PROTEÇÃO DE DADOS NA INTERNET. MULTAS E PUNIÇÕES DA LGPD VÃO ABALAR O MERCADO
Proteção de dados na internet passa a ser um assunto cada vez mais relevante, na medida em que a conectividade acelera em ritmo impressionante, e atinge patamares assombrosos.
Proteção de dados sempre foi uma preocupação, mas a forma como a internet se expande e suas possibilidades, ficam cada vez mais amplas e envolventes, os dados das pessoas, empresas, corporações, viajam por todos os lugares e guardar padrões de segurança para toda esta informação, foi se transformando num desafio monumental.
Diversas pessoas realizavam um cadastro de compra numa loja virtual e, imediatamente, começavam a ser bombardeadas, através de seus canais de contato, com uma série interminável de anúncios, promoções, convites, propostas de negócios de diversas naturezas.
Era uma praxe mundialmente aceita, que empresas de vários seguimentos, tivessem cuidado quase ZERO com os dados das pessoas que mantinham registros em seus servidores.
Os cadastros eram distribuídos, com interesses comerciais, nunca muito lícitos, e viravam base de dados para verdadeiras campanhas publicitárias e de marketing direto.
Houve um incômodo internacional a respeito do problema e a Comunidade Europeia foi a primeira a se movimentar, com uma legislação agressiva, a GDPR, que pune com rigor os vazamentos de dados pessoais e corporativos, em todas as situações.
No Brasil, a LGPD segue os padrões da irmã mais velha da Europa, e chega com a pretensão de dar uma basta definitivo na irresponsabilidade de grande parte dos empreendimentos brasileiros, que tratam dados e informações de forma irresponsável e desinteressada.
Agora a história muda de figura, e as penalidades e sanções da LGPD, vieram para desmontar quem não tem condições de conviver num mundo conectado.
Proteção de dados no modelo da GDPR:
Proteção de dados é um tema sensível, já que são muitos os agentes diretos ou indiretos no tratamento dos dados das pessoas junto às empresas e corporações.
A verdade, é que os vazamentos não podem ocorrer e isto é responsabilidade de quem se submete a lidar com os dados de outras pessoas, seja qual for o motivo.
Se você se submete a guardar algo de alguém, contando com sua confiança e assegurando sua capacidade de cumprir a tarefa, qualquer dano ou problema que aconteça com este item ou valor que lhe foi confiado, será de sua integral responsabilidade.
Não existe muita discussão com relação a isto.
Com os dados das pessoas, parecia haver uma visão diferente.
Talvez, por não serem tangíveis, palpáveis, os dados não eram vistos como um patrimônio ou um bem de valor.
Parece que existia uma sensação de que os dados das pessoas são públicos, ou de valor irrelevante.
Bem, esta visão foi rapidamente desmentida, a partir do momento em que as pessoas perceberam o valor bastante tangível e palpável que uma base de dados de uma empresa de cartões de crédito, por exemplo, pode representar para negócios que queiram realizar campanhas direcionadas de marketing, a partir do conhecimento sobre receita, hábitos de consumo, faixa-etária e preferências de um grande número de potenciais clientes.
Provavelmente, o primeiro a descobrir este valor, foi algum funcionário subalterno, atuante em alguma empresa, que através de seu acesso à base de informações, percebeu que poderia lucrar, fornecendo aqueles dados, de forma escusa e ilegal (mas dificilmente descoberta).
Provavelmente foi por isto que depois de realizar aquela assinatura de uma revista, você passou a receber promoções, mensagens, ligações, dos mais diversos ramos de atividade, todos interessados em seu potencial comercial.
É claro que estamos falando de um exemplo, muito plausível, além de ser perfeitamente conectado com a realidade provável na situação.
Agora imagine a amplitude do estrago se, porventura, a referida base de dados contiver informações classificadas como sensíveis.
Aquele grupo de dados que se referem aos aspectos mais íntimos das pessoas, como sexualidade, religião, política, dentre tantos outros.
Imagine o nível de poder que alguém pode exercer sobre os outros, se simplesmente dispuser de informações íntimas e pessoais sobre seus hábitos, preferências e comportamentos.
A proteção de dados deixou de ser um adendo num processo de gerenciamento, mas virou uma prioridade global.
Não se trata de uma crise mundial de consciência, estamos falando de lei.
