Diariamente as empresas coletam, armazenam e processam dados de milhões de clientes e usuários. O debate sobre a proteção destas informações se acirrou no Brasil, em 2018, ao se desenhar a LGPD – Lei Geral de Proteção de Dados, que estabelece uma série de regras sobre os processos de captura e compartilhamento de dados pessoais. A lei entrou em vigor em setembro de 2020, mas as punições previstas para empresas e órgãos públicos só passaram a valer em agosto de 2021. 

Neste contexto, as companhias de Tecnologia também têm responsabilidade. É atenta a esse importante movimento que, desde julho de 2021, a Minha Biblioteca busca atestar a aderência da empresa à LGPD, como um diferencial competitivo no mercado e seu nível de maturidade face às novas regras definidas pela lei, na proteção dos dados dos seus clientes. *

No mundo virtual ou físico, essa adaptação à LGPD ainda gera dúvidas em muitas empresas. Para esclarecer alguns dos principais pontos da lei e contribuir para a disseminação das boas práticas de Segurança da Informação, o Blog da Minha Biblioteca conversou com uma das maiores autoridades no assunto, Dra. Patricia Peck Pinheiro, PhD. Advogada especialista em Direito Digital, sócia do Peck Advogados e Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD) e autora de livros sobre o tema, publicados pela Saraiva Educação e Grupo Gen. Confira a entrevista.

MB – Quais os motivos que levaram a criação da LGPD? É possível descrever o cenário de segurança de dados no país, que tornou necessária a criação da lei?

Patricia Peck – A LGPD foi criada para ajudar na proteção dos direitos fundamentais de liberdade e privacidade das pessoas, e garantir que haja segurança jurídica e transparência na coleta e tratamento de dados pessoais. É uma regulamentação aplicada tanto para instituições privadas como públicas, que exige o cumprimento de princípios, direitos e obrigações com sujeição a penalidades. Consiste num recurso para aprimorar a governança dos dados pessoais pelas empresas, órgãos públicos e demais instituições, num conjunto de melhores práticas indispensáveis para garantir a sustentabilidade da sociedade digital.

O contexto para o surgimento da regulamentação foi o mesmo em diversos países do mundo: a era digital. Como a informação é um dos ativos mais valiosos de que dispomos, a proteção de dados é mais que uma prioridade. Não por acaso, em diferentes locais surgem novas leis para regulamentar o uso e o tratamento desses bens. Um dos principais exemplos é o General Data Protection Regulation (GDPR), resolução em vigor desde 2018, na União Europeia, e propulsora da criação da Lei Geral de Proteção de Dados (LGPD) no Brasil. Além disso, a promulgação da lei brasileira ocorreu junto a um momento de aumento de incidentes de vazamento de dados e sua entrada em vigor em plena pandemia da Covid-19, trazendo inúmeros desafios para sua implementação nas instituições.

MB – Quais os princípios trazidos pela regulamentação brasileira e como se traçou um novo panorama jurídico mais seguro em todo território nacional?

Patricia Peck – A lei se aplica para toda operação de tratamento de dados pessoais de titulares, pessoas naturais, que seja realizada no território nacional ou que oferte produtos ou serviços destinados ao Brasil.

Sendo assim, todas as organizações que ofertam serviços em território nacional, ou para quem esteja no Brasil, devem atender os requisitos de garantias de confidencialidade, integridade, disponibilidade e autenticidade exigidos pela legislação. Os princípios previstos no artigo 6º. da Lei 13.709/2018 (LGPD) se resumem em: finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; responsabilização e prestação de contas.

A regra se aplica a todos os participantes do ecossistema que envolve o ciclo de vida do dado pessoal, todos que, de algum modo, tiverem alguma interação em seu fluxo, mesmo que seja mera armazenagem. Sendo indiferente se é instituição pública ou privada.

MB – Como estes dados são tratados em outros países? A lei brasileira é considerada eficiente ou precisa ainda de muitos ajustes? 

