Em razão do coronavírus, as autoridades do nosso país decretaram quarentena como medida de combate ao vírus. Diante disso, o governo de São Paulo declarou que desde o dia 9 de abril está monitorando os pontos de aglomeração de pessoas através de seus celulares. A iniciativa dividiu opiniões e levantou o seguinte questionamento: como fica a proteção de informações pessoais e privacidade da população?
A atitude do governo de São Paulo
Primeiramente, vamos explicar mais sobre a iniciativa do governo de São Paulo.
No dia 9 de abril o estado de São Paulo lançou um sistema de monitoramento com ajuda de sinais de celulares. Esses sinais são cedidos por antenas de quatro operadoras de telefonia e permitem saber se as pessoas estão em casa e identificar pontos de aglomerações de pessoas.
Através de mapas de calor indicados pelo sistema, as cores quentes ou vermelha indicam os bairros onde há maior movimentação e, as áreas verdes, onde há menos gente circulando.
Segundo o prefeito da cidade, João Doria, dessa forma será possível identificar os locais onde existe concentração de pessoas e realizar ações de isolamento e orientações nesses lugares.
Mas e como fica a privacidade das pessoas?
Em função desse questionamento iremos trazer informações acerca de uma lei muito importante: a Lei Geral de Proteção de Dados ou LGPD.
Essa lei entraria em vigor em AGOSTO de 2020, contudo, é provável que seja adiada para começar a valer em 2021.
Porém, será que sua empresa realmente precisa de uma lei para começar a prestar atenção nos dados de seus colaboradores e clientes?
Você gostaria que seus dados fossem usados por outras pessoas de forma indevida? Provavelmente, não!
Por isso, é importante sua empresa começar a respeitar os dados que são confiados a ela. Isso não é sobre Lei, pelo menos por enquanto. Mas já é sobre ética.
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) foi criada com a intenção de ser a base do sistema protetivo dos dados pessoais no Brasil. Essa lei foi inspirada na Lei europeia General Data Protection Regulation (GDPR), tendo diversas semelhanças, e levou o Brasil para figurar dentro do cenário internacional de proteção de dados.
A principal idéia da lei pode ser resumida da seguinte forma: os dados pessoais, como o próprio nome já diz, pertencem às pessoas e por essa razão não podem ser tratados por quem utiliza esses dados – pessoas físicas ou empresas – da forma que bem entendem.
Para utilização desses dados terão que buscar um fundamento, o que muitas vezes será o consentimento do titular dos dados. A própria lei traz um rol de fundamentos possíveis para justificar a utilização correta de dados pessoais.
A quem a Lei Geral de Proteção de Dados Pessoais se aplica?
A lei aplica-se a todas as operações de tratamento de dados realizados por pessoa natural, empresas ou pelo Poder Público, independente do meio – digital ou físico – do país de sua sede ou do país em que estejam localizados os dados
E o que efetivamente são dados pessoais?
Ponto fundamental para compreensão da lei é conceituar o que se entende por “dados pessoais”.
O dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável. E aí podemos dar como exemplo o nome, placa do carro, RG e CPF.
É bom frisar que dados pessoais indiretos que permitam a identificação de uma pessoa também deverão seguir o procedimento da lei. A localização de GPS a princípio não identifica uma pessoa, contudo, em certas circunstâncias pode permitir essa identificação, o que configura o dado em pessoal.
Ocorre que alguns dados são tão importantes por fazerem parte de uma esfera central de informações pessoais e privacidade do ser humano que a lei conferiu um tratamento mais rigoroso, são os chamados “dados pessoais sensíveis”.
São sensíveis os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
É bom registrar que embora os dados pessoais sejam dos titulares, o produto de tratamento dos dados é da empresa. Tudo que a empresa extrair dos seus dados, para formar um banco de informações (veja bem que aqui não é banco de dados) é produto dela, apesar de ser proveniente de seus dados.
Para exemplificar:
Uma farmácia coleta seus dados e a partir de então, passa a registrar todas as suas compras. Ao fim de certo período, ela consegue identificar quais os produtos que certo grupo de pessoas (faixa de idade de 30 a 40 anos) mais consome no estabelecimento, e por isso, passa a expor esses produtos de forma mais atraente já que essa faixa de idade faz parte do seu público alvo. Essa informação é produto da análise dos dados e é de propriedade da empresa.
Mas por que os dados são tão importantes?
Vivemos atualmente o que muitos chamam de Era dos Dados. É comum ouvirmos, desse modo, que os dados são o novo petróleo do mundo. Basta pensar que hoje já se diz em economia movida a dados “data-driven economy” em função do número crescente de atividades comerciais que cada vez mais estão centradas na extração e uso de dados pessoais.
A evolução da tecnologia permitiu que por meio de análise de dados fosse possível a entrega de produtos e serviços cada vez mais assertivos e customizados o que gera uma vantagem competitiva em relação a quem não possui estas informações.
Quem possui dados tem informação. E quem tem informação sai na frente da concorrência, conseguindo identificar perfis de consumo, potencialidades de mercado e diversas outras possibilidades lucrativas. Por isso, iniciou-se um negócio rentável de compartilhamento de dados que acabou por desconsiderar, muitas vezes, a própria privacidade dos cidadãos.
E o que pode ser considerado tratamento de dados?
É toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informação, modificação, comunicação, transferência, difusão ou extração.
Ou seja, a lei se aplica da farmácia do seu bairro, passando pelo seu dentista e chegando até a loja virtual em que você compra produtos.
