Lei Geral de Proteção de Dados: impactos e mudanças no uso e na coleta de dados pessoais

WHITEPAPER

Índice

Introdução

#1 Uso indevido de dados

#2 As regulações começam

#3 Quais são seus principais conceitos?

#4 Lei brasileira se inspira na GDPR

Proteção às crianças e aos adolescentes Dados pessoais sensíveis

#5 Confira 9 pontos para entender melhor a LGPD

#6 Desafios e oportunidades

Autorização do cliente

#7 Quais os impactos da LGPD para os negócios jurídicos?

Um novo paradigma dentro e fora

3

4

5

6

7

89

10

12

13

14

15

3

A cada dia, os cidadãos deixam uma trilha de dados pessoais nas suas interações corriqueiras, tanto as analógicas quanto as digitais. Ao fazer um cadastro físico ou uma compra on-line, fornecem informações importantes, como CPF, RG e endereço, aparentemente sem se preocupar com a segurança de dados. A mesma coisa ocorre quando se usa a impressão digital para fazer a identificação biométrica em agências bancárias ou em aeroportos, entre outros.

Nos últimos anos, o uso indevido de cadastros financeiros de consumidores provocou um número enorme de reclamações. Segundo levantamento feito pelo Instituto Brasileiro de Defesa do Consumidor (IDEC), queixas envolvendo problemas com transparência e uso inadequado de dados pessoais cresceram 1.134% entre 2015 e 2017. A principal reclamação, com 63% dos apontamentos, é referente à publicação, consulta ou coleta de dados pessoais sem autorização do consumidor. Mas, em 2020, passa a valer no Brasil a Lei Geral de Proteção de Dados.

Estabelecer princípios e critérios para a coleta de dados é essencial para garantir que eles não sejam utilizados para atender a interesses comerciais, contra a vontade dos cidadãos, ultrapassando limites éticos e legais.

Introdução

4

Uso indevido de dados

Relevante com o uso do Big Data e cada vez mais central no compliance das empresas, o tema saiu das áreas Jurídica e de TI para tomar as conversas mainstream após o The Guardian denunciar que a empresa Cambridge Analytica teria coletado dados pessoais de 87 milhões de usuários da rede social Facebook, fomentando um sistema que permitiu influenciar as escolhas eleitorais em diversos países, dentre eles os Estados Unidos da América, na disputa presidencial que elegeu Donald Trump em 2016.

A Cambridge Analytica se aproveitou de uma “brecha” nas normas então vigentes da plataforma social — que, à época, permitia que aplicativos externos coletassem dados de usuários e de sua rede de amigos com o objetivo de aprimorar a experiência do próprio usuário.

Segundo estimativa da empresa de pesquisas Gartner, o investimento global em segurança da informação em 2017 foi de cerca de US$ 85 bilhões, valor recorde com aumento de 7% sobre o total aplicado em 2016. Para 2018, os gastos globais com produtos e serviços relacionados à segurança da informação

vão ultrapassar US$ 114 bilhões em uma alta estimada de 34,1%. O ritmo deve até arrefecer um pouco, mas se manterá alto em 2019, período para o qual a empresa projeta o crescimento em mais 8,7%.

Mesmo assim, 2017 testemunhou altas perdas causadas por ciberataques, como os ransomware WannaCry e Petya/notPetya, que causaram prejuízos estimados entre US$ 5 bilhões e US$ 10 bilhões.

O WannaCry é um ransomware, software malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário.

Já o Petya/notPetya também é um software mal-intencionado, inicialmente de tipo ransomware, descoberto em 2016. Posteriormente, analistas descobriram que o malware havia evoluído. Desde então, tem sido tratado como um wiper (exterminador), cuja característica é provocar destruição do acesso ao computador sem mesmo exigir um resgate, ou com pagamento, sem efeito de recuperação.

5

As regulações começam

Com isso, as pautas de segurança de dados se tornaram prioritárias e, em maio de 2018, entrou em vigor o Regulamento Geral sobre a Proteção de Dados (European General Data Privacy Regulation, GDPR na sigla em inglês).

O GDPR é um projeto para proteção de dados e identidade dos cidadãos da União Europeia que começou a ser idealizado em 2012 e foi aprovado em 2016. Embora a região já tivesse leis relacionadas à privacidade, elas datavam de 1995 e, mesmo com atualizações, não correspondiam ao cenário tecnológico atual.

Com o reforço das regulações de proteções de dados dos cidadãos da Europa, todas as empresas de pequeno, médio e grande portes terão que investir em cibersegurança.

