticas e estrutura de solução de problemas:
O ideal é que incêndios não aconteçam, mas esta simples possibilidade, já justifica o investimento no corpo de bombeiros, torcendo para que eles nunca precisem ser acionados.
Em segurança na internet e proteção de dados, a situação é basicamente a mesma, pois é responsabilidade da empresa, criar uma estrutura, envolvendo pessoas e processos, buscando a solução imediata de qualquer problema de vazamento de dados, conectado diretamente a uma linha de atendimento, oferecendo agilidade e eficiência na solução das situações.
Controle geral de eficiência e resultados:
A consultoria de segurança na internet e proteção de dados, na evolução de seu trabalho, vai orientar a criação de processos e indicadores para estabelecer um poderoso mecanismo de controle de eficiência e resultados.
Estes processos vão apontar o perfil de aplicação das políticas, o desempenho das equipes e pessoas, bem como o nível geral de segurança e vulnerabilidade, tanto de forma global, quanto por setores e por ponto crítico da operação.
É este acompanhamento que irá apontar o desenvolvimento estratégico da empresa em relação ao que determina a legislação.
Este setor também acompanhará as movimentações de mercado, as novidades, a evolução dos processos de segurança na internet e proteção de dados, bem como as movimentações em torno da nova legislação.
Segurança na Internet. Compliance e governança são as palavras que vão fazer parte da vida das empresas
Segurança na internet e proteção de dados, bem como a adequação à LGPD, são novidades que vão consolidar, de uma vez por todas, as expressões compliance e governança no cotidiano empresarial.
Não se trata de uma situação opcional, pois é obrigatório e o assunto é tão sério, que este não será aquele tipo de lei em que as pessoas se permitem opinar, dizendo que “esta lei não vai pegar!”
Já pegou e acredite… Vai pegar você se não se antecipar.
Compliance é a adequação a tudo que a lei determina, de forma que sua empresa seja eficiente e legal, no tratamento dos dados das pessoas com as quais ela se relaciona, em todos os âmbitos.
Governança é o padrão operacional que você dedica ao tratamento dos dados e à segurança na internet, envolvendo os dados e informações das pessoas com as quais sua empresa estabelece relações.
Talvez você ainda acredite que existe tempo suficiente para deixar para depois toda esta parafernália de adequação, compliance e governança, mas é inegável, que quanto antes você se mexer, mais cedo você tirará este peso das costas e da consciência, pois mesmo que a lei não existisse, você já saberia que ninguém é mais responsável pelos dados do seu cliente do que você mesmo.
A lei só veio para consolidar esta realidade imutável.
O caminho e o conselho, é para que você se agilize, buscando em primeiro lugar, alguém que esteja envolvido no processo, que conheça profundamente a lei e que esteja apto a atuar como seu parceiro consultor no desenvolvimento de um projeto personalizado de adequação da sua empresa no universo da segurança na internet e na LGPD.
O passo seguinte, já acompanhado deste apoio técnico, será moldar sua empresa, adaptando sua operação, da melhor maneira possível, aos detalhes desta legislação exigente e definitiva, algo que fará com que você, sua empresa, sua equipe, seu rol de parceiros e fornecedores, evoluam juntos, o que resultará numa operação conjunta cada vez mais sadia e confiável.
O mercado saberá valorizar a compliance e a governança em segurança na internet e LGPD.
Sua empresa será reconhecida e você poderá utilizar em seu marketing, o diferencial de garantir total segurança dos preciosos dados das pessoas que interagem com seu empreendimento, um fator a mais de credibilidade e confiança.
Credibilidade, confiança e respeito, não se exige, se adquire e constrói.
Mexa-se!
O QUE É LGPD, OBJETIVOS, EXIGÊNCIAS E IMPLICAÇÕES DA LEI DE PROTEÇÃO DE DADOS
O que é LGPD, é uma daquelas dúvidas que, se não está entre as prioridades das suas curiosidades, deveria estar, pois a partir de agosto de 2020 a forma como as empresas lidam com os dados dos seus clientes, será determinante de elevadas punições, advertências severas, multas pesadas e até mesmo restrições operacionais.
A Europa já possui legislação ativa esparramando multas e punições contundentes nas empresas que não cumprem com o que é determinado para a proteção dos dados das pessoas, através da GDPR (General Data Protection Regulation).
