Diariamente as empresas coletam, armazenam e processam dados de milhões de clientes e usuários. O debate sobre a proteção destas informações se acirrou no Brasil, em 2018, ao se desenhar a LGPD – Lei Geral de Proteção de Dados, que estabelece uma série de regras sobre os processos de captura e compartilhamento de dados pessoais. A lei entrou em vigor em setembro de 2020, mas as punições previstas para empresas e órgãos públicos só passaram a valer em agosto de 2021. 

Neste contexto, as companhias de Tecnologia também têm responsabilidade. É atenta a esse importante movimento que, desde julho de 2021, a Minha Biblioteca busca atestar a aderência da empresa à LGPD, como um diferencial competitivo no mercado e seu nível de maturidade face às novas regras definidas pela lei, na proteção dos dados dos seus clientes. *

No mundo virtual ou físico, essa adaptação à LGPD ainda gera dúvidas em muitas empresas. Para esclarecer alguns dos principais pontos da lei e contribuir para a disseminação das boas práticas de Segurança da Informação, o Blog da Minha Biblioteca conversou com uma das maiores autoridades no assunto, Dra. Patricia Peck Pinheiro, PhD. Advogada especialista em Direito Digital, sócia do Peck Advogados e Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD) e autora de livros sobre o tema, publicados pela Saraiva Educação e Grupo Gen. Confira a entrevista.

MB – Quais os motivos que levaram a criação da LGPD? É possível descrever o cenário de segurança de dados no país, que tornou necessária a criação da lei?

Patricia Peck – A LGPD foi criada para ajudar na proteção dos direitos fundamentais de liberdade e privacidade das pessoas, e garantir que haja segurança jurídica e transparência na coleta e tratamento de dados pessoais. É uma regulamentação aplicada tanto para instituições privadas como públicas, que exige o cumprimento de princípios, direitos e obrigações com sujeição a penalidades. Consiste num recurso para aprimorar a governança dos dados pessoais pelas empresas, órgãos públicos e demais instituições, num conjunto de melhores práticas indispensáveis para garantir a sustentabilidade da sociedade digital.

O contexto para o surgimento da regulamentação foi o mesmo em diversos países do mundo: a era digital. Como a informação é um dos ativos mais valiosos de que dispomos, a proteção de dados é mais que uma prioridade. Não por acaso, em diferentes locais surgem novas leis para regulamentar o uso e o tratamento desses bens. Um dos principais exemplos é o General Data Protection Regulation (GDPR), resolução em vigor desde 2018, na União Europeia, e propulsora da criação da Lei Geral de Proteção de Dados (LGPD) no Brasil. Além disso, a promulgação da lei brasileira ocorreu junto a um momento de aumento de incidentes de vazamento de dados e sua entrada em vigor em plena pandemia da Covid-19, trazendo inúmeros desafios para sua implementação nas instituições.

MB – Quais os princípios trazidos pela regulamentação brasileira e como se traçou um novo panorama jurídico mais seguro em todo território nacional?

Patricia Peck – A lei se aplica para toda operação de tratamento de dados pessoais de titulares, pessoas naturais, que seja realizada no território nacional ou que oferte produtos ou serviços destinados ao Brasil.

Sendo assim, todas as organizações que ofertam serviços em território nacional, ou para quem esteja no Brasil, devem atender os requisitos de garantias de confidencialidade, integridade, disponibilidade e autenticidade exigidos pela legislação. Os princípios previstos no artigo 6º. da Lei 13.709/2018 (LGPD) se resumem em: finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; responsabilização e prestação de contas.

A regra se aplica a todos os participantes do ecossistema que envolve o ciclo de vida do dado pessoal, todos que, de algum modo, tiverem alguma interação em seu fluxo, mesmo que seja mera armazenagem. Sendo indiferente se é instituição pública ou privada.

MB – Como estes dados são tratados em outros países? A lei brasileira é considerada eficiente ou precisa ainda de muitos ajustes

Patricia Peck – A proteção de dados não é apenas uma questão de ficar adequado às normas. É um assunto estratégico que deve estar na prioridade da pauta dos gestores. Seja com o GDPR (General Data Protection Regulation), a GPD (Gerenciamento Por Diretrizes) ou a CCPA (California Consumer Privacy Act), as regulamentações estabelecem padrões de privacidade baseados na transparência, que visam reduzir riscos e proteger os dados.  

Os países que possuem uma lei de proteção de dados implementada conseguem demonstrar que atendem o compromisso de garantir a defesa dos direitos humanos e estão dentro de uma linha de crescimento econômico sustentável. As empresas que souberem tomar proveito da conformidade podem se diferenciar do ponto de vista reputacional junto aos usuários e isso se tornar inclusive uma vantagem competitiva.

MB – Na sua opinião, quais foram os maiores desafios e benefícios que a LGPD trouxe para as empresas?  E para as pessoas?

Patricia Peck – Os maiores desafios envolvem, primeiramente, a mudança de cultura que vem seguida com a necessidade de implementação de uma série de controles para a adequada governança e gestão dos dados pessoais, dentro de padrões de transparência e segurança. E isso exige investimento, seja de recursos financeiros e humanos, bem como de tempo, para alcançar a conformidade com a LGPD. Isso porque a adequação requer um processo contínuo que deve estar alinhado com o negócio e que necessita alcançar todos os setores da empresa. 