Além disso, ela afeta qualquer empresa do mundo, incluindo as brasileiras, uma vez que a nova lei protege qualquer pessoa na União Europeia, mesmo os não cidadãos. Também se aplica a qualquer empresa que lide, monte perfis e direcione serviços e ofertas a esses consumidores. Ou seja, a mudança é global.

Essa nova legislação está forçando mudanças na maneira como as empresas lidam com os dados on-line e off-line dos seus usuários. É um novo paradigma da segurança de dados.

6

Quais são seus principais conceitos?

Essa regulação cria um novo patamar de responsabilidade, prestação de contas, transparência e, claro, privacidade. Outro conceito importante nessa discussão é o de Data Protection by Design, ou proteção de dados por design, que estabelece a importância central da proteção de dados e privacidade no desenvolvimento de negócios, produtos e serviços.

As multas pela não conformidade começam em 10 milhões de euros ou 2% do faturamento anual global, podendo chegar a 20 milhões de euros ou 4% do faturamento, prevalecendo sempre a maior quantia.

O escopo da GDPR é bastante amplo. Informação pessoal (sensível ou não) se refere aos dados concedidos pelo cliente. Já informação comportamental diz respeito aos dados coletados pela organização a partir da observação do cliente.

Baseada em governança, gestão de dados e transparência, a GDPR já é vista como uma nova era da proteção de dados e privacidade. Inclusive já abriu oportunidade para novas profissões, como diretor de proteção de dados, além de potencializar a criação de centenas de milhares de vagas de empregos.

A nova regulação protege o sujeito de dados (indivíduo identificável a quem as informações e dados se referem), no processamento das informações (coleta, uso, compartilhamento, armazenamento, gerenciamento e exclusão) compartilhadas com controladores de dados (quem determina o propósito e os meios do processamento de dados) e processadores de dados (que operacionaliza esse processamento em nome do controlador).

SUJEITO DE DADOS

CONTROLADORES DE DADOS

PROCESSADORES DE DADOS

PROCESSAMENTO DAS INFORMAÇÕES

7

Lei brasileira se inspira na GDPR

No Brasil, foram oito anos de discussão até se chegar à aprovação da Lei Geral de Proteção de Dados (LGPD), inspirada na GDPR, que foi sancionada em 14 de agosto de 2018. Aprovada em regime de urgência, por conta do mesmo incidente ocorrido com os dados de usuários do Facebook, a lei brasileira entra em vigor em 2020. A LGPD, assim como a GDPR, visa garantir maior controle dos cidadãos sobre suas informações pessoais.

Enquanto o Marco Civil da Internet permite apenas o tratamento de dados pessoais, mediante a obtenção do consentimento do titular dos dados, a LGPD estabelece dez hipóteses para o tratamento de dados. Isso inclui, além do consentimento, o interesse legítimo do controlador ou de terceiro, a necessidade de cumprimento de contrato ou de obrigação legal ou regulatória.

A LGPD estabelece regras específicas para a obtenção do consentimento, que poderá ser nulo caso se trate de uma autorização genérica ou se baseado em informações com conteúdo enganoso ou abusivo. O tratamento de dados pessoais apontados como públicos deve considerar a finalidade originária, a boa-fé e o interesse público que justificaram a disponibilização de tais dados.

8

Proteção às crianças e aos adolescentes

Assim como a norma europeia reconhece que crianças e adolescentes precisam de maior proteção, a brasileira também prevê essa preservação. A GDPR estabelece que essa proteção específica deve ser aplicada à utilização de dados pessoais de crianças e adolescentes para efeitos de comercialização, de criação de perfis e na coleta de dados pessoais em serviços disponibilizados diretamente a eles.

Para serviços da sociedade da informação, os pais ou responsáveis devem consentir na coleta e tratamento de dados de pessoas com até 16 anos de idade. Essa é uma inovação fundamental, pois a atividade de tratamento de dados no universo digital é caracterizada por ser ainda abstrata, pouco transparente e com alto grau de complexidade. Assim, a capacidade de observação e entendimento por crianças e adolescentes desse processo é extremamente limitada, sendo necessária uma mediação externa para equilíbrio desta relação comercial.

As crianças têm, ainda, direito especial ao apagamento de dados quando atingem a maioridade legal. Isso porque, ao longo de sua vida digital, poderiam não ter plena possibilidade de analisar os riscos relacionados ao livre desenvolvimento da personalidade, à construção da reputação; além do impacto dos rastros digitais no futuro – na vida profissional, no acesso aos serviços de saúde, de educação e de bens culturais e informacionais diversos.

