Acesso rápido
  Redação E-Commerce Brasil

Mais do que o consenso, LGPD exigirá mudança de comportamento

Sexta-feira, 12 de abril de 2019   Tempo de leitura: 8 minutos

Em agosto de 2020, a Lei Geral de Proteção de Dados (LGPD) irá vigorar no Brasil. Para nos auxiliar quanto a isso, profissionais da Quidgest (multinacional que atua nessa questão na Europa) apresentaram algumas experiências práticas de erros e acertos que passaram em Portugal. Maria Sofia Martins, Consultora de Negócios Internacionais e Responsável Comercial da Quidgest no Brasil, apresentou quais foram os principais desafios da adequação da LGPD em Portugal. “Queremos compartilhar, principalmente, os erros que cometemos, seja no setor privado ou público, para tentar evitar que ocorram aqui”. Vale lembrar que a lei brasileira é praticamente uma réplica do modelo europeu. Ou seja, cada recomendação é muito válida para o empreendedor brasileiro.

Antes da aprovação da LGPD, segundo Maria, já existiam leis nacionais no espaço europeu que tocavam no tema da proteção de dados. A grande diferença é que os titulares de dados desconheciam os seus direitos. Afinal, havia pouca informação oficial sobre o assunto e as empresas preferiam pagar multas a estarem em conformidade com as leis nacionais. “De certa forma o espaço europeu já tinha uma cultura sobre a proteção de dados. A Alemanha já estava preparada para isso antes mesmo de a lei vigorar. Portugal também já dispunha de leis de proteção de dados antes da entrada da LGPD, inclusive como uma comissão de proteção de dados. No Brasil, por outro lado, ainda há muito a ser feito. Ao meu ver, o grande desafio será a mudança cultural, de comportamento humano, tanto do cidadão como do serviço prestado pelo Estado e empresas”.

Segundo ela não se trata de um processo disruptivo, mas sim incremental. Quando a lei vigorou em Portugal, muitos processos foram redefinidos. Ou seja, é um procedimento de melhoria contínua, e não simplesmente garantir estar na conformidade da lei.

DPO: o Encarregado da Proteção de Dados

Uma das novidades durante o estabelecimento das novas regras foi a criação do Data Protection Officer (DPO), ou Encarregado da Proteção de Dados. De certa forma, suas funções já existiam previamente dentro das empresas, tanto sobre a segurança da informação quando à conformidade na lei. O diferencial ficou por conta da exigência desse profissional e suas responsabilidades, voltadas para a holística dentro da organização. “Consideramos esse profissional como o nosso ‘super-homem’, pois ele precisa estar por dentro do quesito jurídico, saber em detalhes todos os processos e procedimentos ligados à entidade e uma vertente da segurança de informação voltada à parte técnica muito forte”, pontuou Maria.

Por conta disso, muitas empresas acabaram por contratar encarregados de fora da empresa, a fim de avaliar cada processo de maneira isenta à organização. O problema disso, segundo ela, está na hierarquia da coisa. Afinal, esse profissional terá autonomia sobre o que coletar ou não, o que pode gerar conflitos dentro da empresa. “Quando preciso, ele deverá cobrar a alteração de determinado processo imediatamente ou, na pior, exigir que aquilo seja interrompido. “A partir do momento em que a entidade é notificada sobre algum abuso de dados, a empresa tem até 72 horas para reportar o que houve, ainda que não seja preciso, de imediato, levantar toda a documentação comprobatória. Caso a falha seja fruto de uma má gestão do DPO, a multa recairá sobre ele”, afirmou Maria, levanta a questão de o profissional ser alguém (ou um grupo) isento à empresa.

Pegando no bolso

Além disso, a entidade fica obrigada a realizar um registro detalhado de todas as atividades de tratamento e processamento de dados, assim como avaliações de impacto (ônus de demonstração do cumprimento da lei). É nesse momento que também foram estipuladas novas multas, em dois níveis de gravidade:

  • A mais grave, em 20 milhões de Euros ou 4% do volume de negócio anual a nível mundial;
  • Menos grave, em 10 milhões de Euros ou 2% do volume de negócio anual a nível mundial.

Alguns exemplos foram apresentados no evento, como a multa ao Google de US$ 50 milhões. No caso, a empresa não prestou informações suficientes sobre sua política de consentimento, tal qual não se atentou a pedir consentimento sobre publicidade personalizada. A Uber também foi objeto de análise da lei: na ocasião, ela precisou desembolsar 1 milhão de Euros por conta de um vazamento de dados de cliente em 2016. Se não bastasse, ainda teve um agravante ao ocultar a informação e subornar hackers a fim de evitar mais problemas.

