Proteção de Dados Pessoais no Brasil

O atual cenário regulatório de proteção de dados pessoais no Brasil é complexo com mais de 40 normas vigentes, ora mais flexíveis, ora mais rígidas, que tratam direta ou indiretamente da proteção de dados pessoais. Este cenário é desafiador para as empresas e usuários, já que grande parte dessas regras, apesar de serem setoriais, não podem ser tratadas de forma isolada. Por exemplo, como dissociar serviços de saúde e financeiro com serviços oferecidos através da Internet? Nesse sentido, uma lei geral de proteção de dados pessoais (“Lei Geral”), como os Projetos de Lei (em especial o PL 5.276/2016 e o PLS 330/2013) que vêm sendo atualmente discutida, poderá estabelecer um cenário mais fluído e harmônico, em consonância com objetivos de desenvolvimento econômico, tecnológico e inovação, ao mesmo tempo garantindo direitos individuais. A Lei Geral deve entrar em vigor em 2018 e haverá pouco tempo para se adaptar. Portanto, empresas precisam se adequar as regras de hoje e compreender que se antever à futura regulamentação é um investimento e uma vantagem competitiva.

O que são dados pessoais?

De acordo com as leis brasileiras em vigor e a legislação internacional, dados pessoais podem ser considerados todos os dados que possam identificar alguém direta ou indiretamente, como nome, RG, CPF, endereço, cookies, ou informações sobre essa pessoa, mesmo que não a identifique, tais dados médicos, financeiros, de localização, culturais, preferências, ou até mesmo sujeitar alguém a determinadas práticas, como envio de propaganda e conteúdo direcionado, ou metodologias de perfilhamento e predição. A definição do que é dado pessoal determina quando a lei e suas regras são aplicadas.

Preciso me preocupar com Proteção de Dados Pessoais?

Independente do setor que você atua, caso haja coleta, armazenamento, tratamento, uso e/ou compartilhamento de dados pessoais, há a necessidade de se adequar às leis relacionadas à proteção de dados pessoais. Por exemplo, o Marco Civil da Internet, já em vigor, que se aplica a todo e qualquer serviço oferecido através da Internet, estabelece regras claras e limites muitos rígidos para a coleta e uso de dados pessoais.

Se a sua empresa pratica uma das atividades listadas abaixo, saiba que existe a necessidade de adaptação às leis relacionadas à proteção de dados pessoais:

  • Minha empresa coleta dados dos clientes para enviar promoções e promover os negócios da companhia através de mala direta e/ou anúncios direcionados.SIM
  • Minha empresa coleta dados através de aplicativos para vender produtos e serviços.SIM
  • Minha empresa mantém dados dos funcionários para processar pagamentos de salário e ajudar o RH.SIM
  • O serviço oferecido pela minha empresa analisa o comportamento dos clientes para lhes sugerir conteúdo que seja do seu interesse.SIM
  • Minha empresa terceiriza a coleta e o armazenamento de dados pessoais para economizar custos.SIM

Nova Regulação Europeia de Proteção de Dados (GDPR) e o impacto nas empresas brasileiras

A General Data Protection Regulation (GDPR) é a nova regulação de proteção de dados pessoais da União Europeia e entrará em vigor no próximo 25 de maio de 2018. Apesar de ser um marco regulatório europeu, qualquer empresa brasileira poderá estar sujeita a ela, pois os limites da sua jurisdição foram drasticamente aumentados para incluir, também, os responsáveis pelo tratamento dos dados pessoais que se encontram geograficamente fora da União Europeia.

Porque regular o uso de dados pessoais

Regular o uso de dados pessoais no Brasil, por meio de uma Lei Geral como a que vem sendo atualmente discutida, pode conferir segurança jurídica a um terreno que hoje é considerado pantanoso e árido, com conceitos distintos e regras conflitantes que impactam os limites das normas setoriais. Uma lei única de proteção de dados pessoais poderá trazer harmonia e balanceamento para o fomento à inovação, e ao desenvolvimento econômico e tecnológico em uma sociedade movida a dados.