Há algumas hipóteses expressas em que a lei determina que a LGPD não se aplicará, dentre as quais podemos destacar o tratamento de informações pessoais e privacidade realizado por pessoa natural para fins exclusivamente particular e sem finalidade econômica, bem como aquele tratamento realizado para fins exclusivamente jornalístico, artísticos ou acadêmicos.
O que a proteção de informações pessoais e privacidade tem a ver com ética
Como gostamos de falar por aqui, nós temos uma missão: conseguir contribuir para a criação de empresas que buscam um comportamento ético com seus clientes, colaboradores e fornecedores.
Construir um ambiente saudável apenas irá fortalecer os negócios e as relações pessoais envolvidas. Porque, no final, tudo refere-se a pessoas, inclusive as empresas. Assim, a sua empresa não deve buscar apenas o cumprimento das leis, mas, sobretudo, a ética que independe da existência de uma imposição do Estado.
Basta pensar: se não existissem leis, a sua empresa seria reconhecida por tomar atitudes corretas, ou não?
Riscos de não cumprir a lei de proteção das informações pessoais e privacidade
O risco que mais chama atenção de quem não cumpre a lei é a possibilidade de receber multas pesadíssimas da Autoridade Nacional de Proteção de Dados (ANPD).
A lei prevê multa de até 2% do faturamento da empresa, no seu último exercício, limitado a R$ 50.000.000,00 (cinqüenta milhões de reais) por cada infração cometida.
Contudo, esse pode não ser o risco mais importante.
Há outros riscos mais evidentes como, por exemplo, a possibilidade de sofrer processos judiciais dos clientes da empresa. A imagem das empresas que não protegem devidamente as informações pessoais e privacidade de seus clientes será manchada e poderá impactar nos negócios.
A ocorrência de vazamento de dados obrigará a empresa a adotar uma atitude para conter o dano, o que pode significar um custo muito maior que a prevenção do mesmo.
Enfim, os perigos para empresas que não cumprem a lei são diversos, achar que “a lei não vai pegar” é uma aposta fadada ao fracasso, já que a criação de leis protetivas de dados é uma tendência mundial em países democráticos e está cada vez mais sendo evidenciada.
Como adaptar a minha empresa e proteger as informações pessoais e privacidade dos meus clientes?
Agora você pode estar se perguntando: como faço para adaptar a minha empresa para que ela possa cumprir todas as normas legais? É necessário que sua empresa implemente a legislação de proteção de dados por meio de um programa de compliance digital.
Primeiramente é necessário que sua empresa faça um mapeamento dos dados que realiza tratamento, de modo a verificar quais são necessários e quais poderiam ser descartados. Após, deverá ser feito uma análise de riscos para saber quais são as questões prioritárias a serem resolvidas pela empresa.
A partir de então será necessário revisar contratos, termos de uso, criar procedimentos e ter um novo mapeamento de toda a jornada de tratamento de dados na empresa, seja de clientes ou funcionários, de modo que cada tratamento de dado tenha por base um fundamento da lei e proteja as informações pessoais e privacidade de seus clientes.
A cultura da empresa deverá passar a tratar como tema de relevância a proteção de dados de terceiros, sendo necessário muitas vezes a realização de treinamentos para educação dos colaboradores.
Um ponto é fundamental: a implementação destas normas são específicas para cada modelo de negócio. É impossível copiar o programa de uma outra empresa, ainda que seja no mesmo ramo, para adaptar para sua empresa. Cada negócio tem suas próprias características e somente através de uma análise customizada será possível mitigar os riscos mais graves.
Conheça outros tipos de compliance para as empresas
Caso sua empresa necessite tirar dúvidas acerca dessa nova lei, entre em contato conosco. Somos certificados pela empresa holandesa EXIN – Privacy & Data Protection Essential – e poderemos lhe ajudar nessa jornada.
Mitos e verdades sobre a lei de proteção de informações pessoais e privacidade
Aproveitamos e separamos também um bloco especial com MITOS E VERDADES sobre a nova lei:
1) A empresa não poderá manter um banco de currículos, de modo indeterminado, para realização de processos seletivos.
VERDADE – A LGPD exige que haja o término dos dados, de modo que não serão mais permitidos banco de dados eternos. Caso a empresa queira guardar o currículo dos candidatos não selecionados para um posterior processo seletivo, deverá pedir o consentimento do candidato, bem
como informar o tempo em que manterá guardado o currículo em seu sistema.
2) A empresa deverá revisar todo o procedimento do setor do RH para identificar como ocorre o tratamento de dados dos seus funcionários.
VERDADE – A empresa deverá manter apenas os dados essenciais de seus funcionários, bem como deverá ter o procedimento para a exclusão dos dados de seus antigos funcionários.
3) A LGPD não será aplicada a minha empresa porque não faço negócios pela internet.
MITO – A LGPD não se aplica apenas a dados digitais, mas também a dados em meio físico de qualquer pessoa física, seja de consumidores, fornecedores e colaboradores.
Como vimos no conteúdo de hoje, a proteção de dados com informações pessoais e privacidade dos clientes – e da população em geral – é algo que está cada vez mais em evidência e deve ser levado muito a sério, evitando assim problemas futuros. Por isso, não deixe de entrar em contato para saber mais como o compliance digital pode ajudar a sua empresa a ficar protegida e em conformidade com a lei.
Envie sua dúvida pelo nosso whatsapp clicando aqui.