A GDPR está em vigor no continente europeu desde maio de 2018, trazendo multas vultuosas, que podem chegar aos € 20 milhões ou 4% do faturamento anual da empresa infratora (o que for maior).
O que está previsto como punição em casos de inconformidade com a LGPD no Brasil, parte de 2% sobre o faturamento anual, podendo avançar até o teto de R$ 50 milhões.
Não há por onde fugir, pois mesmo que o congresso, numa atitude de última hora, procure abrandar os impactos da lei, o Brasil se associou ao esforço europeu e internacional para melhorar a segurança dos dados sensíveis das pessoas, o que faz com que a ação política sobre o tema fique limitada, sob pena do País ser alijado de uma série de vantagens de desenvolvimento oriundas de sua aderência ao tratado.
O que é LGPD e o que são dados sensíveis
LGPD é a sigla para Lei Geral de Proteção de Dados, como é conhecida a Lei 13.709/2018, promulgada em 14 de Agosto de 2018, que tem como principais objetivos, proteger os dados das pessoas, com fins bem específicos determinados no corpo da lei, para garantia e preservação dos direitos fundamentais do cidadão, conforme previsto no Artigo 5º da Constituição Federal.
Entre eles estão:
- Respeito à privacidade;
- Autodeterminação informativa;
- Liberdade de expressão, de informação, de comunicação e de opinião;
- Inviolabilidade da intimidade, da honra e da imagem;
- Desenvolvimento econômico, tecnológico e de inovação;
- Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais.
Numa leitura direta, a LGPD buscou uma inspiração aberta na legislação europeia para definir a proteção dos dados, determinando um rigor muito maior com os aspectos de responsabilidade, por parte das empresas e marcas, com tudo o que diz respeito à utilização dos dados dos seus clientes e do mercado como um todo.
A LGPD traz da GDPR:
- Princípios de responsabilização;
- Prestação contínua de contas sobre os dados;
- Apresentação clara de finalidade legítima;
- Adequação aos parâmetros de segurança;
- Clareza na demonstração de necessidade daqueles dados;
- Capacidade de prevenção contra vazamentos;
- Total eliminação de qualquer espécie de discriminação;
- Garantia assegurada ao proprietário dos dados, de livre acesso ao gerenciamento ou eliminação de suas informações, a qualquer tempo.
A maior parte destas determinações é claramente copiada das chamadas Key Issues, contidas na GDPR, que mais objetivamente, tratam de Privacy Impact Assessment, Processing, Record of Processing Activities, Right of Access e Right to be Forgotten and Informed.
A abrangência do entendimento internacional de aplicação da LGPD, torna bastante restritiva a atuação das empresas e marcas quanto ao controle dos dados das pessoas.
Se a empresa é brasileira ou se a operação de captura e tratamento de dados se dá no Brasil, ou ainda, se a oferta para qual aquela operação com os dados se direciona, ocorrer em território nacional, a empresa deve se adequar aos parâmetros da LGPD.
Se a captura e tratamento de dados tiver qualquer conexão com o território europeu, a empresa responsável também estará sujeita ao que determina a GDPR, exigindo que a empresa observe as 2 legislações.
O que se observa com clareza, é que está se estabelecendo uma malha quase inexpugnável que praticamente obriga, sob pena de responsabilidade séria, que todos os agentes de mercado tomem o máximo cuidado com os aspectos de captura, tráfego, armazenamento, controle e segurança dos dados das pessoas.
Isto se explica pela interconectividade assombrosa dos tempos atuais.
De nada adianta uma empresa, cidade, estado, nação ou continente, se aprimorar nos aspectos de segurança, se outras pontas conectadas aos sistemas, permitem vazamentos, que no fim, comprometem a integridade de toda a operação.
É aí que a coisa aperta e qualquer espaço para o tal “Jeitinho Brasileiro” vai ficando cada vez mais restrito.
O que é a ANDP
ANPD é a sigla para Autoridade Nacional de Proteção de Dados, uma autarquia criada através de Medida Provisória, que tem o número 869 (Convertida na lei 13853/2019) e data de 27 de Dezembro de 2018, que surgiu na esteira da nova LGPD (Lei 13.709/2018).
