.......Todos os dias surgem novas notícias sobre privacidade e vazamento de dados pessoais, são incidentes de vazamentos como os das manchetes “Site da loja Fast Shop sofre ataque hacker e grupo quer negociar dados de consumidores”(1) ou “Hackers derrubam sites da Americanas.com e do Submarino”(2) que nos assustam pela crescente notoriedade. Como imaginar que grandes conglomerados econômicos do varejo, do atacado e da prestação de serviços estão sendo atacados e os dados que, por Lei, deveriam estar sendo tratados e guardados estão sendo vazados e comercializados a todo momento? Será que os meus dados enquanto consumidor não estão sendo vazados também neste instante?
.......Porém, a pergunta que nós do Setor de Agregados devemos fazer é, em primeira análise...
“Se grandes empresas e grupos tecnológicos estão sofrendo com a falta de políticas de proteção de dados, será que a minha empresa não será o próximo alvo”?
.......Bem, para responder a estas e várias outras questões no tocante a vazamento de Dados Pessoais e Proteção de Dados contra ataques e prejuízos (financeiros e de reputação empresarial), devemos, antes de mais nada, entender o que é a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709).
.......A LGPD está em vigor no Brasil (veja linha do tempo no final da matéria)(timeline) e o desafio de muitas empresas do Setor de Agregados é definir a estratégia de Privacidade de Dados para manter o compliance com a Lei LGPD, porque cada empresa tem um organismo, necessidades e tipos de vulnerabilidade no controle de entrada, armazenamento e até descarte de dados. Esta Lei cria normas para a coleta e o tratamento de dados das empresas (inclusive do Setor de Agregados). Ressaltando que a “proteção de dados pessoais torna-se direito fundamental inserido na Constituição“, e a ANPD passa de Agência para Autarquia e ganha mais autonomia para realizar suas fiscalizações.
.......É comum chegar até nós a seguinte pergunta: “minha empresa não lida diretamente com o consumidor final, só com CNPJ, só negócio com outras empresas, logo, não estou isento das exigências da LGPD“? A resposta direta seria um afirmativo não! Visto que todas as empresas possuem funcionários, ou ainda terceirizados, recebe visitantes, lida com motoristas, etc., diária ou ocasionalmente, já está fazendo uso da coleta e, a posteriori, do tratamento destes dados. Mesmo que a sua empresa não lide diretamente com pessoas externas, os chamados titulares de dados, lida com pessoas internas, portanto, está dentro do escopo da Lei, já que estes são funcionários e ao mesmo tempo, pessoas físicas. Vale frisar que na Justiça do Trabalho já existem diversas decisões utilizando a LGPD quanto aos dados dos funcionários.
.......Sendo assim, de maneira muito simples, podemos dizer que a LGPD serve para assegurar e proteger dados pessoais e não só isto, serve para promover a transparência na relação entre pessoas físicas e jurídicas, ou seja, entre o titular de dados e a sua empresa (seja ela do Setor de Agregados ou de quaisquer outros setores). Logo o não cumprimento destas políticas previstas pela Lei, pode gerar no vazamento de dados e exposição deles a grupos Hackers, como os mencionados acima, ou a terceirizados que “usam” estes dados de forma equivocada para tratamento de R.H., publicitário (aqueles já conhecidos spams que recebemos indevidamente todos os dias em nossas caixas de e-mails), e várias ligações de celulares para os nossos números aos quais nos perguntamos como eles tem acesso a todas estas informações.
.......Exemplos e dúvidas de aplicação da LGPD
.......1. Com a LGPD, como fica a lista de contatos que foi coletada pela minha empresa? Se você possui uma lista de contatos contendo dados pessoais de clientes, como nome, telefone, e-mail, CPF e RG, por exemplo, é obrigatório que você esteja em conformidade com a lei. Isto significa que esta lista deve ter sido coletada de forma legítima e que você deve estar de acordo com os princípios da legislação. Em especial, os princípios da finalidade, da necessidade e da transparência.
.......Além disso, a manutenção desta lista de contatos deve estar devidamente justificada por pelo menos uma das bases legais previstas pela LGPD, a exemplo do consentimento, do legítimo interesse, do cumprimento de obrigação legal ou da execução de contrato do qual o titular dos dados seja parte.
.......Você deve também garantir a segurança desses dados pessoais e adotar medidas que permitam aos titulares terem controle e acesso às suas próprias informações.
.......2. Mas e se a minha lista de contatos veio de terceiros, posso utilizá-la mesmo assim? A resposta é, para a maioria dos casos, não. Uma lista de contatos contendo dados pessoais só pode ser utilizada se estiver devidamente justificada de acordo com as bases legais e os princípios da LGPD.
