Proteção de Dados Pessoais no Brasil

O atual cenário regulatório de proteção de dados pessoais no Brasil é complexo com mais de 40 normas vigentes, ora mais flexíveis, ora mais rígidas, que tratam direta ou indiretamente da proteção de dados pessoais. Este cenário é desafiador para as empresas e usuários, já que grande parte dessas regras, apesar de serem setoriais, não podem ser tratadas de forma isolada. Por exemplo, como dissociar serviços de saúde e financeiro com serviços oferecidos através da Internet? Nesse sentido, a Lei Geral de Proteção de Dados (“LGPD”), sancionada em 14 de agosto de 2018, estabelece um cenário mais concreto, harmônico e flexível, em consonância com objetivos de desenvolvimento econômico, tecnológico e inovação, ao mesmo tempo garantindo direitos individuais dos titulares dos dados. A LGPD entrará em vigor em fevereiro de 2020. Pode parecer longe, mas na verdade é pouco tempo para se adaptar. Neste cenário, o quanto antes as empresas se adequarem às regras atualmente vigentes e compreenderem que se antever à futura regulamentação é um investimento e um diferencial competitivo, maiores serão as suas vantagens em seus mercados.

O que são dados pessoais?

De acordo com as leis brasileiras em vigor e a legislação internacional, dados pessoais podem ser considerados todos os dados que possam identificar alguém direta ou indiretamente, como nome, RG, CPF, endereço, cookies, ou informações sobre essa pessoa, mesmo que não a identifique, tais dados médicos, financeiros, de localização, culturais, preferências, ou até mesmo sujeitar alguém a determinadas práticas, como envio de propaganda e conteúdo direcionado, ou metodologias de perfilhamento e predição. A definição do que é dado pessoal determina quando a lei e suas regras são aplicadas.

Preciso me preocupar com Proteção de Dados Pessoais?

Independente do setor que você atua, caso haja o tratamento de dados pessoais, o que inclui a sua coleta, armazenamento, compartilhamento, ou seja, todo o ciclo de vida dos dados até o seu descarte, há a necessidade de se adequar às leis relacionadas à proteção de dados pessoais. Por exemplo, o Marco Civil da Internet, em vigor desde 2014, que se aplica a todo e qualquer serviço oferecido através da Internet, estabelece regras claras e limites muitos rígidos para a coleta e uso de dados pessoais. Já a LGPD tem uma aplicação transversal, no âmbito online e offline, atingindo todos os setores no Brasil e estabelecendo regras mais flexíveis, adequadas e proporcionais para o tratamento de dados pessoais.

Se a sua empresa pratica uma das atividades listadas abaixo, saiba que existe a necessidade de adaptação às leis relacionadas à proteção de dados pessoais e à LGPD:

  • Minha empresa coleta dados dos clientes para enviar promoções e promover os negócios da companhia através de mala direta e/ou anúncios direcionados.SIM
  • Minha empresa coleta dados através de aplicativos para vender produtos e serviços.SIM
  • Minha empresa mantém dados dos funcionários para processar pagamentos de salário e ajudar o RH.SIM
  • O serviço oferecido pela minha empresa analisa o comportamento dos clientes para lhes sugerir conteúdo que seja do seu interesse.SIM
  • Minha empresa terceiriza a coleta e o armazenamento de dados pessoais para economizar custos.SIM

Nova Regulação Europeia de Proteção de Dados (GDPR) e o impacto nas empresas brasileiras

A General Data Protection Regulation (GDPR) é a nova regulação de proteção de dados pessoais da União Europeia, a qual entrou em vigor no dia 25 de maio de 2018. Apesar de ser um marco regulatório europeu, qualquer empresa brasileira poderá estar sujeita a ela, pois os limites da sua jurisdição foram drasticamente aumentados para incluir, também, os responsáveis pelo tratamento dos dados pessoais que se encontram geograficamente fora da União Europeia.

Porque regular o uso de dados pessoais

Regular o uso de dados pessoais no Brasil, por meio de uma Lei Geral como a que foi sancionada, pode conferir segurança jurídica a um terreno que hoje é considerado pantanoso e árido, com conceitos distintos e regras conflitantes que impactam os limites das normas setoriais. A Lei Geral de Proteção de Dados traz harmonia e balanceamento ao uso de dados pessoais, fomentando, assim, a inovação, e contribuindo com o desenvolvimento econômico e tecnológico em uma sociedade movida a dados.