O único objetivo da criação da ANPD é o controle legal e de funcionamento da LGPD, com a função de manter o País em compliance com os termos do Regulamento Geral sobre a Proteção de Dados, algo que se não ocorresse, dificultaria o Brasil de executar qualquer tarefa com a EU que envolvesse tratamento de dados.
A medida provisória que estabeleceu a ANPD determina uma estrutura composta por conselho diretor, responsável pela gestão e um grupo técnico, que forma o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Além desta espinha dorsal, a ANPD também conta com corregedoria e ouvidoria.
O Presidente da República é responsável pela nomeação dos 5 membros do conselho diretor, que serão posicionados por mandato, após sabatina no Senado Federal e só podem ser depostos depois de curso total de eventual processo administrativo que resulte em sua destituição, visando preservar a isenção das ações, com uma mínima ou nenhuma interferência política.
Já o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é formado por 20 membros, sendo 5 membros oriundos do governo, 3 da sociedade civil, 3 da comunidade científica, 3 da produção, 1 do Senado Federal, 1 da Câmara dos Deputados, 1 do CNJ, 1 do CNMP e 1 do Comitê Gestor da Internet, além de 1 representante dos empresários e mais 1 dos trabalhadores, todos com mandato de 2 anos.
As atribuições da ANPD estão bem claras e definidas no Artigo 55 da Lei nº 13.853/2019 e são as seguintes:
- Zelar pela proteção dos dados pessoais, nos termos da legislação;
- Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei;
- Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
- Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
- Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança
- Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
- Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
- Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
- Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
- Solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento da LGPD;
- Elaborar relatórios de gestão anuais acerca de suas atividades;
- Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
- Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
- Arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
- Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
- Celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
- Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
- Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos da LGPD e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
- Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
- Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
- Comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
- Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
- Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
A mesma lei que define as atribuições, também define as sanções envolvidas no processo de controle e proteção de dados:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária, observado o limite total a que se refere o inciso acima;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
Agravantes ou atenuantes considerados pelo conjunto de sanções da lei:
- A gravidade e a natureza das infrações e dos direitos pessoais afetados;
- A boa-fé do infrator;
- A vantagem auferida ou pretendida pelo infrator;
- A condição econômica do infrator;
- A reincidência;
- O grau do dano;
- A cooperação do infrator;
- A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
- A adoção de política de boas práticas e governança;
- A pronta adoção de medidas corretivas;
- A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
O que é legítimo interesse…
A LGPD traz também do cabedal europeu de leis, o conceito de legítimo interesse, que no continente europeu é definido como o marketing direto, por exemplo, embora esteja afeto a qualquer tramitação de dados pessoais.
O Brasil não é tão específico quanto a esta definição e o espectro de compreensão do significado é bem mais amplo, incluindo praticamente todas as ações de marketing que gerem tráfego e armazenamento de informações, onde se inclui o marketing digital, marketing de conteúdo, marketing de relacionamento, marketing de influência e todo o tipo de ação que envolva captura de dados (o que é expressivo nestas modalidades).
Importante lembrar que não se trata apenas de marketing, pois o legítimo interesse está conectado a qualquer situação ou ação que envolva a manipulação, de alguma forma, de dados de terceiros.
O que são dados sensíveis…
Provavelmente você deve estar acostumado a lidar com o conceito de dados pessoais, que costumam ser aqueles que identificam alguém, como nome, data de nascimento, endereço, profissão, documentação e uma série de outras informações de caráter objetivo.
A LGPD avança sobre um outro conceito mais aprofundado e fala sobre “dados pessoais sensíveis.”
Isto ocorre pela necessidade de adequação ao Artigo 5º da Constituição, que determina que os dados sensíveis são os que definem o indivíduo como ente social e seus posicionamentos.
Mais objetivamente, dados sensíveis se referem a…
- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política;
- Filiação sindical ou religiosa;
- Filosofia e política;
- Saúde e sexualidade;
- Genética e biometria.
A referência específica sobre estes itens relacionados, é de alta relevância, pois possui significância com o princípio de não discriminação expresso na Constituição.
Informalmente podemos adiantar que o grupo de dados sensíveis tem potencial de nitroglicerina pura, dentro da nova legislação e as punições são severas.
De qualquer forma, a delicadeza destes dados sensíveis é tanta, que a própria LGPD criou definições específicas, no seu Artigo 11º, em que estes dados podem ser tratados livremente (entenda por “livremente”, algo que é tudo, menos livre, pois o monitoramento é rigoroso).
