A Lei Geral de Proteção de Dados está chegando e ela pode ser boa para seu negócio!
Desde 25 de Maio de 2018, a GDPR (General Data Protection Regulation) encontra-se implementada como regulamentação aplicável aos países signatários, pertencentes à União Europeia, salvaguardando dados e direitos de seus cidadãos frente aos seus provedores de serviço. Eu participei do projeto de compliance para uma multinacional de TI e me interessei por demais pela área.
Embora aqui as discussões já estivessem em estágio avançado quando a norma europeia foi criada, em partes o Brasil se inspirou na GDPR para criar a LGPD, a Lei Geral de Proteção de Dados, que tem como objetivo proteger a liberdade e a privacidade dos indivíduos, balanceando esta com as necessidades de negócio e inovação das empresas.
Nossa lei entra em vigor em Agosto de 2020 e traz com ela, certos direitos que nós, indivíduos, passaremos a ter por aqui, conforme o artigo 18 expõe:
- I – Confirmação da existência de tratamento;
- II – Acesso aos dados;
- III – Correção de dados incompletos, inexatos ou desatualizados;
- IV – Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
- V – Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
- VI – Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas pela lei;
- VII – Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- VIII – Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- IX – Revogação do consentimento, conforme disposto em lei.
Como empresas e empreendedores de qualquer porte, nós teremos a responsabilidade de oferecer estes direitos aos nossos clientes, usuários, prospects, fornecedores, funcionários, etc como parte integral do provimento de nossos serviços. Teremos a obrigação de informar o que, como, onde, quem e por quanto tempo os dados serão processados. Só poderemos processar os dados dentro dos critérios pré-estabelecidos (contrato, consentimento, proteção à vida, interesse legítimo, etc). Teremos a obrigação de preservar os dados e tratá-los com cautela para evitar acessos não autorizados. E deveremos nos desfazer dos dados (ou anonimizá-los, embora esse procedimento ainda seja muito controverso) após sua vida útil ter chegado ao fim.
Multas
As multas para o descumprimento das obrigações podem chegar até a R$ 50 milhões de reais por infração.
Na Europa, já temos alguns exemplos de multas sendo atribuídas às empresas:
- A primeira multa foi na Áustria, em Outubro, pelo uso de câmeras de segurança que filmava parte da calçada. A multa foi dada pelo fato de que o monitoramento em larga escala, de locais públicos não ser permitido. O estabelecimento foi multado em €4.800,00 Euros.
- Outra multa foi aplicada em um hospital Português, no total de €400 mil Euros. Uma das razões foi o fato de os sistemas permitirem acesso indiscriminado aos dados e ao fato de possuírem em sistema dados de quase mil profissionais enquanto haviam menos de 300 efetivamente ativos.
- Outra multa na Alemanha, para uma rede social onde houve vazamento de aproximadamente 800.000 contas de e-mail e 1.800.000 informações de usuário e senha. A multa foi de €20 mil Euros, amenizada pela cooperação com a entidade de proteção de dados.
- Na França, o Google foi multado em €50 milhões de Euros pelo processamento inadequado de dados pessoais, sem fornecer a possibilidade do usuário de oferecer o consentimento de forma ampla e voluntária.
- Na Inglaterra, uma empresa de seguros foi multada em €60 mil Euros por instigar o envio de e-mail marketing sem o devido consentimento.
“Mas Alexandre… até agora é só coisa ruim,
focar no compliance e não no valor entregue,
multa… cadê a oportunidade???”
Eu acredito que existem várias. Listo elas a seguir:
- Oportunidade de se estabelecer políticas internas para o tratamento de dados, mapear os gaps, as práticas, as ferramentas e todo o processo desde a aquisição até a eliminação do dado. A LGPD nos dá a possibilidade (forçada) de revisar as nossas ações como empresa, de obter visibilidade sobre o processo, padronizar procedimentos de diferentes departamentos, escolher as melhores ferramentas, de nos colocarmos na posição do consumidor.
- Oportunidade de corrigir nossas falhas. É uma ótima oportunidade para corrigir problemas de segurança e tratamento que caíram em backlog, technical debt ou de-priorizados (e que estejam relacionados ao tema).
- Investir na capacitação da equipe. Como o LGPD não foca apenas em sistema, é importante que as pessoas que lidam com dados pessoais estejam devidamente treinadas. Por exemplo, não pegar os dados de um sistema interno e disponibilizá-los em um ambiente inseguro, carregar em um pen drive, etc.
- Oportunidade de escolher fornecedores de TI que estejam comprometidos com a segurança dos dados. Teremos a oportunidade de trabalhar com “Processors” que colocam a qualidade do serviço e a proteção dos dados como prioridade. Afinal, a brecha deles é a sua brecha.
- Imagem. Você mostra aos seus clientes que você se importa com eles e acima de tudo respeita suas decisões de contato. Como consumidor, quantas não foram as vezes que você pediu para sair de uma lista de marketing e nunca foi atendido?
É um momento bacana, propício, para dar aquele salto em Customer Experience.
Na Macher Tecnologia (https://www.machertecnologia.com.br/)nós desenvolvemos nosso primeiro produto, o Turma na Web (https://www.turmanaweb.com.br/) já com os conceitos de privacidade (Privacy by Design & Privacy by Default) e já estando em conformidade com a LGPD.
Este artigo não tem como objetivo oferecer consultoria, recomendação, direção, aconselhamento. É um material resumido desenvolvido para fomentar o pensamento e estimular o questionamento. Não oferece quaisquer garantias de acurácia, completude ou conformidade.
Se você precisa de ajuda com a sua adequação, me envia uma mensagem para um atendimento customizado e personalizado. Contamos com um escritório parceiro jurídico para auxiliar no processo, com advogados especialistas em Direito Digital por algumas das maiores instituições do Brasil, e que poderão auxiliar no que for necessário, assim como nos auxiliaram quando precisamos.
Fontes:
- http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
- https://www.pandasecurity.com/mediacenter/news/first-sanctions-gdpr-infractions/
- http://fortune.com/2019/01/21/france-fines-google-57-million-for-gdpr-violations/
- https://ico.org.uk/action-weve-taken/
- Photo by rawpixel on Unsplash