Em um mundo conectado 24 horas por dia, 7 dias por semana, o número de informações compartilhadas é absurdamente alto – ao navegar pela internet, os usuários preenchem formulários, atualizam programas, acessam inúmeras páginas ficando, muitas vezes, vulneráveis no que diz respeito à privacidade de seus dados. Esse panorama deve mudar quando a população conhecer mais sobre a Lei Geral de Proteção de Dados (LGPD).
LGPD – Lei Geral de Proteção de Dados
A LGPD é a lei de privacidade que prevê uma relação mais segura e transparente entre empresas e clientes, com a proteção contra o uso abusivo de dados e a conscientização da população sobre a importância do tema. Entretanto, boa parte da população ainda desconhece qual é a Lei (LGPD) e os seus direitos e, segundo uma pesquisa realizada com consumidores pela Capterra sobre a entrada em vigor da LGPD, até setembro de 2020, 71% dos entrevistados afirmaram que não haviam entrado em contato com empresas para tratar sobre questões de seus dados pessoais.
Vale lembrar que se compreende como dados pessoais toda e qualquer informação de natureza pessoal. O tratamento de dados consiste nas operações realizadas com os dados pessoais, sua coleta, classificação, utilização, acesso, processamento, armazenamento, reprodução, eliminação, controle de informação e outros.
A lei cita regras claras para o tratamento dos dados e prevê um sistema de regulação e fiscalização, assim como penas que podem ser aplicadas em caso de descumprimento da legislação. Quando a infração é comprovada, a empresa pode receber multa, além de penalidades administrativas que estão previstas na lei, como advertência com ou sem medidas corretivas, bloqueio ou eliminação de dados pessoais irregulares, suspensão parcial do funcionamento do banco de dados e proibição total ou parcial da atividade de tratamento.
Fiscalização LGPD
De acordo com a Lei, o órgão responsável pela fiscalização da LGPD é a ANPD – Autoridade Nacional de Proteção de Dados – órgão da administração público federal. Formada por 23 representantes, a ANPD tem por obrigação fiscalizar o cumprimento da legislação; aplicar as sanções previstas em lei; editar normas e procedimentos; zelar pela proteção dos dados pessoais; implementar formas de registros de reclamações; solicitar informações às empresas quanto o tratamento de dados.
Caso Cyrela
Aprovada em 2018, a LGPD já está em funcionamento no Brasil e, em 2020 teve a sua primeira condenação. A empresa Cyrela, sediada em São Paulo (SP) e considerada uma das maiores empresas do ramo imobiliário do país, recebeu uma sentença contra suas operações de tratamento de dados, após denúncia de que a companhia compartilhou indevidamente dados pessoais e de contato de seus clientes, gerando ligações de terceiros para venda de serviços como mobílias e outros.
A empresa foi autuada e obrigada a pagar uma multa indenizatória de R$10 mil, com adicional de R$300 por cada contato compartilhado novamente no futuro. O caso foi julgado pela 13ª Vara Cível de São Paulo e, ainda, foi considerado pela juíza do caso uma infração ao Código de Defesa do Consumidor e à Constituição Federal.
Esse foi o primeiro, mas não o único caso de sanção. Nextel, Serasa Experian e Mercado Livre, entre outras, também foram punidos pela LGPD.
Os primeiros passos
Diante das exigências da Lei, é essencial que empresas que lidam com dados pessoais se adequem o mais rápido possível, a fim de evitar possíveis problemas com a legislação. Isso já está acontecendo, mas em passos lentos.
Uma pesquisa feita pela IBM Security com 524 empresas mostra que, quando se trata da implementação de automação e segurança para mitigar o problema de vazamento de dados, o Brasil está abaixo da média global (215): apenas 15% das empresas já a implementou completamente; 33% parcialmente e 52% não implementaram.
Como consequência, quando há vazamento de dados, as empresas brasileiras demoram pouco mais de oito meses para identificar o problema e três meses e meio para contê-lo. Esse cenário pode mudar com adequação das empresas à Lei Geral de Proteção de Dados. Os primeiros passos são:
– Identificação:
Saiba quais são os dados pessoais utilizados pela empresa, quais departamentos fazem uso da informação e quais são os responsáveis pela captação, armazenamento e uso de dados.
– Avaliação:
Avalie se existe a real necessidade para que o negócio utilize os dados identificados, como estão sendo protegidos e por quanto tempo são mantidos.
– Ferramentas:
É preciso criar mecanismos e processos para controlar o tratamento dos dados pessoais.
– Medidas de segurança:
A adoção de medidas de segurança para proteção de dados deve ser usada para precaver as empresas em casos de situação do vazamento de dados pessoais.