.......De maneira geral, isso significa que os titulares dos dados (ou seja, as pessoas na sua lista de contatos) forneceram suas informações diretamente à sua empresa e estabeleceram um relacionamento com ela.
.......Para evitar problemas, como sanções e ações judiciais, a recomendação é que você não deve utilizar dados pessoais que venham desacompanhados do consentimento ou autorização do titular. Ou seja, não os utilize.
.......3. Como fica a questão do relacionamento com outras empresas parceiras tendo em vista a LGPD? Se a sua empresa tem parceiros com os quais você compartilha ou de quem recebe dados pessoais, é necessário tomar as devidas cautelas. Por exemplo, revisar os contratos adicionando cláusulas específicas sobre a proteção de dados pessoais.
.......Avalie se a sua empresa se enquadra na condição de controladora – ou seja, se é ela que coordena e define como o dado pessoal deve ser tratado.
.......Neste caso, é preciso ter atenção redobrada com a contratação de parceiros, já que a maior responsabilidade jurídica em relação ao tratamento de dados recai justamente sobre o controlador. Caso um parceiro cometa uma violação à LGPD, o controlador também responde de forma solidária pelo dano. Portanto, pouco adianta a sua empresa investir na adequação à lei se os seus parceiros não tiverem o mesmo cuidado.
.......Vista por este ângulo, LGPD nos protege enquanto pessoas físicas e nos desafia a aplicar medidas práticas e diárias a fim de que nossas empresas não sejam praticantes de inconformidades e, por conseguinte, venhamos a sofrer notificações e até condenações por isto. Uma outra recorrente pergunta que recebemos, diariamente, é “e se dados vazarem na minha empresa, como posso provar que não foi um colaborador, um terceirizado, um ex-funcionário ou alguma empresa que cuida da nossa contabilidade ou do nosso recursos humanos”?
.......Para responder a esta pergunta, geralmente, fazemos outra. “A sua empresa possui um controle real e aplicável de trilhas auditáveis, ou seja, seus gestores, funcionários ou terceirizados tem bem claro em mente a regra de coleta, tratamento, usabilidade e descarte dos dados que entram e saem dos computadores, dos registros, dos papéis preenchidos à mão, das anotações e planilhas de excel, dos e-mails trocados todos os dias e das conversas de WhatsApp?”
.......Se não há sequer um início de projeto que aponte para como tudo começa, fatalmente será impossível responder por meio de quem, quando, de qual forma ou onde se deu o tal suposto vazamento.
.......Exposto tudo isto como introdução desta matéria (levaria várias outras edições para exemplificar e exaurir a abrangência da LGPD), gostaríamos de pontuar alguns tópicos que ajudarão você e seus colaboradores a entender que, longe de ser mais uma Lei que onerará ainda mais as operações realizadas por vocês no dia a dia, a LGPD busca normatizar e proteger, não somente os seus funcionários, os segredos de operacionalidade, os dados sensíveis e a forma como sua empresa lida com estes dados, mas também dará a sua empresa um diferencial competitivo no mercado que ainda não está totalmente adequado ao que a Lei prevê e exige.
.......O ciclo de vida de dados pessoais é algo abordado na LGPD como sendo o processo que envolve todas as informações pessoais que transitam (desde a coleta até o descarte) por uma empresa ou organização, isto é, todo o período em que os dados pessoais do titular são armazenados e compartilhados. Ao total, existem 5 ações que podem resumir este processo:
.......A entrada em vigor da LGPD estabeleceu um importante marco para a história da proteção de dados no Brasil, principalmente tendo em conta os diversos casos de incidentes de segurança envolvendo informações pessoais e sensíveis de clientes. O não cumprimento da LGPD pode caracterizar sérios problemas para uma empresa
.......Em primeiro lugar, desde os pontos de vista jurídico e financeiro. Para entender melhor em números, as emrpesas que não se preocuparem com a privacidade e a segurança dos dados podem chegar a pagar até 2% do faturamento do último exercício fiscal - valor limitado a R$ 50 milhões.
.......Quem aplica essas multas é a ANPD que notifica os agentes de tratamento (controlador e operador) caso a LGPD não seja cumprida. Existe uma série de sanções que vão desde advertências com o objetivo de indicar um prazo para adoção de medidas corretivas e multas simples - citada acima - incluindo multas diárias com limite de R$ 50.000.000,00 até a suspenção parcial ou total e ainda a proibição do tratamento de dados por parte da empresa.
.......Além do pagamento de multas, o não cumprimento da LGPD pode acabar afetando a reputação de uma companhia e, mais ainda, a confiança que os clientes têm quanto a segurança de seus dados pessoais e privacidade, causando danos irreversíveis para a marca.
A rotina diária nas empresas do Setor de Agregado deve contemplar 10 passos
