Facebook
Google
Twitter
Na fila do supermercado, costumamos falar em alto e bom som o nosso CPF para a atendente do caixa fazer o registro. Academias de ginástica coletam dados biométricos para liberar a catraca de entrada aos clientes e, na maioria das vezes, armazenam essas informações de maneira descuidada em um computador sem qualquer recurso mais robusto de segurança. No uso frenético dos smartphones, autorizamos os aplicativos a acessar nosso dispositivo mesmo sem ler os termos de aceitação.
A falta de cuidado das pessoas com os seus dados tem deixado o campo livre para as empresas coletarem, usarem e até mesmo venderem informações sem a menor cerimônia. Mas, se tudo correr como se espera, a farra acabou.
A recente sanção do presidente Michel Temer do PLC nº 53/2018, texto que regulamenta o tratamento de dados pessoais no Brasil pelo poder público e pela iniciativa privada, abre caminho para o fortalecimento da proteção da privacidade dos usuários e de seus dados pessoais em um mundo cada vez mais conectado.
"A computação está inserida no nosso dia a dia e, a cada momento, equipamentos como televisão, celular, carros e geladeiras coletam informações sobre os nossos hábitos. Os países precisam proteger a privacidade dos seus cidadãos", alerta o especialista em segurança de dados da Sociedade Brasileira de Computação (SBC) e professor da Pucrs, Avelino Zorzo.
Foi um avanço que precisava acontecer, ninguém parece ter dúvidas disso. Mas a grande questão é o que vai acontecer agora. As empresas brasileiras entenderão a importância desse tema e estarão preparadas dentro dos 18 meses que tem pela frente para isso? E aquelas que não seguirem as determinações, serão fiscalizadas e multadas? Afinal, as multas previstas são altas: 2% do faturamento da empresa, podendo chegar a R$ 50 milhões.
A avaliação de alguns especialistas é que, apesar de a Lei Geral de Proteção de Dados Pessoais (LGDP), como é mais conhecida, ser um ponto de partida importante para esse tema começar a ser levado mais a sério, ainda parece estar meio capenga.
O que preocupa é justamente o veto à criação da Autoridade Nacional de Proteção de Dados (ANDP) que, segundo a advogada especialista em Direito Digital, Patricia Peck, gera uma lacuna na estrutura do projeto e dificulta a aplicação e fiscalização das medidas propostas, que pode ser um entrave nas relações comerciais para o País. O órgão foi pensado para garantir o cumprimento e o melhor proveito da regulamentação, seja por meio de normas complementares, pareceres técnicos e procedimentos de inspeção.
"A falta de alinhamento no mesmo grau de proteção de dados em nível internacional gera impactos econômicos, pois contribui para aumentar o custo Brasil. É fundamental ter uma autoridade nacional independente, com meios de alcançar eficiência e sustentabilidade, para inclusive estarmos de acordo com o General Data Protection Regulation (GDPR)", relata, fazendo a comparação com a legislação vigente na Europa.
Outro ponto que precisa ser trabalhado com urgência é o aculturamento das empresas e das pessoas sobre esse tema. Se na Europa, região reconhecida pelo fato de os indivíduos terem uma grande maturidade sobre a privacidade dos dados foi difícil para as corporações se adaptarem à GPDR, imagina no Brasil em que esse tema nunca foi tratado com muito cuidado.
O alerta é da presidente do Comitê de Ética do Instituto dos Auditores Internos do Brasil - IIA Brasil e Data Protection Officer (DPO) da Volkswagen do Brasil, Nancy Bittar. "Vai ser uma correria porque será preciso uma mudança de visão de todos. Isso inclui, inclusive, conseguir convencer o board das companhias a liberar recursos financeiros para fazer a gestão dos dados", comenta.
A existência agora de uma lei, claro, vai obrigar as empresas a darem mais atenção para esse assunto. Ainda assim, ela acredita que o tema só vai chamar atenção quando começarem a ocorrer as primeiras infrações e aplicações de multas. "Acho que muita gente vai pagar para ver", projeta.
Regulamentação exigirá nova postura corporativa
Avelino Zorzo
ARQUIVO PESSOAL/DIVULGAÇÃO/JC
A regulamentação sobre a privacidade dos dados é tardia - o Brasil foi um dos últimos países da América Latina a ter uma legislação como essa - mas traz determinações importantes. Quando a Lei Geral de Proteção de Dados Pessoais (LGDP) entrar em vigor, em fevereiro de 2020, as companhias não poderão mais coletar dados desnecessários dos indivíduos sem o seu consentimento e nem mesmo guardá-los se não for necessário. Será preciso criar mecanismos que permitam que o indivíduo tenha a possibilidade de acesso ao dado que está sendo tratado, de retificá-lo e portá-lo para outra empresa.
"Até hoje, não tínhamos uma lei que permitisse ao usuário poder processar alguém por usar alguns dados coletados sem o seu consentimento. A LGDP deverá gerar mais alguma segurança jurídica para as pessoas", projeta Avelino Zorzo, especialista em segurança de dados da Sociedade Brasileira de Computação (SBC) e professor da Pucrs.
Dispositivos que armazenam dados como fotografias, números de documentos, telefone e e-mail terão que ser criptografados. Os apps terão que ser mais claros nas suas políticas de privacidade sobre o uso que farão das informações coletadas sempre que alguém fizer o download.
Claro que muitas informações que são coletadas do coletivo acabam beneficiando as pessoas, é o caso de aplicativos como Waze e Google Maps, que identificam engarrafamentos e nos fazer desviar. Anonimamente, essas informações poderão continuar a ser coletadas. Entretanto, não será permitido fazer nenhuma correção direta com alguém, como associar e vender um dado do João da Silva, por exemplo.
