Professor do MBA em Data Protection Officer do IESB, Alex Rabello, destaca que os dados vão muito além de números e desenvolver uma cultura preventiva é fundamental
Quem desrespeitar a Lei Geral de Proteção de Dados (Lei 13.709) poderá ser punido. A norma aprovada em 2018 teve a sua vigência iniciada no ano passado, mas só agora, a partir de agosto de 2021, as sanções administrativas para quem violar os direitos dos titulares de dados e as obrigações para quem coleta e trata esses registros entraram em vigor.
A LGPD lista como possíveis sanções advertência, multa de 2% do faturamento bruto da empresa, com limite de teto de R$ 50 milhões por infração, além de prever a interrupção da atividade corporativa da companhia multada. A fiscalização e aplicação das punições ficam a cargo da Autoridade Nacional de Proteção de Dados (ANPD), estrutura vinculada à Presidência da República.
A Lei fixa ainda um conjunto de direitos para os titulares de dados, como a empresa informar quais dados estão sendo coletados e para quais finalidades, ou ainda não reutilizar os registros coletados para outros propósitos, com algumas exceções.
Além de evitar multas, conhecer a LGPD é fundamental para que ela seja efetivamente respeitada e colocada em prática da maneira correta. O problema é que, embora a lei exista há três anos, essa preparação ainda vem ocorrendo de forma lenta. Levantamento organizado pela consultoria de riscos ICTS Protiviti apontou que 84% das empresas ainda não têm uma diretriz clara sobre as exigências da lei. O estudo, com a participação de 192 companhias, mostrou que a maioria dos participantes não estão utilizando a ampliação do prazo de vigência da legislação para se prepararem e ainda precisam de foco, maturação e eficiência operacional para lidar com a nova realidade.
Como entender tudo isso na prática?
Alex Rabello, Professor do MBA em Data Protection Officer (DPO) do Centro Universitário IESB, explica que a LGPD veio para fortalecer dois pilares: o direito dos titulares, dos cidadãos, de poderem controlar e exercer o poder sobre os seus dados; e o dever das organizações de proteger e custodiar as informações. “Isso é muito importante porque muitas empresas estavam utilizando as informações dos titulares dos dados (consumidor, paciente, cliente…) de forma indiscriminada, sem que, de fato, o dono das informações soubesse o que estava acontecendo”, explica Rabello.
De acordo com a norma, são considerados dados pessoais as informações que podem ser atreladas a uma pessoa (titular) identificável, como nome, CPF, endereço e número de telefone, por exemplo.
Mas, o conjunto de dados pessoais não se resume a números. Há ainda aqueles que exigem um pouco mais de atenção: são os sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, questões genéticas, biométricas e informações sobre a saúde ou a vida sexual de uma pessoa. Sobre os dados sensíveis, autônomos, empresas e governo também podem tratá-los se tiverem o consentimento explícito do titular e seja para um fim definido. Sem o consentimento do proprietário dos dados, a LGPD define que isso é possível apenas quando for indispensável, como, por exemplo, uma obrigação legal, estudos via órgão de pesquisa, um direito em contrato ou processo, à preservação da vida e da integridade física, e outras situações específicas.
O cenário é complexo. Por isso, para tornar uma empresa mais segura contra fraudes e vazamentos de todas essas informações, o professor orienta realizar, o quanto antes, um treinamento com os funcionários e boas práticas de segurança. “Visto que a empresa é custodiante dos dados do cliente e não proprietária, ela tem, por obrigação, o dever de aplicar todas as medidas técnicas, físicas e organizacionais para proteger essas informações. Por isso, ela deve criar, o quanto antes, perímetros maiores de segurança, aplicar mais controles de acesso e fazer treinamentos com seus funcionários sobre o manejo da informação e privacidade dos dados do cliente. É assim que a empresa aumenta o seu nível de maturidade, preservação das informações dos titulares dos dados e cria um importante mecanismo de prevenção contra invasões”, avalia Rabello.
De acordo com o especialista, este treinamento é fundamental ainda para o que eles chamam de Privacy by Design, que tem como proposta central incorporar a privacidade e a proteção de dados pessoais do cliente durante todo o processo de coleta e armazenamento, desde o início até o fim. “É informar e estabelecer uma cultura na qual os colaboradores vão aprender a colocar isso em prática no dia a dia. Por exemplo, não conversar coisas do trabalho em lugares que não são adequados, como um restaurante ou uma viagem de Uber, o que é muito comum”, afirma.
Para coletar e usar corretamente os dados dos clientes, de forma simples e clara, Alex Rabello orienta que empresas e funcionários devem agir atendendo todos os princípios da LGPD. “O primeiro que eu destaco é a finalidade. Toda a coleta e tratamento dos dados deve ser feita com base em uma finalidade específica. Não existe excesso de informação neste sentido”, reforça.
Para evitar multas, a orientação é aplicar todas as medidas de segurança e privacidade regulamentadas pela LGPD. “Se a empresa aplicar uma boa governança da segurança da informação e protegê-las, respeitando os direitos dos seus titulares, certamente ela vai estar agindo corretamente e isso é uma forma de evitar multas que poderão ocorrer, seja pela LGPD ou judiciário”, conclui Rabello.