 

Erros a serem evitados por aqui

Para auxiliar o Brasil em relação aos problemas que podem surgir, Maria citou algumas falhas ocorridas em seu país a fim de não repetir por aqui. Um deles foi a não-definição de uma autoridade específica para tratar o LGPD. Apesar de a comissão auxiliar nesse ponto e cumprir algumas das exigências previstas. Outra questão foi não ter definido a tempo as informações a serem recolhidas e as listas de atividades isentas de avaliações dos impactos da lei. Lá, essa lista foi divulgada há poucos meses. O papel das entidades públicas nessa implementação é crucial para auxiliar (e defender) os titulares dos dados, segundo Maria. Em Portugal, ela afirma que sindicatos e a DECO (nosso PROCON) se posicionaram como entidades defensoras.

Lições aprendidas por conta de falta de informação sobre o tema de exercício de direitos:

  • Invocação de direitos dos titulares por empresas;
  • Invocação de direito ao esquecimento por titulares com relação contratual com a entidade;
  • Invocação de direitos de um titular em nome de outro titular;
  • Aquivos em papel também devem ser preservado para gerar provas;
  • Conformidade de tratamento de dados;
  • Prazos de retenção/conservação de dados;
  • Contratos já atualizados para subcontratações (a empresa deverá responder a um questionário para trabalhar em conjunto;
  • Informação recolhida equivocada, sem a declaração do exato motivo.

Erros práticos na implementação

Em Portugal, algumas entidades que prestaram serviços jurídicos ou de consulta nas entidades não tinham formação suficiente e passaram indicações erradas, como:

  • Pedido de consentimento em casos em que a conformidade partia da obrigação contratual;
  • Falta de pedido de consentimento;
  • Pedido de consentimento de forma implícita ou sem indicação de finalidade de tratamento;
  • Interpretação abusiva da conformidade associada aos interesses legítimos;
  • Pedido de consentimento a menores de idade (nesse caso deve ser feito ao tutor).

Automatização dos processos

Beatriz Bagoin Guimarães, coordenadora da área de Sistemas de Gestão de Informação e Processos de Negócio da Quidgest, reforçou que a ferramenta utilizada para o tratamento deverá apontar onde e para que os pessoais serão utilizados (e realmente utilizar somente para aquilo). “Se um indivíduo exigir da empresa não lhe enviar mais propagandas, ela deverá encontrar e bloquear todos os canais de contato de marketing com ele”, explicou.

Outro ponto bem reforçado por Beatriz foi a questão do prazo: “Apesar de a data para a conformidade estipulada para agosto, acredito que mesmo as empresas mais empenhada na regularização não estarão prontas. Isso é perfeitamente normal, dada a complexidade”, ponderou. Segundo ela, o sistema de gestão de dados basicamente replica as exigências do órgão regulatório. Ainda assim, ele pode ser atualizado de acordo com as características do negócio.

Quem também trouxe alguns pontos específicos a serem levados em consideração foi Celso Breve, Co-Fundador do Instituto CIO. Empenhado na transformação cultural dos profissionais que trabalham co dados, ele tem a missão de apresentar o que, de fato, deverá ser feito dentro das organizações. Durante a explicação, Celso listou o “check-list” a se fazer previamente ao tratamento de dados e estar de acordo com a LGPD:

  1. Processar o mínimo de dados possível;
  2. Armazenar os dados em um formato que dificulte a identificação dos indivíduos;
  3. Melhorar a transparência;
  4. Autorizar o controle do processamento de dados por parte dos visitantes;
  5. Buscar parceiros em conformidade com a lei;
  6. Armazenar os dados em formato que facilite a portabilidade das informações;
  7. Melhorar continuamente a segurança no armazenamento e na transferência de dados;
  8. Quando necessário, usar relatório de impacto à proteção de dados pessoais;
  9. Indicar um encarregado pelo cuidado com os dados. Esse pode ser uma pessoa física ou jurídica.

Por Giuliano Gonçalves, via E-Commerce Brasil.

Deixe seu comentário

0 comentário

Comentários

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentando como Anônimo

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Assine nossa Newsletter

Fique por dentro de todas as novidades, eventos, cursos, conteúdos exclusivos e muito mais.

Obrigado!

Você está inscrito em nossa Newsletter. Enviaremos, periodicamente, novidades e conteúdos relevantes para o seu negócio.

Não se preocupe, também detestamos spam.