Quais são os objetivos

Direito à privacidade

Garantir o direito à privacidade e à proteção de dados pessoais dos cidadãos ao permitir um maior controle sobre seus dados, por meio de práticas transparentes e seguras.

Regras claras para empresas

Estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais para empresas.

Promover desenvolvimento

Fomentar o desenvolvimento econômico e tecnológico numa sociedade movida a dados.

Direito do consumidor

Garantir a livre iniciativa, a livre concorrência e a defesa do consumidor.

Fortalecer Confiança

Aumentar a confiança da sociedade na coleta e uso dos seus dados pessoais.

Segurança jurídica

Aumentar a segurança jurídica como um todo no uso e tratamento de dados pessoais.

Quais as vantagens

Unificar regras

Regras únicas e harmônicas sobre o uso de dados pessoais, independente do setor da economia.

Maior Flexibilidade

Autorizar formas mais flexíveis para o tratamento de dados pessoais, tais como legítimos interesses, que levam em consideração uma sociedade movida à dados em tempos de Big Data.

Redução de custos

Diminuir custos operacionais causados por incompatibilidades sistêmicas de tratamentos feitos por agentes diversos, além de fomentar uma maior qualidade dos dados em circulação no ecossistema como um todo.

Adequar as regras no Brasil

Tornar o Brasil apto a processar dados oriundos de países que exigem um nível de proteção de dados adequados, o que pode fomentar, principalmente, os setores de tecnologia da informação.

Portabilidade

Indivíduos poderão transferir seus dados de um serviço para outro, aumentando a competividade no mercado.

Impactos Setoriais

Estar em compliance com regulações setoriais de proteção de dados e com uma Lei Geral pode trazer um impacto grande a empresas de todos os tamanhos, especialmente em custos operacionais. Ao mesmo tempo, há uma infinidade de novas oportunidades, principalmente para as empresas que saírem na frente nos procedimentos de adaptação e para aquelas que já empregam princípios universais de proteção de dados pessoais.

Financeiro

O setor financeiro, atualmente, está sujeito, principalmente, às regras do sigilo bancário (Lei Complementar 105/01), do Código de Defesa do Consumidor (Lei 8.078/90) e da Lei do Cadastro Positivo (Lei 12.414/2011), e à supervisão do Banco Central do Brasil e da Comissão de Valores Mobiliários (CVM). Apesar de ser um setor altamente regulado, as regras ainda permitem uma grande liberalidade no uso de dados pessoais. O boom de Fintechs no mercado brasileiro tem se valido dessa liberdade para aplicar Big Data, Inteligência artificial e machine learning aos seus modelos de negócio. Por isso mesmo esse setor estará sujeito a impactos operacionais grandes quando a Lei Geral entrar em vigor. Todavia, poderá gozar de uma segurança jurídica muito maior do que a atual, principalmente quanto ao compartilhamento de dados e decisões automatizadas, como às relativas à concessão de crédito e criação de modelos preditivos. Clique aqui e saiba mais

Saúde

Apesar da sensibilidade inerente dos dados de saúde, este é um setor que carece de regras de proteção de dados pessoais, se limitando a normas sobre o compartilhamento entre setor público e privado, consentimento na coleta para inserção em bancos de dados e formulários eletrônicos e confidencialidade. Áreas como medicina de precisão e diagnóstica são algumas das que mais intensamente usufruem de tecnologia de Big Data, mas ao mesmo tempo podem ser impactadas pelas novas regras e limites impostos por uma Lei Geral. Se preparar antecipadamente, principalmente adequando seus procedimentos com base em análises de risco, pode ser uma ótima vantagem competitiva. Áreas como E-Health e Telemedicina também podem se beneficiar amplamente de uma abordagem preventiva. Clique aqui e saiba mais

