A proteção de dados está no centro das discussões de empresas e instituições na atualidade. Em linha com os temas de maior interesse por parte de seus associados, a ABF debateu “A nova Lei de Proteção de Dados”. O assunto foi tratado no Café da Manhã Jurídico realizado nessa quarta-feira (28/11), na sede da entidade em São Paulo. Conduzido por Mariana Abenza, advogada e sócia do escritório Dannemann, Siemsen, Bigler, Ipanema & Moreira, o evento contou com palestra de Vanessa Fonseca, executiva de produção cibernética da Accenture do Brasil.

Mariana lembrou que a Lei Geral de Proteção de Dados (Lei Federal 13.709/18) tramitou por quase uma década. Ainda em 2010 o assunto já era debatido no Congresso. Seguindo os moldes da GDPR (sigla em inglês para o Regulamento Geral sobre Proteção de Dados, em vigor na União Europeia desde maio deste ano), a LGPD foi promulgada no último mês de agosto e deverá entrar em vigor a partir de 16 de fevereiro de 2020.

Na visão da advogada, dois fatores principais foram determinantes para a sanção da lei brasileira num ano tão conturbado econômica e politicamente para o País: o escândalo do Cambridge Analytica, que teve permissão do Facebook para acessar dados pessoais de cidadãos norte-americanos e influenciar na campanha de Donald Trump à presidência dos Estados Unidos, e a própria aprovação do GDPR na Europa.

Especialista em segurança de dados, Vanessa falou a respeito do contexto regulatório da nova lei. “A LGPD já pegou”, afirmou. Ainda de acordo a palestrante, o vazamento de dados pessoais é inevitável. “Se prepare porque o ponto não é ‘se’ vai acontecer com você e sim ‘quando’ irá acontecer”, advertiu.

Principais mudanças

Segundo Vanessa, uma das dez principais mudanças trazidas pela nova lei diz respeito à gestão de riscos de terceiros.  Citando como exemplo uma empresa franqueadora, ela disse que se um franqueado provocar algum vazamento de dados do cliente da rede, por melhor que sejam os controles e sistemas de segurança, a empresa franqueadora será corresponsável.

O “consentimento” também está entre os principais pontos alterados pela LGPD. De acordo com Vanessa, trata-se de “uma questão muito delicada e normalmente há uma confusão entre consentimento e legítimo interesse”. A especialista ressaltou, ainda, que é muito importante ter em mente que o consentimento não se aplica a todos os casos e, nos termos que a lei determina, ele não existe hoje no Brasil. “Temos que criar um sistema de gestão de consentimento”, defendeu a especialista.

Um bom exemplo da aplicação do consentimento é, para Vanessa, o site do jornal britânico The Sun. “É impressionante. Ele abre um pop-up com um texto que explica o que ele vai fazer com o dado e uma lista com 30 opções de empresas com as quais ele compartilhará seus dados por alguma razão”, explicou.

Seguindo esse exemplo, cabe à empresa interessada fazer, por meio do seu departamento jurídico, um “opt-in” com as informações necessárias e adequadas à LGPD. Segundo Vanessa, nesse ponto entra a criatividade dos advogados em redigir um texto enxuto, rápido, conciso e atraente para o leitor. “Esta é uma chance de educar seus usuários (…), é uma mudança de paradigma”, disse.

Os termos de políticas de uso e privacidade, comuns na atualidade, não são suficientes para atender a LGPD. “O tipo de autorização que temos hoje é viciada”, afirmou a especialista. Ela orientou a reformular o conteúdo desses termos. “Geralmente são utilizadas frases como: ‘Iremos compartilhar seus dados para melhorar a sua experiência de navegabilidade…’. Isso, esquece. Essa frase, aliás, cortem dos seus termos de uso e privacidade porque ela significa nada”. Para Vanessa, as empresas franqueadoras terão que definir qual o modelo ideal de conformidade, ou compliance, para obtenção do consentimento do usuário e executar de fato esse tipo de governança.

Além dessas mudanças, a transparência no uso de dados pessoais e a privacidade são outros pontos importantes alterados pela nova lei.

De acordo com a especialista em segurança de dados, as principais áreas afetadas nas empresas com a vigência da LGPD são: Jurídico, Procurement, RH/Recrutamento, Trading, Vendas, Relacionamento com Cliente, Canais de Distribuição, Segurança e TI, Arquitetura de TI e Tecnologia, e Gestão de Riscos.

Desafios e geração de valor

Há desafios para que as empresas atinjam a conformidade com a LGPD. Segundo Vanessa, entre eles estão a ausência de uma gestão centralizada de coleta de consentimento e o mapeamento precário dos consentimentos existentes, a insuficiência de planejamento e falta de recursos capacitados, e a tecnologia fragmentada, que limita a rapidez e precisão de identificar um vazamento de dados.

Como efeito, no caso de descumprimento da LGPD, incidirá sobre a empresa envolvida uma multa de 2% do seu faturamento anual, limitada a R$ 50 milhões por incidente.

Contudo, Vanessa observa que a nova lei pode levar as empresas a entregar mais valor aos seus clientes. “A Lei Geral de Proteção de Dados está aí. (…) Isso também pode ser um diferencial competitivo”, concluiu.

Confira as 10 principais mudanças trazidas pela LGPD:

1. Novas Categorias de Dados e Registros de Processamento: os seus dados são específicos, categorizados e inventariados?
2. Justificativas e Condições para Processamento de Dados: a coleta e o processamento de dados têm que estar amparados por uma base legal, como um contrato
3. Consentimento: o consentimento do cliente é necessário não somente para ações de marketing, mas também para análise comportamental
4. Transparência no Uso de Dados Pessoais: os seus usuários (funcionários, clientes e parceiros) têm conhecimento de quais dados a empresa coleta sobre eles e como esses dados são utilizados?
5. Privacy by Design e Minimização de Dados: nesse novo cenário de privacidade, a minimização de dados é absolutamente necessária
6. Segurança e Notificações de Vazamento de Dados: você está preparado para rapidamente reportar um vazamento de dados para a autoridade e para seus clientes?
7. Gestão de Riscos de Terceiros: você está ciente que o controlador e o processador de dados são corresponsáveis pela proteção de dados? Como você garante que o processador possui os mesmos padrões de conformidade da sua empresa?
8. Governança de Dados e Accountability: sua empresa está preparada para comprovar a conformidade com a LGPD?
9. Novos Direitos dos Cidadãos: sua empresa está preparada para fornecer, retificar, restringir e excluir os dados pessoais da sua base de dados?
10. Regras para Transferência Internacional de Dados: sua empresa possui política de transparência para transferência de dados e mecanismos de controle de dados?

Foto: ABF/Divulgação