Patricia Peck – A proteção de dados não é apenas uma questão de ficar adequado às normas. É um assunto estratégico que deve estar na prioridade da pauta dos gestores. Seja com o GDPR (General Data Protection Regulation), a GPD (Gerenciamento Por Diretrizes) ou a CCPA (California Consumer Privacy Act), as regulamentações estabelecem padrões de privacidade baseados na transparência, que visam reduzir riscos e proteger os dados.  

Os países que possuem uma lei de proteção de dados implementada conseguem demonstrar que atendem o compromisso de garantir a defesa dos direitos humanos e estão dentro de uma linha de crescimento econômico sustentável. As empresas que souberem tomar proveito da conformidade podem se diferenciar do ponto de vista reputacional junto aos usuários e isso se tornar inclusive uma vantagem competitiva.

MB – Na sua opinião, quais foram os maiores desafios e benefícios que a LGPD trouxe para as empresas?  E para as pessoas?

Patricia Peck – Os maiores desafios envolvem, primeiramente, a mudança de cultura que vem seguida com a necessidade de implementação de uma série de controles para a adequada governança e gestão dos dados pessoais, dentro de padrões de transparência e segurança. E isso exige investimento, seja de recursos financeiros e humanos, bem como de tempo, para alcançar a conformidade com a LGPD. Isso porque a adequação requer um processo contínuo que deve estar alinhado com o negócio e que necessita alcançar todos os setores da empresa. 

Assim, um programa de Privacidade e Proteção de Dados maduro precisa atuar em três frentes: tecnologia, processos e pessoas. E é justamente no indicador de conscientização e capacitação que precisa haver um maior foco de atenção. Muitos incidentes de violação de dados e vazamento de informações ainda ocorrem por situações de negligência. O que quer dizer que são ocorrências que poderiam ter sido evitadas. De nada adianta atualizar políticas, contratos e investir em ferramentas se não houver uma adoção na rotina diária das lideranças e das equipes das melhores práticas de proteção de dados. Isso deve alcançar o perímetro estendido da empresa, até o ambiente doméstico, devido ao home office. Além de engajar equipes, é preciso também lidar com a gestão de risco, junto aos terceirizados, que também têm sido fonte de incidentes.

É uma legislação que exige uma atuação multidisciplinar e multidepartamental, dos profissionais das áreas Jurídica, Tecnologia da Informação (TI), Recursos Humanos, Marketing, Negócios, Inovação e Pesquisa, e os da frente de atendimento aos clientes. Todos os setores críticos das empresas precisam ser envolvidos.

Além de aumentar o grau de transparência e fomentar a livre economia digital, acredito que a grande evolução é o maior controle e poder de gestão do titular sobre seus próprios dados pessoais, em especial, a possibilidade de exigir pagamento – quando aplicável. 

“Além de investimentos em ferramentas tecnológicas de cibersegurança e revisão de processos, é necessário realizar campanhas orientativas e treinamentos periódicos com as equipes sobre a aplicação das novas regras e sempre atualizar as melhores práticas”

MB – Quais eram os riscos antes da lei e de que forma o indivíduo está mais protegido agora do vazamento ou uso indevido dos seus dados? 

Patricia Peck – Conforme já mencionei, uma das conquistas trazidas com a nova lei foram os direitos dos titulares dos dados. A LGPD exige tratamento de dados de forma transparente, com comunicação clara, além de trazer um rol de direitos previstos pelo artigo 18. Logo, para os usuários ou clientes de uma determinada instituição, sempre deve haver ciência, de forma clara, precisa e acessível, sobre os procedimentos pelos quais seus dados pessoais passarão ao serem tratados. 

Desde as formas de captura, pelas quais essas informações entram nas instituições, onde ficam armazenadas, para quais finalidades, quais os controles aplicados, se há compartilhamento com terceiros — mesmo que sejam integrantes do mesmo grupo —, se há internacionalização (comum no uso de serviços de cloud), até como é feita a sua eliminação, que deverá tender a padrões de descarte seguro. É um meio de garantir maior proteção e privacidade das informações.

Todos estamos sujeitos a fraudes ou golpes, mas é preciso agir para reduzir as vulnerabilidades. Seja com a criação de uma força-tarefa para combater o crime organizado on-line e priorizar um estágio mais avançado de segurança digital, ou a intensificação de campanhas públicas educativas para auxiliar a população a se proteger e a denunciar práticas ilegais.