Publicidade e Propaganda

O setor de publicidade e propaganda digital talvez seja um dos mais impactados por leis de proteção de dados pessoais, uma vez que seus modelos de negócio são baseados na análise de preferencias, comportamentos online dos consumidores e criação de modelos preditivos. Estão, hoje, sujeitos às regras rígidas sobre consentimento e limites ao uso de dados previstos no Marco Civil da Internet. Portanto, talvez seja um dos setores que mais tende a se beneficiar com uma Lei Geral, pois esta estabelecerá regras mais fluídas e harmônicas que trarão menos entraves a práticas legítimas e proporcionais de perfilamento, oferta de conteúdo direcionado e uso de dados para novas finalidades. Clique aqui e saiba mais

Ambiente de Trabalho

Hoje, no Brasil, o empregado não tem expectativa de privacidade no ambiente de trabalho. O uso de equipamentos corporativos pode ser monitorado, mas recomenda-se que o colaborador seja informado dessa prática. Todavia, isso não significa a ausência de privacidade. Existem limites, como a vedação ao monitoramento de contas privadas, como e-mail pessoal e redes sociais. Com relação ao uso dos dados dos empregados, não há regras que limitem, por exemplo, o empregador coletar informações em redes sociais para agregar aos bancos de dados dos setores de RH, muito menos qualquer vedação expressa às práticas de compartilhamento desses dados com interessados, como empresas de curriculum. Este é um dos setores que faz parte da lacuna legislativa que será preenchida por uma Lei Geral, que facilitará atividades como outsourcing de mão-de-obra para outros países devido aos procedimentos relacionados à transferência internacional de dados. Clique aqui e saiba mais

Outros Setores

Todos os setores que lidam com dados pessoais são e serão afetados, sejam online ou off-line. Serviços educacionais, bens de consumo, serviços do cotidiano, não há qualquer distinção. Todavia, talvez os mais impactados sejam os desenvolvedores e fornecedores de tecnologia da informação, que acabam por atuarem em todos os setores. No entanto, talvez sejam os que mais facilmente se adaptem às novas regras, uma vez que já estão acostumados a padrões internacionais de segurança da informação e proteção à privacidade. Clique aqui e saiba mais

Não é novidade que o uso de dados é parte importante da economia moderna. Por meio de novas tecnologias que se utilizam de dados, foi possível criar produtos e modelos de negocio inovadores e avançar em pesquisas em áreas como inteligência artificial e aprendizado de máquina.

Por outro lado, as empresas estão pouco preparadas para lidar com questões de segurança da informação, proteção de seus ativos intangíveis e proteção de dados pessoais. Isso gera insegurança para usuários e afeta muito o cenário de concorrência.

Novas leis devem ser cuidadosamente desenhadas para que estas não se tornem um fardo ao ponto de inviabilizar modelos de negócio lícitos e legítimos. As atuais atividades econômicas devem ser levadas em consideração, e o tempo de adaptação, ou seja, o período entre a aprovação da lei e a sua entrada em vigor, deve ser suficiente para que as empresas possam se adaptar.

Porque e como as empresas devem se preparar

Proteção de dados pessoais e segurança da informação devem, e podem, ser encaradas não como um custo, mas sim como uma vantagem competitiva, um diferencial de mercado. Em uma época de grandes vazamentos de informações e escândalos quanto ao uso indevido de dados, se adequar antecipadamente à regras claras, transparentes e harmônicas pode restaurar ou aumentar a confiança do consumidor nas empresas e no mercado.

Porquê?

Tempo de adequação

As empresas poderão ter entre 3 meses a 1 ano para se preparar quando a Lei Geral entrar em vigor, o que pode ser um tempo extremamente curto devido a quantidade de mudanças que serão necessárias.

Preparação

Quanto mais cedo as empresas se preparem, melhor elas estarão quando a nova lei entrar em vigor.