São apenas 2 hipóteses em que estes dados estão liberados para tratamento:
- Com o consentimento do titular dos dados: A empresa ou marca pode tratar os dados do titular sempre que conte com a autorização expressa para isto, sem dispensar que todas as determinações da lei sejam rigorosamente cumpridas;
- Sem o consentimento do titular dos dados: A LGPD determina 7 possibilidades expressas para o tratamento dos dados sensíveis sem a autorização por parte do titular:
- Cumprimento de ação legal ou regulatória: Existe esta possibilidade de tratamento dos dados sensíveis, sempre que o objetivo seja o cumprimento de lei ou regulamento, o que autoriza o ente público ou privado a realizar o processamento destas informações, obviamente cumprindo todo o restante das determinações gerais da lei;
- Compartilhamento de informações geosociais para aplicação de políticas públicas legais e regulamentares: Quando órgãos governamentais precisam conhecer o perfil social da população para trabalhar com as políticas públicas definidas nas leis, que estejam associadas a aspectos como sexualidade, raça, gênero e outras classificações sociais;
- Pesquisas e estudos geosociais: Realização de estudos estatísticos do perfil social e geográfico de regiões;
- Exercício legal de direitos: Cumprimento de aspectos legais, relacionados com a Lei nº 9.307/1996, Lei de Arbitragem, que determina o cumprimento e execução de contratos;
- Proteção da vida e integridade física do titular: Respeitando o princípio do ônus da prova da necessidade de tratar os dados sensíveis, casos em que o titular esteja com sua integridade em risco, liberam os processamentos, mesmo que o titular não conheça ou perceba estes riscos;
- Tutela de saúde: Direito de acesso e tratamento dos dados sensíveis apenas para profissionais da saúde ou da área sanitária, para execução de políticas globais de saúde, o que deixa evidente que não basta contratar um enfermeiro para poder lidar com os dados, já que a autorização sem consentimento se refere especificamente à aplicação de estratégias gerais de saúde;
- Segurança e prevenção à fraude: Para aspectos de autenticação das informações de acesso à sistemas bancários, financeiros, cadastros eletrônicos que permitam acesso a operações críticas, que podem resultar em danos objetivos ao titular em caso de falha desta autenticação.
É importante reiterar que, mesmo autorizado a manipular os dados sem a devida autorização do titular, pelas permissões expressadas nestes 7 itens, ainda assim o agente deverá respeitar rigorosamente todos os cuidados e aspectos legais de segurança, sem exceção.
O que é tratamento de dados…
Os dados podem ser genericamente classificados como dados pessoais e dados pessoais sensíveis, sendo que os dados pessoais são informativos gerais de identificação, localização e informações de cidadania, enquanto os dados pessoais sensíveis definem posicionamentos sociais.
O próprio Artigo 11° da LGPD define a equiparação de dados pessoais a dados pessoais sensíveis, sempre que o primeiro possuir potencial de danos ou prejuízos ao titular, o que igualmente equipara os aspectos legais de tratamento destes dados.
Tratamento de dados é algo de simples definição, pois se refere a qualquer operação envolvendo o contato direto ou indireto com os dados das pessoas.
Basicamente, tratamento de dados é tudo que envolva a captura, o tráfego, o armazenamento, a segurança e o controle destas informações.
O que é anonimização…
A anonimização dos dados, por mais complexo que possa parecer o nome, é a forma tecnológica que as empresas poderão utilizar para obter a total independência dos dados em relação aos seus titulares.
Anomização é desvincular informações dos seus titulares, o que resulta em dados estatísticos e informativos, sem conexão com as pessoas.
Um passo além da anonimização, está a criptografia.
Através de processos de criptografia, será possível manter os dados pessoais e dados sensíveis, ainda relacionados aos seus titulares, mas impossíveis de serem identificados por eventuais invasores ou vazamentos destas informações, sendo esta, a única maneira que a legislação entende como totalmente seguras para o tratamento destes dados.
A anonimização não apenas assegura maior segurança, mas exatamente por isto, torna a aplicação da lei de forma mais branda, já que se trata de uma previsão legal e, em muitos casos, uma exigência operacional.