E, com relação à publicidade, perfilamento, direcionamento e processos de análise e categorização, a regra europeia diz que o legítimo interesse do controlador dos dados para efetuar o tratamento não se aplica no caso de dados de crianças e adolescentes, o que impede o tratamento sem o conhecimento dos pais, restringindo seu uso para fins econômicos.

O entendimento consolidado na regra europeia serviu de parâmetro e inspiração para o Brasil, já que está em plena consonância com a doutrina de proteção integral, adotada pela legislação brasileira no Artigo 227 da Constituição Federal. Tal artigo garantiu a crianças e adolescentes prioridade absoluta de seus direitos, uma obrigação compartilhada por todos nós: Estado, famílias e sociedade – inclusive empresas de tecnologia e plataformas digitais.

9

Dados pessoais sensíveis

Outro aspecto que ambas as leis consideram é relativo ao tratamento de dados sensíveis. O conceito de dado pessoal sensível é oferecido pela própria LGPD em seu art. 5º, II: “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

A definição é muito semelhante à adotada pela GDPR europeia, categórica ao afirmar, em seu art. 9º, que “é proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa”.

Há uma série de regras com as quais empresas e outras organizações atuantes no Brasil terão que estar em compliance. Isso vai permitir mais controle sobre o tratamento que é dado às informações pessoais do cidadão.

10

Confira 9 pontos para entender melhor a LGPD

A principal meta é garantir a privacidade dos dados pessoais dos cidadãos e permitir um maior controle sobre eles. A lei cria regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, ajuda a promover o desenvolvimento tecnológico na sociedade e a própria defesa do consumidor.

A lei atinge todos os setores da economia, além de ter aplicação extraterritorial. Ou seja, toda empresa que tiver negócios no Brasil deve se adequar a ela. Quando o tratamento de dados pessoais for baseado no consentimento, o controlador deve manter documentação comprobatória da sua obtenção em conformidade com a lei. Os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados. A notificação de qualquer incidente será obrigatória. É prevista, ainda, a criação da Autoridade Nacional de Proteção aos Dados (ANPD), por ora vetada, mas passível de criação pelo Executivo por meio de medida provisória ou de novo projeto de lei.

Data Protection Officer: as organizações devem estabelecer um Comitê de Segurança da Informação para analisar os procedimentos internos. Dentro deste órgão haverá um profissional exclusivo para a proteção dos dados e responsável pelo cumprimento da nova lei.

Avaliação da maturidade dos processos e impacto de riscos: é o levantamento de quais situações devem ser corrigidas pela empresa para a garantia de que a LGPD seja cumprida em todos os departamentos.

Redução da exposição ao risco: essa é a etapa de implementação das medidas para proteger os dados pessoais na base da empresa. Elas podem ser de segurança, técnicas e administrativas, que evitam, combatem ou minimizam a perda ou indisponibilidade de ativos de informação devido a ameaças que atuam sobre algumas vulnerabilidades.

1

2

3

4

5

11

Adoção do Privacy by Design: aborda a proteção desde a concepção do produto ou sistema, sendo incorporada diretamente às estruturas tecnológicas, ao modelo de negócio e à infraestrutura física. Ou seja, a privacidade está presente na própria arquitetura, permitindo que o próprio usuário seja capaz de preservar e gerenciar a coleta e o tratamento de seus dados pessoais.

Cumprimento dos subcontratantes: a LGPD estende-se também aos subcontratantes de uma empresa, como fornecedores e parceiros de tecnologia. Eles também ficam sujeitos às obrigações e podem realizar pagamentos de indenização, por exemplo.

Multas: a nova lei prevê sanções para quem não tiver boas práticas. Incluem advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar desde 2% do faturamento do ano anterior até R$ 50 milhões, passando por penalidades diárias.

Parceiro especializado: lidar com essa situação enquanto tenta administrar o negócio não é fácil. Um parceiro especializado pode auxiliar nesse período de transição, possibilitando um maior conhecimento e aplicação de medidas eficientes para o cumprimento da lei.

6

7

8

9

12

Desafios e oportunidades

Segundo estudo da Brasscom e da consultoria Frost & Sullivan, a nova lei irá proporcionar um ambiente de negócios seguro que potencialize a atração e materialização de investimentos na ordem de R$ 250 bilhões em tecnologias de transformação digital até 2021.