MB – Qual a obrigatoriedade de a lei ser adotada pelas empresas e o poder público? Como isso tem ocorrido desde que foi criada? Os investimentos são altos?

Patricia Peck – Mais do que obrigatoriedade, o tema da proteção de dados pessoais está inserido no contexto dos direitos fundamentais e das garantias relacionadas aos direitos humanos. É uma prioridade da pauta das autoridades em muitos países e se tornou um indicador extremamente relevante para demonstrar a transparência e a governança das instituições públicas e privadas. Por isso, é uma legislação reputacional. Está relacionado com o respeito às liberdades individuais e a importância da construção de um modelo de equilíbrio, que permita prevenir riscos e abusos.

MB – A LGPD ainda gera dúvidas nas empresas. O que é necessário para minimizar essa falta de conhecimento sobre a lei? Há punição para as empresas que não se adequarem?

Patricia Peck – As sanções administrativas começaram a valer em agosto de 2021. As condenações incluem advertência, multa simples ou diária, de até 2% do faturamento e limitada a R$ 50 milhões por infração, bloqueio ou eliminação dos dados pessoais a que se refere a violação e publicação, em canais determinados, após devidamente apurada e confirmada a sua ocorrência.

Ainda vejo que o maior desafio das empresas é estabelecer uma camada de maior proteção das informações pessoais em todo o seu ciclo de vida. Isso inclui desde a captura até o descarte dos dados, assim como conseguir dar mais clareza sobre as finalidades de tratamento, aplicar o princípio da minimização, pois ainda tratamos dados pessoais em excesso, e estabelecer um canal de comunicação com os titulares para permitir o atendimento dos novos direitos trazidos pela lei. 

Além de investimentos em ferramentas tecnológicas de cibersegurança e revisão de processos, é necessário realizar campanhas orientativas e treinamentos periódicos com as equipes sobre a aplicação das novas regras e sempre atualizar as melhores práticas.

MB – O que são considerados dados sensíveis pela LGPD e quais são os requisitos de aplicabilidade da lei?

Patricia Peck – Dado pessoal sensível, conforme artigo 5º, são as informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A coleta e o tratamento de dados só poderão ser realizados com o consentimento do titular (ou responsável legal no caso de menores de idade). Todo agente deve apontar a finalidade certa, garantida e justificável ao tratamento do dado. Além disso, deve garantir que o dado será utilizado somente para tal finalidade.

MB – A pandemia acelerou o processo de transformação digital nas empresas e os dados dos clientes ficaram mais expostos. Qual a orientação neste caso?

Patricia Peck – A pandemia acelerou a economia digital e a adoção de novas tecnologias. Pesquisa do Sebrae aponta que ao menos 70% de micros e pequenos negócios atuam nas redes sociais, aplicativos ou internet para impulsionar as vendas. 

Para mitigar riscos e prejuízos com possíveis incidentes no uso dos dados dos clientes, é preciso investir em estratégias como o plano de continuidade de negócios e práticas baseadas em Segurança da Informação e aplicação das próprias medidas previstas pela Lei Geral de Proteção de Dados. Abrange implementar mecanismos de controle e governança mais sofisticados, inclusive com um planejamento voltado para eventos de crise.

MB – O que a LGPD representou de evolução para a gestão dos dados dos consumidores? 

Patricia Peck – Em linha com as exigências da LGPD, o consumidor está mais empoderado sobre a utilização dos seus dados pessoais. Isso porque ele passou a ter direitos como solicitar revogação de consentimento, apagamento e portabilidade, além de saber como suas informações estão sendo tratadas e para quais objetivos, bem como a possibilidade de exigir que seus dados sejam deletados.

MB – Qual é a diferença da proteção de dados pessoais no meio digital e fora dele?

Patricia Peck – As regras da LGPD valem para os dados pessoais em qualquer suporte, seja ele físico ou digital, e capturados a partir de qualquer interface. Vamos tomar como exemplo o Varejo. A cada novo cadastro, a cada nova venda, o cliente já deve ser informado sobre como os dados pessoais são protegidos, se há compartilhamento com terceiros, se há internacionalização, para quais finalidades são tratados e quais são os direitos dos titulares. 