O que a LGPD vai impactar na sua empresa
LGPD já é uma realidade, já possui datas de vigência bem definidas, assim como implicações, penalidades e todo o contexto de sua aplicação, o que deverá causar uma verdadeira revolução no tratamento dos dados por parte de nossas empresas e marcas.
De maneira indireta, a legislação já está ocasionando ações práticas, com diversas empresas sendo multadas, autuadas e penalizadas sob o manto do Marco Civil da Internet, Código de Defesa do Consumidor (CDC) e Constituição Federal (CF) em notícias que surgem de todo lugar.
A aproximação de Agosto de 2020 vai ocasionar aquilo que já estamos acostumados a observar quando se trata de Brasil: correria de última hora.
As empresas e marcas mais conscientes e conectadas com a realidade, já observaram que não se trata de mais uma daquelas leis das quais nos perguntamos: “Será que vai pegar?”
Já pegou!
Sequer o Congresso Nacional pode fazer muita coisa para facilitar a vida dos envolvidos, já que a LGPD surgiu como complemento e exigência de um entendimento internacional, e sua manipulação é muito restrita, pois qualquer lasca maior retirada do seu texto, ou modificada essencialmente, pode retirar da LGPD o caráter regulatório internacionalmente padronizado, algo com potencial de trazer consequências trágicas para todos os setores de nossa economia.
O que é preciso fazer para se adequar
LGPD vai ocasionar uma revolução cultural na sua empresa, por bem ou por mal, já que o ser humano aprende por apenas 2 caminhos: mais amor e menos dor.
O recomendado, é aprender por mais amor, para evitar a dor e, em casos mais extremos, até a morte da organização.
É uma verdadeira contagem regressiva para um futuro inevitável, que não é necessariamente ruim, apenas exigente.
A LGPD entra em vigor em 16 de Agosto de 2020.
A adequação das empresas à nova realidade é relativa e está associada ao grau de maturidade de cada empresa ou marca, mas estudiosos da área, que já estão trabalhando nesta adequação nas empresas mais avançadas, entendem que o processo de adequação deve levar, em média, entre 4 e 12 meses, sendo que variações fora deste espectro deverão ocorrer, principalmente para mais, no caso de empresas que não estejam cientes da importância de se adaptar à situação.
Além da consciência da empresa ou marca, o seu nível de maturidade técnica, o grau de avanço e qualidade dos mecanismos de controle da informação, os cuidados já praticados com o tratamento dos dados pessoais, o perfil de segurança da informação já utilizado, são determinantes do tempo que a empresa levará para encontrar uma situação de adequação aceitável aos novos parâmetros legais.
Accountability:
A GDPR classificou o conceito de accountability, que é uma forma de diagnosticar o grau de conformidade de uma empresa ou marca com a lei.
É realizada uma verificação sobre todos os aspectos onde o tratamento de dados possua um perfil crítico para a segurança, como quem avalia um encanamento em busca de possíveis vazamentos ou dispersões.
Como tudo ainda é muito novo no Brasil, em termos de LGPD, a ANPD deve liberar informações de parâmetros, como gabaritos, para auditoria da qualidade do perfil de segurança, mas é tudo muito nublado ainda.
O que já se sabe, desde antes da LGPD, é que mesmo que não fosse uma exigência legal, o controle e cuidado com os dados das pessoas é essencial para a gestão e operação de qualquer negócio, muito mais ainda nos tempos atuais, onde a informação voa, decola e pousa em grande velocidade, quantidade e formas, que se a empresa não controlar, de nada adiantam seus esforços.
O certo é fazer o certo, e rápido, não apenas porque é legal, mas porque é certo.
Definição de prioridades e tarefas cruciais:
O processo de adequação à LGPD requer a consolidação de meios e departamentos que já deveriam existir antes da exigência legal, por isto a expressão correta é “consolidação”, que é a afirmação funcional de algo que já existe.
Obviamente que aquilo que não existe deve ser imediatamente criado, mas não apenas pela exigência legal, mas por se tratar de uma ferramenta fundamental de gestão.