"A informação passou a ser a principal moeda de troca utilizada pelos usuários para ter acesso a bens, serviços ou conveniências. Na medida em que a economia digital gira em torno dos dados pessoais, é preciso delimitar alguns limites e melhores práticas, para proteção do consumidor e evitar inclusive concorrência desleal", defende Patricia Peck.
Outra questão importante é que as pessoas passarão a ter direito sobre os seus dados. Muitas evitam mudar de empresas para não perder o seu histórico de informação. Migrar dá trabalho, até mesmo trocar de rede social, como Whats-
-App ou Facebook. Pela nova lei, essa informação estará associada à própria pessoa e ela vai poder pedir, por exemplo, que o Whats-App delete todos os dados quando deixar a empresa. "A empresa vai passar a ser detentora da base de dados por um período, ou seja, terá o direito ao uso temporário no qual poderá aprender com essa base. Mas, no momento em que o cliente quiser que ela delete isso, terá que ser feito", acrescenta Patricia.
Lojistas menores e e-commerce serão impactados
As pequenas empresas deverão ser as mais afetadas pela Lei Geral de Proteção de Dados Pessoais (LGDP). Farmácias, pequenos mercados, lojas e academias, por exemplo, terão que passar a tratar as informações dos seus clientes de uma forma que nunca antes pensaram.
A cultura anterior era a de usar indiscriminadamente os dados pessoais. Com a nova lei, tudo precisará mudar. Será preciso construir uma estrutura de gestão e treinar profissionais para esse fim - o que exigirá reservar recursos para uma área que, até então, nem era considerada.
As operações de e-commerce, que lidam com dados de milhões de usuários, terão que ter mais responsabilidade sobre esse tema. Os lojistas virtuais deverão agir para regularizar o banco de dados existentes e passar a tratar os novos dados de milhões de internautas de acordo com a legislação.
Os sites terão que mudar as políticas de privacidade, ter mais cuidado em obter o consentimento dos usuários para o uso dos dados e redobrar a atenção nas ações de descarte dos dados. Isso vai levar, por exemplo a um redesenho das estratégias de marketing digital que usam os dados que são coletados e a oferta de serviços de forma mais personalizada.
"Dezoito meses é um tempo factível para se adequar, mas, por ser um tsunami, provavelmente muitas vão deixar para frente e vai faltar profissionais. É importante começar o quanto antes", sugere o diretor jurídico da Associação Brasileira de Comércio Eletrônico (ABComm), Márcio Cots.
O debate sobre a gestão correta dos dados pessoais vem desde os anos 1990 e ganhou força na União Europeia, pela própria transformação digital. A tecnologia avançou muito e logo veio a necessidade de garantir a proteção da dignidade humana, preservar a privacidade.
Para a especialista em Direito Digital Patricia Peck, as novas regulamentações nacionais e internacionais de proteção dos dados pessoais trazem para a governança das empresas a lógica de que o uso das bases de dados tem que estar cumprindo um princípio de proteção dos direitos humanos. "Isso significa que quando você diz que empresa está cumprindo a lei, ela é transparente e ética", analisa.
Treinamento e tecnologia precisam de investimento
Patricia Peck
/PATRICIA PECK PINHEIROS ADVOGADOS/DIVULGAÇÃO/JC
Investimento em tecnologia, processos, controles e treinamento. As empresas que quiserem se adequar à nova legislação de proteção dos dados pessoais vão ter que reestruturar as suas políticas internas e cultural empresarial.
"Até agora, estávamos tratando esse tema como um puxadinho digital os dados, mas agora teremos que ter controle. Não é só usar tecnologia, mas ter procedimentos e cultura voltado para esse tema", alerta Patricia Peck. Para a especialista, a nova lei traz a visão do uso da privacidade by design, ou seja, as companhias terão que criar requisitos de privacidade e de cibersegurança desde o início.
A primeira dificuldade é encontrar pessoas especializadas nesse tema. Além disso, os sistemas atuais foram desenhados sem considerar essa legislação, e agora vão precisar ser readaptados. Sem falar nos processos corporativos que terão que ser revisados.
A presidente do Comitê de Ética do Instituto dos Auditores Internos do Brasil - IIA Brasil e Data Protection Officer (DPO) da Volkswagen do Brasil, Nancy Bittar, comenta que o Brasil terá que preparar e treinar empresas para atingir governança em proteção de dados e depois fazer auditoria.
"Não tem como sair apontando melhoria se não der oportunidade de as pessoas aprenderem. Algumas empresas nem tem inventário de dados pessoais. Vai em academia de ginástica tem dado secreto de biometrias armazenado no computador. Com a nova lei, isso vai ter que mudar", comenta.
Segundo ela, o tema proteção de dados sempre foi sensível a auditores internos, mas agora deverá entrar no planejamento anual das auditorias, devido ao inerente aumento dos riscos. "Independentemente do tipo de negócio que estivermos auditando, sempre haverá dados pessoais em posse da empresa, clientes sedentos de privacidade e a ameaça de um vazamento de dados que traz tanto consequências financeiras como danos de imagem às vezes tão impactantes que se tornam imensuráveis", avalia.
Lei Geral de Proteção de Dados Pessoais (LGDP)
Direitos: os titulares têm direito de correção, eliminação, transmissão segura e portabilidade dos dados, de ser informado sobre as consequências do não consentimento no uso dos dados, e de ter os dados descartados de forma segura sempre que terminar o tratamento.