Quais são os objetivos

Direito à privacidade

Garantir o direito à privacidade e à proteção de dados pessoais dos cidadãos ao permitir um maior controle sobre seus dados, por meio de práticas transparentes e seguras.

Regras claras para empresas

Estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais para empresas.

Promover desenvolvimento

Fomentar o desenvolvimento econômico e tecnológico numa sociedade movida a dados.

Direito do consumidor

Garantir a livre iniciativa, a livre concorrência e a defesa do consumidor.

Fortalecer Confiança

Aumentar a confiança da sociedade na coleta e uso dos seus dados pessoais.

Segurança jurídica

Aumentar a segurança jurídica como um todo no uso e tratamento de dados pessoais.

Quais as vantagens

Unificar regras

Regras únicas e harmônicas sobre o uso de dados pessoais, independente do setor da economia.

Maior Flexibilidade

Autorizar formas mais flexíveis para o tratamento de dados pessoais, tais como legítimos interesses, que levam em consideração uma sociedade movida à dados em tempos de Big Data.

Redução de custos

Diminuir custos operacionais causados por incompatibilidades sistêmicas de tratamentos feitos por agentes diversos, além de fomentar uma maior qualidade dos dados em circulação no ecossistema como um todo.

Adequar as regras no Brasil

Tornar o Brasil apto a processar dados oriundos de países que exigem um nível de proteção de dados adequados, o que pode fomentar, principalmente, os setores de tecnologia da informação.

Portabilidade

Indivíduos poderão transferir seus dados de um serviço para outro, aumentando a competividade no mercado.

Impactos

Para ficar em conformidade com as regulações setoriais de proteção de dados e com a LGPD são necessárias várias modificações em processos internos e principalmente da cultura de dados dentro das empresas, o que pode trazer um grande impacto a todos, especialmente no tocante aos custos operacionais envolvidos. Ao mesmo tempo, há uma infinidade de novas oportunidades, no mercado, principalmente para as empresas que saírem na frente nos procedimentos de adaptação e para aquelas que já empregam princípios universais de proteção de dados pessoais internamente.


Financeiro

O setor financeiro, atualmente, está sujeito, principalmente, às regras do sigilo bancário (Lei Complementar 105/01), do Código de Defesa do Consumidor (Lei 8.078/90) e da Lei do Cadastro Positivo (Lei 12.414/2011), e à supervisão do Banco Central do Brasil e da Comissão de Valores Mobiliários (CVM). Apesar de ser um setor altamente regulado, as regras ainda permitem uma grande liberalidade no uso de dados pessoais. O boom de Fintechs no mercado brasileiro tem se valido dessa liberdade para usar de forma mais flexível dados no contexto da aplicação de Big Data, Inteligência Artificial, Business Intelligence e Machine Learning aos seus modelos de negócio. Por isso mesmo esse setor estará altamente sujeito aos impactos operacionais grandes quando a LGPD entrar em vigor. Todavia, poderá gozar de uma segurança jurídica muito maior do que a atual, principalmente quanto ao compartilhamento de dados e decisões automatizadas, como às relativas à concessão de crédito e criação de modelos preditivos. Clique aqui e saiba mais

Saúde

Apesar da sensibilidade inerente dos dados de saúde, este é um setor que carece de regras de proteção de dados pessoais, se limitando a normas sobre o compartilhamento entre setor público e privado, consentimento na coleta para inserção em bancos de dados e formulários eletrônicos e confidencialidade. Áreas como medicina de precisão e diagnóstica são algumas das que mais intensamente usufruem da tecnologia de Big Data, mas ao mesmo tempo podem ser impactadas pelas novas regras e limites impostos pela LGPD. Se preparar antecipadamente, principalmente adequando seus procedimentos com base em análises de risco, pode ser uma ótima vantagem competitiva. Áreas como E-Health e Telemedicina também podem se beneficiar amplamente de uma abordagem preventiva. Clique aqui e saiba mais