As pessoas não ficaram boazinhas de uma hora para outra, o fato novo foi uma legislação poderosa, abrangendo todo o continente europeu, prevendo os ilícitos e determinando punições severas aos infratores.
A GDPR (General Data Protection Regulation) foi idealizada a partir de 2012, quando já eram bastante sensíveis os problemas originados na falta de controle e regulação sobre o tratamento de dados das pessoas em suas relações com as empresas e com o mundo em geral.
Todo o conjunto de leis existentes, que correspondiam ao cuidado com a privacidade das pessoas de alguma maneira, era antigo e obsoleto, diante da velocidade como a conectividade evoluía.
Em 2016 a GDPR foi aprovada e entrou em vigor, trazendo um assombro terrível sobre as corporações de todos os portes, que se depararam com uma realidade completamente nova, onde a punição era certa e segura, para qualquer mínimo vazamento de informações consideradas restritas e pessoais.
Os dados das pessoas e sua preservação, passaram a ser legalmente classificados como um direito original do indivíduo, assim, qualquer empresa ou entidade que quisesse, a partir dali operar com alguma espécie de trânsito ou tratamento de dados, precisaria estar plenamente em compliance com os preceitos determinados pela nova legislação.
Coletar, processar, compartilhar, armazenar, trafegar, controlar dados pessoais, passou a ser muito delicado, pois precisa cumprir com regras claras e bem definidas.
Podemos citar alguns exemplos…
- É prerrogativa do usuário a definição da forma como seus dados serão tratados, bem como cabe a ele decidir pelo uso ou não de suas informações;
- É direito integral do usuário o conhecimento sobre que dados estão sendo coletados e tratados, além de ter ciência total dos objetivos deste tratamento;
- É prerrogativa do usuário e a ele devem ser oferecidos caminhos para interromper, a qualquer tempo, a coleta de seus dados pessoais, sem questionamentos ou condicionantes;
- É prerrogativa do usuário mover seus dados para qualquer outro fornecedor, em qualquer situação, de forma igualmente inquestionável;
- O nível de comunicação da empresa com o titular dos dados deve ser claro, objetivo e de fácil compreensão, inclusive no que diz respeito aos termos de privacidade;
- As corporações possuem um prazo de até 72h para informar as autoridades sobre qualquer eventual problema de vazamento de dados de suas bases;
- A privacidade e proteção de dados deve ser parte integrante do projeto administrativo das empresas;
- Anonimização e pseudonimização de dados sensíveis é uma obrigação legal das corporações, quando os dados podem ser usados, desde que não estejam conectados aos seus titulares e nem a eles estabeleçam relação;
- Empresas em determinadas condições de operação, serão obrigadas a contarem com um DPO (Data Protection Officer), especializado no controle de segurança das informações da corporação.
As sanções da GDPR:
O portfólio de sanções da GDPR é variável e adaptado ao grau, importância e amplitude da infração cometida.
A verdade é que as punições podem ir de simples advertências, para infrações leves, avançando para um patamar de até 20 milhões de euros de multa, ou 4% do faturamento bruto anual da empresa, o que for maior.
Já pensou?
Imagine o que seria uma multa de 4% sobre o faturamento bruto anual de empresas como Google, Facebook ou Microsoft, caso algum vazamento significativo acontecesse em sua base de dados…
Nem precisa ir muito longe…
Imagine uma multa destas em seu próprio estabelecimento, dentro da sua realidade.
A LGPD e sua adaptação para a realidade brasileira:
No rastro do caminho da GDPR, em 14 de agosto de 2018, foi promulgada a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados, que nasce da necessidade de aprimorar os direitos fundamentais do cidadão expressados na Constituição Federal, em seu Artigo 5º:
- Respeito à privacidade;
- Autodeterminação informativa;
- Liberdade de expressão, de informação, de comunicação e de opinião;
- Inviolabilidade da intimidade;
- Desenvolvimento econômico, tecnológico e inovação;
- Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais.
O corpo da LGPD carrega princípios básicos de regulação no tratamento de dados, como responsabilização, prestação contínua de contas sobre os dados controlados, demonstração objetiva das finalidades de utilização dos dados, plena adequação aos parâmetros de segurança, bastante clareza na demonstração da importância e necessidade dos dados obtidos, potencial capacidade de prevenção contra vazamentos, eliminação de discriminação de qualquer espécie, acesso livre aos titulares dos dados para verificação, acompanhamento ou eliminação direta, sem necessidade de justificativas.