Assim, um programa de Privacidade e Proteção de Dados maduro precisa atuar em três frentes: tecnologia, processos e pessoas. E é justamente no indicador de conscientização e capacitação que precisa haver um maior foco de atenção. Muitos incidentes de violação de dados e vazamento de informações ainda ocorrem por situações de negligência. O que quer dizer que são ocorrências que poderiam ter sido evitadas. De nada adianta atualizar políticas, contratos e investir em ferramentas se não houver uma adoção na rotina diária das lideranças e das equipes das melhores práticas de proteção de dados. Isso deve alcançar o perímetro estendido da empresa, até o ambiente doméstico, devido ao home office. Além de engajar equipes, é preciso também lidar com a gestão de risco, junto aos terceirizados, que também têm sido fonte de incidentes.

É uma legislação que exige uma atuação multidisciplinar e multidepartamental, dos profissionais das áreas Jurídica, Tecnologia da Informação (TI), Recursos Humanos, Marketing, Negócios, Inovação e Pesquisa, e os da frente de atendimento aos clientes. Todos os setores críticos das empresas precisam ser envolvidos.

Além de aumentar o grau de transparência e fomentar a livre economia digital, acredito que a grande evolução é o maior controle e poder de gestão do titular sobre seus próprios dados pessoais, em especial, a possibilidade de exigir pagamento – quando aplicável. 

“Além de investimentos em ferramentas tecnológicas de cibersegurança e revisão de processos, é necessário realizar campanhas orientativas e treinamentos periódicos com as equipes sobre a aplicação das novas regras e sempre atualizar as melhores práticas”

MB – Quais eram os riscos antes da lei e de que forma o indivíduo está mais protegido agora do vazamento ou uso indevido dos seus dados? 

Patricia Peck – Conforme já mencionei, uma das conquistas trazidas com a nova lei foram os direitos dos titulares dos dados. A LGPD exige tratamento de dados de forma transparente, com comunicação clara, além de trazer um rol de direitos previstos pelo artigo 18. Logo, para os usuários ou clientes de uma determinada instituição, sempre deve haver ciência, de forma clara, precisa e acessível, sobre os procedimentos pelos quais seus dados pessoais passarão ao serem tratados. 

Desde as formas de captura, pelas quais essas informações entram nas instituições, onde ficam armazenadas, para quais finalidades, quais os controles aplicados, se há compartilhamento com terceiros — mesmo que sejam integrantes do mesmo grupo —, se há internacionalização (comum no uso de serviços de cloud), até como é feita a sua eliminação, que deverá tender a padrões de descarte seguro. É um meio de garantir maior proteção e privacidade das informações.

Todos estamos sujeitos a fraudes ou golpes, mas é preciso agir para reduzir as vulnerabilidades. Seja com a criação de uma força-tarefa para combater o crime organizado on-line e priorizar um estágio mais avançado de segurança digital, ou a intensificação de campanhas públicas educativas para auxiliar a população a se proteger e a denunciar práticas ilegais.

MB – Qual a obrigatoriedade de a lei ser adotada pelas empresas e o poder público? Como isso tem ocorrido desde que foi criada? Os investimentos são altos?

Patricia Peck – Mais do que obrigatoriedade, o tema da proteção de dados pessoais está inserido no contexto dos direitos fundamentais e das garantias relacionadas aos direitos humanos. É uma prioridade da pauta das autoridades em muitos países e se tornou um indicador extremamente relevante para demonstrar a transparência e a governança das instituições públicas e privadas. Por isso, é uma legislação reputacional. Está relacionado com o respeito às liberdades individuais e a importância da construção de um modelo de equilíbrio, que permita prevenir riscos e abusos.

MB – A LGPD ainda gera dúvidas nas empresas. O que é necessário para minimizar essa falta de conhecimento sobre a lei? Há punição para as empresas que não se adequarem?

Patricia Peck – As sanções administrativas começaram a valer em agosto de 2021. As condenações incluem advertência, multa simples ou diária, de até 2% do faturamento e limitada a R$ 50 milhões por infração, bloqueio ou eliminação dos dados pessoais a que se refere a violação e publicação, em canais determinados, após devidamente apurada e confirmada a sua ocorrência.

Ainda vejo que o maior desafio das empresas é estabelecer uma camada de maior proteção das informações pessoais em todo o seu ciclo de vida. Isso inclui desde a captura até o descarte dos dados, assim como conseguir dar mais clareza sobre as finalidades de tratamento, aplicar o princípio da minimização, pois ainda tratamos dados pessoais em excesso, e estabelecer um canal de comunicação com os titulares para permitir o atendimento dos novos direitos trazidos pela lei. 

Além de investimentos em ferramentas tecnológicas de cibersegurança e revisão de processos, é necessário realizar campanhas orientativas e treinamentos periódicos com as equipes sobre a aplicação das novas regras e sempre atualizar as melhores práticas.

MB – O que são considerados dados sensíveis pela LGPD e quais são os requisitos de aplicabilidade da lei?

Patricia Peck – Dado pessoal sensível, conforme artigo 5º, são as informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A coleta e o tratamento de dados só poderão ser realizados com o consentimento do titular (ou responsável legal no caso de menores de idade). Todo agente deve apontar a finalidade certa, garantida e justificável ao tratamento do dado. Além disso, deve garantir que o dado será utilizado somente para tal finalidade.

MB – A pandemia acelerou o processo de transformação digital nas empresas e os dados dos clientes ficaram mais expostos. Qual a orientação neste caso?

Patricia Peck – A pandemia acelerou a economia digital e a adoção de novas tecnologias. Pesquisa do Sebrae aponta que ao