Com essa aprovação, as organizações, terão muito trabalho pela frente para se adaptar e garantir a segurança dos dados de seus clientes e fornecedores. Por isso seria bom contar com parceiros estratégicos que pudessem fornecer soluções com compliance e certificações.

Com um software jurídico inteligente, os escritórios otimizam as operações do Direito ao aliar inteligência, informação e gerenciamento de dados. Além disso, asseguram uma atuação preventiva atuação preventiva para tomar decisões mais estratégicas e mitigar riscos.

Um sistema jurídico único permite responder a diferentes demandas de diversos setores, tanto em escritórios de advocacia como em departamentos jurídicos, sejam eles estruturas enxutas, em crescimento, ou grandes organizações que gerenciam assuntos de alta complexidade.

13

Autorização do cliente

As organizações públicas e privadas só poderão coletar dados pessoais se tiverem o consentimento do titular. Ou seja, a empresa deve solicitar a autorização do cliente de maneira clara para que ele saiba o que vai ser coletado, para quais fins e se haverá compartilhamento.

Se houver mudança de finalidade ou repasse de dados a terceiros, um novo consentimento deverá ser solicitado. O usuário poderá, sempre que desejar, revogar a sua autorização, assim como pedir acesso, exclusão, portabilidade, complementação ou correção dos dados.

São muitas demandas e obrigações jurídicas para que as organizações estejam em compliance, afetando — sobretudo — os departamentos e fornecedores jurídicos. No Brasil, deverá haver a criação de novos papéis para profissionais nas empresas e organizações, além de outras demandas jurídicas, exigindo mais compliance local e global de empresas e escritórios.

Se o uso dos dados prejudicar um cliente, por meio de uma decisão automatizada como a recusa de financiamento por um sistema bancário, o usuário poderá pedir uma revisão humana do procedimento.

14

Quais os impactos da LGPD para os negócios jurídicos?

A partir de agora, os diretores jurídicos serão ainda mais importantes para as empresas, pois alertarão a consciência coletiva para a importância da regulação para a corporação em um contexto globalizado e digitalizado. Mesmo nas etapas de inventário de dados e eventuais auditorias, o diretor jurídico terá demandas estratégicas, conceituais e táticas contínuas e robustas.

Uma nova possibilidade de atuação para consultores e profissionais corporativos em empresas sujeitas às novas normas é o papel do Data Protection Officer. Ele será o responsável por aconselhar e verificar se as empresas estão obedecendo à LGPD, ao processar ou tratar dados pessoais de terceiros. Isso dará mais segurança jurídica às empresas e melhor relacionamento com os clientes, além de segurança cibernética aprimorada e melhoria no gerenciamento dos dados.

Os executivos de escritório precisam estar preparados para atender às demandas desse tipo de cliente e para adequar seus serviços, operações e políticas às exigências da LGPD no processamento de informações. O profissional bem preparado nessa área será um aliado valioso para o compliance e competitividade de empresas em contextos de digitalização global.

A nova regulação provoca uma profunda mudança de paradigma, que passa a priorizar responsabilidade ativa, flexibilidade, importância do contexto e da cooperação.

15

Um novo paradigma dentro e fora

Procurar um parceiro confiável para implementar soluções de negócios que ajudem no cumprimento das obrigações da Lei Geral de Proteção de Dados facilitará a vida de empresas e escritórios, trazendo a possibilidade de gerenciar a segurança dos dados, a adequação de formulários, as permissões de acesso, a rastreabilidade do sistema e outros requisitos técnicos e legais.

Os avanços tecnológicos e as novas regulações de proteção de dados criam um contexto mais exigente quanto ao gerenciamento de segurança – e o desafio de adaptar seus processos, profissionais e ferramentas. Após esta leitura, mantenha-se atualizado em nossa Biblioteca de Conteúdo, compartilhe seus aprendizados e entre em contato com a Thomson Reuters para encontrar as soluções, com certificação e em compliance com a GDPR, para suas necessidades. Estamos em compliance com a LGPD e temos a ISO 27001.

Quer saber mais sobre regulações de segurança de dados e privacidade?

Conheça as obras Comentários ao GDPR e Lei Geral de Proteção de Dados Pessoais Comentada, do selo editorial Revista dos Tribunais.

16

Solicite um contato: 0800 702 2433thomsonreuters.com.br

Confira outros materiais em nossa Biblioteca de Conteúdos:bit.ly/bibliotr