Publicidade e Propaganda

O setor de publicidade e propaganda digital talvez seja um dos mais impactados por leis de proteção de dados pessoais, uma vez que seus modelos de negócio são baseados na análise de preferencias, comportamentos online dos consumidores e criação de modelos preditivos. Estão, hoje, sujeitos às regras rígidas sobre consentimento e limites ao uso de dados previstos no Marco Civil da Internet. Portanto, talvez seja um dos setores que mais tende a se beneficiar com a LGPD, pois esta estabelecerá regras mais fluídas e harmônicas que trarão menos entraves a práticas legítimas e proporcionais de perfilhamento, oferta de conteúdo direcionado e uso de dados para novas finalidades. Clique aqui e saiba mais

Ambiente de Trabalho

Hoje, no Brasil, o empregado não tem expectativa de privacidade no ambiente de trabalho. O uso de equipamentos corporativos pode ser monitorado, mas recomenda-se que o colaborador seja informado dessa prática. Todavia, isso não significa a ausência de privacidade. Existem limites, como a vedação ao monitoramento de contas privadas, como e-mail pessoal e redes sociais. Antes da LGPD, não haviam regras que limitassem o uso de dados dos empregados, como por exemplo, o empregador coletar informações em redes sociais para agregar aos bancos de dados dos setores de RH, muito menos qualquer vedação expressa às práticas de compartilhamento desses dados com interessados, como empresas de curriculum. Já com a LGPD, toda a coleta de dados pessoais deve ter uma finalidade clara, lícita e legítima, não podendo seu uso ser obscuro ou indevido. Dessa forma, este é um dos setores que será beneficiado com a entrada em vigor da LGPD, uma vez que várias atividades como outsourcing de mão-de-obra para outros países devido aos procedimentos relacionados à transferência internacional de dados, serão facilitadas pela existênca de regulação específica sobre o tema. Clique aqui e saiba mais

Outros Setores

Todos os setores que lidam com dados pessoais são e serão afetados, sejam online ou off-line, uma vez que a LGPD se aplica a ambos. Serviços educacionais, bens de consumo, serviços do cotidiano, não há qualquer distinção. Todavia, talvez os mais impactados sejam os desenvolvedores e fornecedores de tecnologia da informação, que acabam por atuarem em todos os setores. No entanto, talvez sejam os que mais facilmente se adaptem às novas regras, uma vez que já estão acostumados a padrões internacionais de segurança da informação e proteção à privacidade. Clique aqui e saiba mais

Não é novidade que o uso de dados é parte importante da economia moderna. Por meio de novas tecnologias que se utilizam de dados, foi possível criar produtos e modelos de negócio inovadores e avançar em pesquisas em áreas como inteligência artificial e aprendizado de máquina.

Por outro lado, as empresas estão pouco preparadas para lidar com questões de segurança da informação, proteção de seus ativos intangíveis e proteção de dados pessoais. Isso gera insegurança para usuários e afeta muito o cenário de concorrência.

É importante ressaltar que a nova Lei Geral de Proteção de Dados não inviabiliza modelos de negócio lícitos e legítimos. Pelo contrário, a LGPD traz mais bases legais que autorizam e viabilizam o tratamento de dados pessoais. O maior desafio agora é tempo de adaptação, ou seja, o período entre a aprovação da lei e a sua entrada em vigor, em fevereiro de 2020.

Porque e como as empresas devem se preparar

Proteção de dados pessoais e segurança da informação devem, e podem, ser encaradas não como um custo, mas sim como uma vantagem competitiva, um diferencial de mercado. Em uma época de grandes vazamentos de informações e escândalos quanto ao uso indevido de dados, se adequar antecipadamente à regras claras, transparentes e harmônicas pode restaurar ou aumentar a confiança do consumidor nas empresas e no mercado.

Porquê?

Tempo de adequação

As empresas têm até fevereiro de 2020 para se preparar até a entrada em vigor da LGPD, o que pode ser um tempo extremamente curto devido a quantidade de mudanças que serão necessárias.

Preparação

Quanto mais cedo as empresas se preparem, melhor elas estarão quando a nova lei entrar em vigor.

Vantagem competitiva

Enquanto o resto do mercado estiver correndo para se adaptar, quem se antecipar às mudanças poderá já oferecer seus serviços e produtos de forma mais adequada e eficiente.

