Por Sidnei Fernando da Silveira
Data Protection Officer - Nemetz & Kuhnen Advocacia

A Lei Geral de Proteção de Dados (LGPD) aprovada em agosto de 2018 e com vigência programada para 2020 vem aí, e traz multas de até R$ 50 milhões por infração. A Lei que já estava, há alguns anos em tramitação, teve seu processo de aprovação acelerada. Essa aceleração foi impulsionada pela entrada em vigor da lei Europeia de Proteção de Dados a GDPR. Esta protege, com bastante rigor, os dados de cidadãos europeus e criou um movimento Global para proteção de Dados, que obrigou, inclusive os EUA, a fazerem adaptações em seu sistema legal. Em suma, quem não possuir legislação de proteção de dados, terá cada vez mais dificuldades em fazer negócios com a Europa.

Mas, qual o motivo de estarmos dando tanta importância a questão da proteção de dados? Bem, talvez o exemplo mais emblemático é o vazamento de dados do site “Ashley Madison”, site de relacionamentos extraconjugais que teve dados de 40 milhões de usuários vazados. O vazamento causou suicídios, extorsões, demissões e divórcios em todo o mundo. A lei não combate apenas o vazamento, mas qualquer tipo de discriminação baseada em dados, objetivando sempre a garantia da privacidade. Maurício Ruiz, presidente da Intel do Brasil afirma que: “Os dados são o novo petróleo”. Essa afirmação fica óbvia quando percebemos empresas como a Uber e a Airbnb que possuem os Dados como seu principal ativo.

Analisando esses casos, imagine agora se uma empresa de aplicativo de transporte resolver medir a bateria do celular dos usuários no momento em que uma corrida for solicitada e a partir daí cobrar uma taxa de 80% de adicional nas corridas em que a bateria do celular do solicitante estiver abaixo de 5%. Por motivos óbvios, ninguém recusaria a corrida, porém, claramente estariam violando sua privacidade para obter um dado (Bateria do Celular) de forma a gerar um diferencial competitivo discriminando um grupo de usuários. E essas empresas poderiam fazer isso sem a sua autorização? É esse tipo de comportamento que a Lei tenta combater.

Em virtude disso, a lei exige das organizações, ajustes no seu material online, como por exemplo, a política de armazenagem de dados em arquivos (cookies) para usuários do site ou a publicação de políticas de privacidade. Porém, mais que isso, objetiva empoderar os titulares de dados, ora, os dados fornecidos para empresas prestarem serviços são dados pessoais e os titulares de dados devem, sim, se preocupar com a forma com que estes dados são armazenados e, se podem ser armazenados ou corrigidos.

Quando falamos em Proteção de Dados, cabe nos atentarmos um pouco às novidades em relação aos conceitos de segurança da informação. Quando consideramos a principal norma de Segurança da Informação, a ISO 27.001, o centro de toda gestão de segurança se baseia em um SGSI ou Sistema de Gestão de Segurança da Informação. Para atender a Lei Geral de Proteção de Dados, poderíamos considerar que o ponto central é um DBMS ou Sistema de Gestão de Proteção de Dados. A palavra "sistema" traduz um conjunto de metodologias, estratégias, políticas, procedimentos e ferramentas técnicas.

Como é possível observar, o DBMS é algo parecido com o SGSI, porém baseado em dados. Para criar o DBMS, as organizações precisarão olhar para os seus dados. Tudo começa criando um mapeamento do fluxo de dados dentro da organização. Para cada operação com dados, é preciso buscar uma base legal, que pode ser o consentimento do titular ou outros itens elencados nos artigos 7 e 10 da LGPD. O consentimento é quase sempre o caminho mais difícil, pois, ele precisa ser específico para cada operação, pode ser revogado a qualquer tempo e precisa ser claro (algo que pode ser subjetivo).

Portanto, é primordial que as organizações avaliem as bases legais para o tratamento. A partir daí, é necessária a análise dos riscos envolvidos. Para tratamentos ou operações com dados que envolvam alto risco, é preciso fazer uma análise de riscos específica para o tratamento. Essa análise por tratamento é a Análise de Impacto sobre Proteção de Dados ou Data Protection Impact Assessment (DPIA). Toda essa documentação gerada deve ser mantida sob responsabilidade do Encarregado de Proteção de Dados ou Data Protector Officer (DPO). Esse profissional deve ter conhecimento jurídico e de TI para manter o DBMS, e analisar casos de vazamentos, solicitações de titulares de dados e novos projetos ou demandas que impactam na proteção de dados, já que cada nova operação que envolva risco no tratamento deve ter sua própria DPIA.

Como é possível notar, o processo de adequação à lei é relativamente complexo. As organizações terão que ser responsáveis com questões de privacidade na internet e proteção dos dados de seus clientes. Esse processo envolve algo que normalmente as organizações não fazem, que é analisar seus próprios dados. Oportunidades podem surgir dessa análise. Um dado que estava lá e pode ser usado em uma campanha de marketing ou no lançamento de um novo produto. Ou ainda, um dado que gera um diferencial competitivo que a organização tinha e nem mesmo sabia.

Como toda grande mudança de paradigma, a lei gera oportunidades e ameaças. Quem sair na frente e se adequar rapidamente, terá um diferencial competitivo e um oceano azul de oportunidades. Por outro lado, quem deixar para a última hora, vai correr o risco de receber altas multas e sofrer um dano na sua imagem. Além disso, uma adequação feita às pressas e sem a mudança de cultura da organização é só “um monte de documentos” que dificilmente será mantido pela equipe. Correndo um alto risco do retrabalho para uma nova campanha de adequação.

O leitor deve estar se perguntando, mas qual a Data de Vigência da Lei? Essa é uma dúvida interessante. A Medida Provisória (MP) nº 869 alterou a entrada em vigor da Lei de 15 de fevereiro de 2020 para 15 de agosto de 2020. Entretanto, a Medida ainda não foi aprovada pela Câmara dos Deputados e pelo Senado. E caso a aprovação não ocorra até 04 de junho, volta a vigorar o texto original da Lei, ou seja, A Lei volta a vigorar a partir de 15 de fevereiro de 2020.

E aí, sua organização está preparada?

Sobre o autor:

Sidnei Fernando da Silveira, advogado, graduado em Sistemas da Informação, especialista em Direito Digital, gerente do núcleo de Direito Digital na Nemetz & Kuhnen Advocacia, com 20 anos de experiência em Segurança da Informação e Entusiasta da Lei Geral de Proteção de Dados, da GDPR, do Modelo PCI DSS e das Normas ISO 27.001, 22.301, 29.134, 19.600 e 37.001.

Sobre a Nemetz & Kuhnen Advocacia

Nemetz & Kuhnen Advocacia, novo cliente Fácil | Espaider, é uma sociedade de advogados fundada em 1984, na cidade de Blumenau/SC, que atua em todo o território nacional, bem como, no exterior, em atividades judiciais e extrajudiciais, especialmente nos setores empresarial, de saúde, esportivo, tributário, trabalhista, dentre outros.

O escritório fornece um serviço completo de adequação à LGPD, que vai desde o levantamento da situação atual até o fornecimento do serviço de atualização constante dos controles e terceirização da responsabilidade legal por proteção de dados (DPO). Os mesmos possuem um núcleo específico de Direito Digital, com uma equipe altamente qualificada e certificada, internacionalmente, em proteção de dados. Toda adequação é baseada nas principais normas de mercado e no modelo amplamente utilizado na Europa.

Fonte: www.nkadvocacia.com.br

Publicado em: 28/05/2019 11:14:49