As penalidades previstas na LGPD:
Nosso foco neste artigo, é falar das sanções e punições, e neste quesito, a LGPD também promete complicações importantes para quem não estiver adequado, sofrer algum problema e for alcançado pelo rigor desta nova legislação.
Os níveis de sanções são múltiplos, mas basicamente, as punições para quem falhar em sua missão de cuidar dos dados das pessoas, podem partir de simples advertências, nos casos mais simples, até multas que podem chegar a 2% do faturamento bruto anual da empresa, ou 50 milhões de reais, o que for maior.
A LGPD traz outras surpresas peculiares nada agradáveis, que possuem um potencial de simplesmente inviabilizar completamente o negócio.
Imagine sua empresa ser judicialmente proibida de manter base de dados ativos, e ainda por cima, ser obrigada a deletar todos os dados que possui de clientes, fornecedores e parceiros.
De fato, a LGPD pode provocar a derrocada de muitos negócios que não entendam ou não acreditem no vigor de seu conteúdo e amplitude.
ANDP vai cuidar da gestão e aplicação da LGPD no brasil:
Proteção de dados estará regulada pela LGPD no Brasil, e o órgão responsável pelo controle geral da aplicação e gestão da LGPD, é a ANPD, sigla determinante da Autoridade Nacional de Proteção de Dados, criada através da Medida Provisória 869/2018.
A ANDP ainda está em formação, com a implementação da estrutura administrativa prevista na lei, a nomeação dos integrantes e o aparelhamento adequado para sua perfeita operação, mas a previsão é de que tudo esteja pronto para a data prevista de entrada em vigor da LGPD, em agosto de 2020.
Proteção de dados virou assunto sério e o caminho é a adaptação:
Proteção de dados é um tema que ficou mais sério do que já era, a ponto de envolver a legislação, algo plenamente necessário para regular o que tinha perdido as estribeiras.
Podemos discutir a amplitude da lei e suas sanções, mas o que é indiscutível, é que proteção de dados tem o mesmo status de proteção de qualquer outro bem ou patrimônio.
Não existe caminho intermediário entre o que se gostaria de fazer e o que precisa ser feito, pois é lei, e é definitivo, ou você está adequado e em compliance com o que a legislação determina, ou você está fora, considerando que o custo de “estar fora”, pode ser a própria continuidade da existência de seu negócio.
O mais prudente e altamente recomendado diante deste cenário, é entender, de uma vez por todas, que não existe caminho fora da LGPD, concordando ou não.
Cruzada esta etapa de aceitação, o próximo passo é entender a prioridade em se adaptar o mais rapidamente possível ao que determina a lei.
Trabalhar com um espírito empresarial de buscar a maior adaptação possível, gostando ou não, porque não há outra solução.
O próximo passo:
Proteção de dados é delicado e técnico, e estamos falando de uma legislação nova, o que faz com que o caminho óbvio para a adaptação seja, em primeiro lugar, o entendimento amplo da situação.
É preciso entender não apenas a lei, mas sobretudo, a realidade de sua empresa em relação a ela, em que patamar você se encontra, os níveis de segurança que você já dispõe e tudo isto, normalmente, requer um projeto personalizado.
Você não tem que fazer um plano de prevenção de incêndios personalizado para conseguir o alvará de sua empresa?
Para se adequar à LGPD o caminho é o mesmo.
Não existe ação isolada para LGPD:
Proteção de dados requer cuidado preciso e uma política específica, pois não há como desenvolver pequenas ações isoladas, acreditando que está tudo certo e agora os dados não vão mais vazar.
Saiba que basta que seja constatada a vulnerabilidade dos dados para que a empresa sofra penalidades.
O único caminho seguro de fato, é buscar conhecimento onde ele estiver.
A sugestão, é encontrar profissionais especializados e comprovadamente aptos a indicar os melhores caminhos para que sua empresa fique em compliance LGPD.
Normalmente, as melhores estruturas para apoiar a sua adaptação, são formadas por advogados conectados profundamente com o tema, acompanhados de profissionais de Tecnologia da Informação (TI), pois esta composição consegue abranger a maioria das questões envolvidas no processo de adequação.
Proteção de dados. Como opera uma equipe especializada de adaptação LGPD:
Proteção de dados é a especialidade destes profissionais que estão aptos a encaminhar a adaptação das empresas nos parâmetros definidos na nova legislação.