Alguns destes processos:
- Registro dos dados: Controladores, operadores e responsáveis, devem ser subalternos a processos de controle e registro dos dados que a empresa ou marca costuma tratar, além de manter ativos os registros destas operações, de forma que a auditoria dos processos seja automática, instantânea e em tempo real;
- Gerenciamento proativo de riscos: Certamente a conformidade com a LGPD exigirá, em algum momento em curto prazo, que além da auditoria permanente, a empresa ou marca disponibilize relatórios de impacto, completos e atualizados, capazes de espelhar o cerne das operações críticas;
- Segurança: Um amplo espectro de atuação, em todos os departamentos, avaliando especificamente a segurança dos processos, em seus mínimos detalhes, com abordagem preventiva e com consistência que transmita credibilidade e confiança;
- Responsabilidade: Todo o processo de tratamento de dados possui uma responsabilidade direta bem definida, partindo do comando geral da empresa e se espalhando para todas as vertentes gestoras que atuam na manipulação, tráfego, armazenamento e controle dos dados das pessoas;
LGPD é cultura empresarial básica:
LGPD não é algo que você procure feito dentista, quando a dor de dente surge e o dispense tão logo a dor passe.
LGPD é crônica e se instalará nas empresas de forma definitiva e imutável, sendo parte das estruturas, como os prédios, as pessoas e os processos.
Não há como fugir disto.
Talvez se consiga algum anonimato por pouco tempo, até o momento em que surgir alguma reclamação de alguém que for afetado por algum problema de quebra de segurança nos processos de uma ou outra empresa, quando provavelmente um esquadrão de auditoria e fiscalização da ANPD desembarcar na empresa e determinar punições contundentes por falta de adequação e cuidado.
Provavelmente, outro gargalo que deverá forçar à adequação, será a exigência natural da maioria das empresas, por alguma espécie de certificação de compliance com a LGPD, para que corporações possam desenvolver negócios conjuntos, afinal, de que adianta a minha empresa estar adequada ao que determina a lei se a sua é cheia de vazamentos e meus preciosos dados tendem a vazar por lá?
É por isto que a LGPD precisa ser vista como parte da cultura das empresas e marcas, não há outra saída.
As pessoas, em todos os departamentos, precisam ser ensinadas, orientadas e treinadas para enxergar a importância da LGPD no contexto empresarial, que isto é tão importante quanto o lucro, pois 2% do faturamento bruto anual, para qualquer empresa, é superior ao seu capital de giro por 30 ou 60 dias, o que, na maioria das vezes, pode chegar próximo ao estágio de inviabilização econômica das operações.
Que tal uma multa de 2% sobre o seu faturamento anual, e ainda por cima, ter que apagar todas as informações das bases de dados de sua empresa?
É nesta direção que as empresas precisam se agilizar e buscar apoio especializado para adequar seus empreendimentos ao poderoso espectro de exigências da LGPD.
Não é questão de susto, pois afinal, até nem é tão complexo assim, apenas é importante e precisa ser feito.
A maioria das empresas já possui um certo grau de adequação em seus processos nativos, necessitando um aperfeiçoamento nos pontos críticos e o estabelecimento de padrões operacionais que assegurem a manutenção dos níveis satisfatórios e uma evolução contínua qualificada.
LGPD envolve toda a empresa…
A LGPD é de toda a empresa, tanto como conquista quanto responsabilidade e não há ninguém que não tenha sua parcela de envolvimento no processo.
É verdade que o responsável legal, do ponto de vista global, é o diretor, o responsável pela gestão geral da empresa ou marca, mas isto não diminui em nada o fato de que ele será o primeiro a entender esta responsabilidade e os riscos envolvidos em eventuais falhas.
Acredite, o bom gestor saberá dimensionar as responsabilidades internas de cada um, e a parte de cada indivíduo estará devidamente direcionada e definida, e o responsável local estará envolvido no processo de penalização.
Por isto, cabe aos gestores gerais das empresas e marcas, estabelecer a aplicação de processos de adaptação à esta nova realidade, envolvendo todos os personagens da empresa.