Reputação

A proteção dos dados pessoais e da privacidade de clientes e colaboradores é fundamental para a construção de uma imagem de confiança. A capacidade de transmitir segurança, se antecipar aos riscos e gerenciar eventuais problemas pode afetar a reputação das empresas.

Como?

Preparar-se antecipadamente

Adequar-se às regras vigentes, antecipar-se às demandas regulatórias e já se preparar com base nos princípios e regras de proteção de dados já existentes e naquelas que não vão mudar, além de adotar as melhores práticas de países que influenciam a futura lei brasileira. Isso será uma vantagem competitiva quando todos ainda estiverem se adaptando.

Realizar Privacy Impact Assesment - PIA

Privacy Impact Assessement (PIA) é uma metodologia que serve para identificar riscos à privacidade e à proteção de dados pessoais por meio de mapeamento de dados e análise dos processos da empresa, visando adequá-los às melhores práticas e às obrigações regulatórias.

Programa de privacidade

Com base nos resultados do PIA, estabelecer e implementar um programa de privacidade que deve considerar o desenho e implementação de soluções e processos para tratamento dos riscos identificados e áreas em não conformidade e conduzir ações de conscientização e treinamento.

Manutenção

Conduzir periodicamente novas avaliações de privacidade e garantir que novos riscos identificados serão endereçados tempestivamente.

Resposta a incidentes

Em uma crise, as empresas são julgadas por seus stakeholders não apenas pelo incidente em si, mas por sua resposta à situação. Simular a ocorrência de eventuais problemas ligados à proteção de dados melhora a capacidade das empresas de responder a uma crise de forma efetiva, protegendo sua reputação.

Participar das discussões

Participar ativamente das discussões e debates sobre proteção de dados pessoais no Brasil. Os projetos de lei ainda estão em discussão e ainda há espaço para propor adequações com base no que deu certo e no que não deu no mercado nacional e internacional.

Os riscos de não seguir as leis

A LGPD previa a criação, nos moldes de mais de 100 países no mundo, de uma Autoridade Nacional de Proteção de Dados Pessoais (“ANPD”), independente e autônoma, que funcionaria como uma agência reguladora, com competência para supervisionar a conformidade com lei em todos os setores, podendo realizar investigações e aplicar sanções. Ocorre que os dispositivos que criavam a ANPD foram vetados no momento da sanção da lei. No entanto, há a promessa de criação da ANPD em um futuro breve. De todo modo, isso não impede que outros órgãos também realizem investigações para apurar eventuais incidentes envolvendo dados pessoais, como é o caso do MPDFT, dessa forma, é importante ter no radar a possibilidade de serem aplicadas as seguintes sanções:


Multa

As sanções deverão ser aplicadas pela Autoridade Nacional de Proteção de Dados Pessoais, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto e com a gravidade e a natureza das infrações, à natureza dos direitos pessoais afetados, à existência de reincidência, à situação econômica do infrator e aos prejuízos causados. As multas podem ser simples, de até 2% do faturamento da empresa ou grupo no Brasil, limitadas a R$ 50 milhões de reais por infração.

Publicização

Nos casos em que seja necessário informar à Autoridade e aos titulares dos dados sobre incidentes de segurança da informação, a Autoridade Nacional de Proteção de Dados Pessoais poderá determinar a publicidade dos eventos, após esta ser apurada e confirmada, em moldes similares a um recall, como forma de prevenção e punição para o responsável pelo tratamento dos dados.

Eliminação

A Autoridade Nacional de Proteção de Dados Pessoais poderá determinar a eliminação dos dados a que se referir a infração, por parte do responsável pelo tratamento, como forma de punição. Assim, estes não poderiam ser mais utilizados.

Suspensão

Em casos mais graves, a Autoridade Nacional de Proteção de Dados Pessoais poderá, administrativamente, determinar a suspensão de todas as operações de coleta, tratamento e suspensão de dados pessoais, o que, em muitos casos, pode significar a suspensão de quase todas as operações da empresa.

Reputação

Independentemente de qualquer penalidade administrativa, talvez o maior dano para a empresa seja em relação a sua reputação, a sua credibilidade perante o mercado e a sociedade e a perda de confiança. Uma vez perdida a confiança, o custo e o tempo para recuperá-la pode ser muito maior do que qualquer dano secundário.