Vantagem competitiva

Enquanto o resto do mercado estiver correndo para se adaptar, quem se antecipar às mudanças poderá já oferecer seus serviços e produtos de forma mais adequada e eficiente.

Reputação

A proteção dos dados pessoais e da privacidade de clientes e colaboradores é fundamental para a construção de uma imagem de confiança. A capacidade de transmitir segurança, se antecipar aos riscos e gerenciar eventuais problemas pode afetar a reputação das empresas.

Como?

Preparar-se antecipadamente

Adequar-se às regras vigentes, antecipar-se às demandas regulatórias e já se preparar com base nos princípios e regras de proteção de dados já existentes e naquelas que não vão mudar, além de adotar as melhores práticas de países que influenciam a futura lei brasileira. Isso será uma vantagem competitiva quando todos ainda estiverem se adaptando.

Realizar Privacy Impact Assesment - PIA

Privacy Impact Assessement (PIA) é uma metodologia que serve para identificar riscos à privacidade e à proteção de dados pessoais por meio de mapeamento de dados e análise dos processos da empresa, visando adequá-los às melhores práticas e às obrigações regulatórias.

Programa de privacidade

Com base nos resultados do PIA, estabelecer e implementar um programa de privacidade que deve considerar o desenho e implementação de soluções e processos para tratamento dos riscos identificados e áreas em não conformidade e conduzir ações de conscientização e treinamento.

Manutenção

Conduzir periodicamente novas avaliações de privacidade e garantir que novos riscos identificados serão endereçados tempestivamente.

Resposta a incidentes

Em uma crise, as empresas são julgadas por seus stakeholders não apenas pelo incidente em si, mas por sua resposta à situação. Simular a ocorrência de eventuais problemas ligados à proteção de dados melhora a capacidade das empresas de responder a uma crise de forma efetiva, protegendo sua reputação.

Participar das discussões

Participar ativamente das discussões e debates sobre proteção de dados pessoais no Brasil. Os projetos de lei ainda estão em discussão e ainda há espaço para propor adequações com base no que deu certo e no que não deu no mercado nacional e internacional.

Os riscos de não seguir as leis

Uma Lei Geral provavelmente determinará, nos moldes de quase 100 países no mundo, a criação de uma Autoridade de Proteção de Dados Pessoais, independente e autônoma, que poderá funcionar como uma agência reguladora que terá competência para supervisionar a conformidade com lei em todos os setores, podendo realizar investigações e aplicar penalidades administrativamente.


Multa

Ainda não existe definição para os valores das multas, mas as sanções deverão ser aplicadas pela Autoridade de Proteção de Dados Pessoais, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto e com a gravidade e a natureza das infrações, à natureza dos direitos pessoais afetados, à existência de reincidência, à situação econômica do infrator e aos prejuízos causados.

Publicização

Nos casos em que seja necessário informar aos titulares dos dados sobre incidentes de segurança da informação, a Autoridade de Proteção de Dados Pessoais pode determinar a publicidade dos eventos, em moldes similares a um recall, como forma de prevenção e punição para o responsável pelo tratamento dos dados.

Cancelamento

A Autoridade de Proteção de Dados Pessoais poderá determinar o cancelamento e a exclusão dos dados por parte do responsável pelo tratamento, como forma de punição. Assim, estes não poderiam ser mais utilizados.

Suspensão

Em casos mais graves, a Autoridade de Proteção de Dados Pessoais poderá, administrativamente, determinar a suspensão de todas as operações de coleta, tratamento e suspensão de dados pessoais, o que, em muitos casos, pode significar a suspensão de quase todas as operações da empresa.

Reputação

Independentemente de qualquer penalidade administrativa, talvez o maior dano para a empresa seja em relação a sua reputação, a sua credibilidade perante o mercado e a sociedade e a perda de confiança. Uma vez perdida a confiança, o custo e o tempo para recuperá-la pode ser muito maior do que qualquer dano secundário.