As ações básicas iniciais devem ser as seguintes:
- Engajamento: Envolver toda a equipe no projeto, desde o início, garantindo que todos entendam a amplitude do processo, os impactos da LGPD na corporação e a responsabilidade de cada um;
- Liderança: Estabelecer um departamento e nominar lideranças gerais e departamentais pelo avanço do processo de adequação, sob orientação, controle e responsabilidade de um profissional ou equipe específica de DPO, interna ou externa;
- Governança: Criar, desenvolver, aplicar, manter e controlar um programa completo de governança e gestão dos processos que envolvam o tratamento de dados dentro da empresa;
- Auditoria jurídica: Avaliar toda a documentação legal e jurídica utilizada nos processos internos e externos da empresa ou marca, assegurando que documentos, formulários e sistemas, estejam em compliance com o que determina a LGPD;
- Acesso aos titulares: Garantir que os titulares dos dados tenham acesso e conhecimento sobre todo o tratamento proporcionado aos seus dados pessoais, bem como opção para gerenciamento direto destes dados ou sua exclusão, a qualquer momento;
- Anonimização: Garantir que a empresa ou marca implante processos e tecnologias seguras de anonimização (criptografia) dos dados, assegurando sua total inviolabilidade, mesmo diante de eventuais acessos indevidos ou vazamentos;
- Treinamento: Sistemas de treinamento permanente, melhoria contínua nos níveis de conhecimento por parte da equipe e capacidade de acompanhamento dos processos evolutivos que certamente acompanharão o desenvolvimento da LGPD após sua implantação definitiva;
LGPD é uma realidade que vem do futuro, para que sua empresa possa continuar existindo quando este futuro chegar
LGPD é uma realidade posta e consolidada, prestes a transformar a realidade brasileira no tratamento dos dados pessoais e sensíveis por parte das empresas e marcas, que já tem exemplos evidentes de impactos estrondosos em corporações europeias, onde a lei já é uma realidade ativa.
São vários os casos de multas astronômicas aplicadas a empresas de todos os portes, que por algum motivo, com ou sem intenção, utilizaram ou deixaram utilizar dados de sua responsabilidade, em quase todo o tipo de ação ou situação.
A Lei de proteção de dados é uma adequação das empresas à realidade contemporânea e uma exigência global para que estas empresas possam existir, de forma operacional, num futuro muito próximo.
A conectividade do mundo moderno, onde se tem acesso a todo o tipo de informação, dispondo de dispositivos simples, criou um verdadeiro universo de possibilidades, onde a própria estratégia comercial da maioria dos empreendimentos, se direcionou a esta nova facilidade e agilidade de contato.
Se antes se falava em “público-alvo”, hoje se fala em persona.
Dados são o novo petróleo.
Se antes se falava em cliente potencial com determinado perfil, como sexo masculino, entre 25 e 50 anos, da classe B, hoje esta análise mudou para Pedro, 28 anos, designer, casado com Mariana, com 2 filhos, carro com 2 anos de uso, que gosta de surf e mergulho, ganha R$ 6 mil mensais, viaja uma vez por ano para o exterior, come sushi e não consome álcool, preferindo música instrumental e filmes de aventura, além de passar 6 horas por dia online.
O grau de especificação das personalidades individuais que trafegam na internet, que acessam os sites, que deixam seus rastros de perfil e costumes armazenados nos milhões de big datas, que abastecem milhares de sistemas de people analytics, determinando hábitos, costumes, preferências, potencial socioeconômico e cultural, permite que você fale diretamente com quem escolher falar.
O marketing moderno trouxe ferramentas com variações assombrosas quanto ao seu poder estratégico de envolvimento e engajamento, como o marketing digital e suas variações.
Todos estes processos modernos envolvem a troca e cessão de dados pessoais, sensíveis ou não, que abastecem campanhas, tudo em troca de interesses, num jogo estratégico impressionante.
Toda esta movimentação resulta em vendas, cada vez maiores, mais representativas, movimentando a maior parte da economia mundial.
Seria de uma ingenuidade simplória imaginar que o mundo não evoluiria para criar formas de controlar e manter níveis aceitáveis de segurança sobre todo este manancial de informações críticas sobre as pessoas.
É deste patamar de modernidade que estamos falando, e se a sua empresa não está preparada para lidar com isto, é bem provável que ela encontre turbulências severas logo ali adiante, com impactos práticos e decisivos sobre a sua própria existência.
A sugestão é que você busque, imediatamente, o quanto antes possível, a orientação de especialista, pessoas e empresas capacitadas a fazer um diagnóstico de sua realidade, desenvolver projetos profissionais para adequação de seu empreendimento, preparar equipes, pessoas e departamentos para atuar dentro do que a LGPD determina e manter rigoroso mecanismo de compliance e governança com o bem mais precioso que existe em qualquer negócio, de qualquer natureza: a informação.
LGPD é o futuro presente!