Falta pouco mais do que um ano para a Lei Geral de Proteção de Dados (LGPD) entrar em vigor. Segundo Edgar D’Andrea, as instituições que ainda não nomearam um Encarregado de Dados estão atrasadas e provavelmente não estarão em conformidade com a Lei em 16 de Agosto de 2020.
Edgar que é sócio e especialista em Cibersegurança e Privacidade da PwC Brasil, nos recebeu juntamente com Maressa Juricic, gerente sênior em Cibersegurança e Privacidade, para uma conversa sobre os impactos e repercussões da LGPD.
Diferentemente do Marco Civil da Internet, a Lei Geral de Proteção de Dados vai a fundo na questão, especificando os conceitos e elementos fundamentais da proteção de dados, ou seja, as bases legais que acomodam a legitimidade de uma coleta ou tratamento de dados. “Acredito que o Brasil precisa amadurecer em termos de cultura. Nós nunca nos preocupamos muito com a privacidade de dados, enquanto que em outros países, principalmente na Europa, isso é mais forte”, disse Edgar, e complementa, “A Lei tem o propósito de disciplinar. Existe o uso indiscriminado de dados pessoais por empresas que vendem suas informações, muitas vezes sem você saber”.
Em relação a isso, recentemente surgiram discussões sobre o aplicativo FaceApp. Que, no caso, recolhe dados mediante autorização do usuário. Para “descobrir” como será a sua aparência ao envelhecer através de filtros, o usuário concede acesso à empresa russa Wireless Lab, criadora do app. Segundo a sua política de privacidade, será construída uma base de dados no que diz respeito, por exemplo, ao histórico de navegação do browser: nomes de domínio, emails abertos ou links que os destinatários clicam. Ainda que a empresa informe que existam mecanismos para que um usuário em específico não seja identificado, ela confirma que as informações podem ser partilhadas com empresas terceiras.
Maressa completa dizendo que o timing da aprovação da LGPD logo após a GDPR – General Data Protection Regulation, provavelmente está relacionada à uma pressão comercial para o estabelecimento de negócios a nível global.
As empresas poderão coletar e tratar dados segundo dez princípios: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, e responsabilidade e prestação de contas. Edgar exemplifica com a minha entrada no prédio, no qual dados pessoais são requeridos. Segundo ele, a finalidade é a segurança de acesso, e a necessidade é exigência contratual da empresa prestadora do serviço de segurança, informado com transparência no momento da coleta.
“Eu até brinco, uma vez fui fazer uma cirurgia ortopédica em um hospital e uma moça perguntou a minha religião, e eu disse: Eu quero viver, mas se eu morrer você pode chamar qualquer um que me leve para o céu”, disse o especialista. Logo depois perguntou o motivo da pergunta e foi informado que segundo algumas religiões, não é permitido a transfusão de sangue. “Então eles perguntaram a minha religião para inferir se era possível ou não um procedimento médico. A pergunta está errada, não há transparência, e o dado que se coleta, a religião, não é necessário. É um exercício para as empresas avaliarem quais dados são coletados e sob quais bases legais ele está legitimado.”
Uma figura essencial nesse contexto é a do, mencionado acima, Encarregado de Dados, também chamado de Data Protection Officer (DPO). No Brasil não há formação específica para este cargo, e Maressa acredita que isso seja um ponto positivo. “Tem que ser uma pessoa que conheça do tema privacidade de dados, e que consiga trabalhar entre as áreas. Ele não vai fazer a gestão sozinho, em alguns momentos precisará da TI, outros do jurídico, controles internos, auditoria…É importante que a pessoa não esteja em um conflito entre deliberar e executar. Ela deve ser independente, e saber lidar com órgãos reguladores.”
Edgar destaca que, apesar do Encarregado de Dados ser um cargo importante e fundamental em todas as instituições, deve haver um treinamento para que todos na empresa tenham condições de fazer o seu próprio julgamento. “Existe um conceito interessante que é o privacy by design, ou seja, pensar em conceitos de privacidade, coleta e tratamento de dados desde o início do processo. No caso de um aplicativo, o Encarregado seria o responsável por validar o fluxo de coleta, por exemplo, mas ele não pode ser o funil do tema. Em situações corriqueiras, a orientação já está dada pela Lei”.
A principal particularidade das instituições de saúde é que elas lidam basicamente com dados sensíveis. De acordo com a gerente, atualmente provedores se utilizam dos dados dos pacientes para outras finalidades além do tratamento exclusivo da sua saúde, como para desenvolvimento de novos produtos ou aumento de experiência, através de data lakes. A partir do vigor da LGPD, provavelmente essa atividade se adequará na base legal do consentimento. “Mas temos que observar que o consentimento tem que ser específico. Colocar na política de privacidade que os dados serão utilizados para melhorar a experiência ou produto, sem dizer exatamente para quê, de qual forma e quando, é genérico”, diz Maressa. As outras bases legais, além do consentimento, são: cumprimento de obrigação legal, execução de políticas públicas, estudos por órgãos de pesquisa, execução de contrato, exercício regular de direitos, proteção da vida, tutela da saúde, interesse legítimo e proteção de crédito.
“Não há problema se a instituição descaracterizar o dado, ou seja, anonimizar. Mas para isso há uma técnica sofisticada, não é somente excluir algumas colunas do Excel”, diz Edgar. A movimentação interna de dados, de forma irregular segundo a Lei, é muito mais intensa do que as empresas imaginam, e caso alguma informação vaze, haverão sanções administrativas.
O órgão que regulará a atuação das empresas em relação a isso é a Agência Nacional de Proteção de Dados (ANDP), criada em julho deste ano. A agência poderá advertir as instituições impondo prazos para adoção de medidas corretivas, até multar em R$ 50M por infração realizada, somando-se no máximo a 2% de seu faturamento. Maressa diz que a tendência é a ANDP visar primeiramente grandes empresas e fazê-las de exemplo para o setor nas fiscalizações.
De modo geral, os executivos explicam que o roadmap para a adequação à lei se divide em três principais pontos. O primeiro é definir o Encarregado e dar a ele os fundamentos necessários para gerir o tema dentro da empresa, como orçamento para treinamentos de equipes que lidam com dados pessoais. O segundo passo é o mapeamento de dados pessoais existentes na empresa: quais dados são coletados, como ocorre o tratamento e armazenamento, além da revisão de contratos e políticas internas. Nessa etapa serão validados os fluxos de dados, legitimidade e bases legais. O terceiro é a elaboração de um relatório de riscos e planejamento estratégico para a implantação de um programa de privacidade.
“É importante que os executivos da alta administração de qualquer empresa deem atenção para este tema. Se houver um vazamento de dados de agosto a dezembro do ano que vem, essa empresa muito provavelmente será punida e terá um impacto na sua imagem muito forte. Se uma empresa não tem um plano até setembro deste ano, dificilmente ela se adequará com tranquilidade à Lei”, finaliza Edgar