É claro que estamos nos referindo aos realmente capacitados, preparados e bem-intencionados, já que bons e maus existem em todas as atividades.
De qualquer forma, partimos do princípio que você conseguiu identificar uma boa alternativa e vai partir para os próximos passos, o que acontece na forma de consultoria através da empresa que você contratar.
Os métodos e caminhos podem sofrer algumas variações, mas os passos básicos do processo de compliance possuem uma espécie de coluna vertebral, com alguns pontos que devem ser comuns em qualquer modalidade de aplicação…
Diagnóstico:
O primeiro passo para se definir onde se que quer chegar e o caminho que se deve adotar, é entender o ponto onde estamos, pois este será o start de nossas ações.
Em proteção de dados, um diagnóstico é fundamental, para que as equipes tenham condições de entender a realidade de sua empresa, e a partir daí, possam avançar na compreensão do que é positivo e no que é negativo em sua situação específica.
Empresas são como indivíduos, possuem personalidade e realidade próprias, por isto, cada plano costuma ser personalizado e a perfeita compreensão do cenário existente, é o ponto de partida de qualquer planejamento.
Planejamento:
Para atuar de forma objetiva com a estratégia de proteção de dados da empresa, depois de compreendida a sua realidade, o próximo passo costuma estar ligado a um planejamento sólido das ações, definindo especificamente toda a estratégia de implantação do que é necessário, avaliando equipamentos, pessoas, capacitação técnica de equipes, prazos, metas e controles.
Implementação:
A consultoria contratada para o desenvolvimento do projeto de compliance em proteção de dados, atuará em conjunto com todos os departamentos da empresa, promovendo a aplicação do que foi planejado, assim como ferramentas digitais, sistemas, equipamentos e com forte atuação junto ao treinamento das pessoas, desde a compreensão de tudo o que está envolvido, como a forma de lidar com os aspectos de proteção de dados.
Controle:
Proteção de dados é uma atividade constante, como quem fecha a empresa e ativa o sistema de alarmes quando termina o expediente, e assim deve ser visto por todos.
Controlar o desempenho de tudo o que foi implementado, inclusive as políticas e comportamentos das pessoas, é essencial para identificar eventuais anomalias no desenvolvimento do projeto.
A consultoria deve acompanhar por um tempo este desempenho, até que a empresa consiga determinar seus rumos, a partir da compreensão de que proteção de dados deve ser visto como parte da filosofia empresarial, e não apenas como mais uma tarefa.
Proteção de dados deve ser uma filosofia empresarial:
Proteção de dados não é apenas mais uma atividade da empresa, por mais importância que se dê, nunca será o suficiente, já que proteção de dados deve se equiparar à filosofia operacional e institucional do empreendimento.
Não basta achar que proteção de dados é coisa do “pessoal da informática”, pois este é um erro primitivo e grotesco.
De nada adianta o “pessoal da informática” implementar sistemas e equipamentos de ponta, dentro dos mais elevados padrões de segurança, se um dos usuários da empresa não compreende ou não se engaja na política de proteção de dados com seriedade e responsabilidade.
Mais de 95% dos vazamentos de dados aconteceram de forma espontânea até hoje, quando pessoas decidiram provocar o vazamento, normalmente, com finalidades financeiras.
É menor que 5% os vazamentos provocados por hackers ou falhas técnicas que jogaram dados nas redes.
Proteção de dados tem que estar na mente das pessoas como prioridade, delicadeza, fragilidade e importância, para que todos tenham a perspectiva de quanto é importante, de forma que o conjunto atue na direção da proteção de dados como prioridade extrema do empreendimento.
Os primeiros que precisam ter a consciência da relevância de uma política adequada de proteção de dados, conectada com o que determina a LGPD, são os diretores, a “cabeça da empresa”, pois é dela que partem as iniciativas institucionais, e é sobre a direção que recaem os maiores problemas quando a empresa infringe algum aspecto definido na lei.
Não adianta jogar a responsabilidade para cima do “pessoal da informática”, pois embora eles também sejam importantes no processo, como todos os outros, a responsabilidade definitiva, preponderante e maior, dentre todos os personagens do processo, é do diretor, do dono, de quem tem o poder de realizar as transformações evolutivas que sua empresa necessita.
Deixe um comentário