Sendo assim, determina não somente uma adequação tecnológica, mas estratégica de cada negócio. A conformidade exige muito além de implantação de antivírus ou firewall. Deve-se pensar sobre onde colocar a informação para cumprir com o princípio da transparência, e assim evitar as elevadas multas previstas pela LGPD. 

“Escolas, universidades e instituições de ensino e pesquisa não ficam de fora e precisarão passar por regulações. Mas, vale destacar: para as instituições de ensino e pesquisa, há as exceções que devem ser consideradas”

MB – A LGPD foi vista por alguns setores como uma ameaça à inovação. Isso procede?

Patricia Peck – Prefiro olhar mais como um diferencial do que uma barreira. Mas, claro que ter que atender uma legislação gera sempre mais custos e complexidade para o negócio, o que pode ser um desafio adicional para as startups e as pequenas empresas. Por outro lado, a LGPD traz um selo de confiabilidade para quem consegue demonstrar conformidade. Por isso, a Autoridade Nacional (ANPD) publicou recentemente a Resolução CD/ANPD n.2 com regras de flexibilização para empresas de pequeno porte e startups.

As instituições que investem em inovação devem estruturar os novos projetos a partir do princípio do Privacy By Design – melhores práticas de proteção de dados pessoais, desde a sua concepção. Portanto, há um efeito direto nas relações de negócios, assim como na forma de avaliar a marca e ações de uma empresa. É um tipo de compliance relacionado diretamente à sustentabilidade e governança. A ideia é harmonizar as relações e aumentar o grau de transparência para fomentar a livre economia digital. 

Dessa maneira, é possível estimular a inovação e evitar barreiras comerciais, a partir de regras claras e controles mínimos de segurança para, inclusive, não sofrermos barreiras comerciais com outros países. São dispositivos para facilitar a atração de investimentos e contribuir com o crescimento econômico. A LGPD é uma legislação relacionada aos Direitos Humanos. É indispensável, atual e urgente. E veio para ficar.

MB – Pensando na área educacional, as universidades também precisam ou devem se adequar?

Patricia Peck – Sim. Escolas, universidades e instituições de ensino e pesquisa não ficam de fora e precisarão passar por regulações. Mas, vale destacar: para as instituições de ensino e pesquisa há exceções que devem ser consideradas. As ressalvas estão presentes no art. 4º, que esmiuça os casos em que a lei não se aplica no tratamento de dados pessoais. Para fins acadêmicos, o que vale é a hipótese dos art. 7º, IV e art. 11, II, c), que define que o tratamento de dados pessoais, com destaque para informações sensíveis, somente poderá ser realizado para estudos por órgão de pesquisa, mantendo, sempre que possível, o anonimato dos dados pessoais.

Ainda sobre as instituições de ensino, é relevante mencionar o art. 13, II, que trata da responsabilidade pela segurança da informação, no caso de pesquisa de dados em saúde pública, bem como a possibilidade de conservação dos dados pelos órgãos de pesquisa nos termos do art. 16 da LGPD. Segundo o trecho da lei, os dados poderão ser mantidos para a finalidade de estudo por órgãos de pesquisa.

Em decorrência das novas regras trazidas pela LGPD, essas organizações precisam implementar um programa de aderência à legislação, incluindo a confecção de políticas internas, revisão de documentos e treinamentos, em uma jornada para garantir seu compliance.

MB – A informatização dos serviços prestados pelas bibliotecas digitais, para as instituições de ensino, trouxe alguma preocupação com a coleta e o tratamento de dados dos usuários. Quais as melhores práticas para esse mercado e quais os cuidados que estas plataformas devem ter?

Patricia Peck – Todos os serviços que, de algum modo, tratam dados pessoais estão sujeitos a conformidade à LGPD. Especialmente se houver cadastro de usuários e captura de cookies. A principal melhor prática tem sido atualizar a Política de Privacidade e investir em ferramentas protetivas para garantir mais proteção de dados, além de implementar o canal de atendimento dos direitos dos titulares.

MB – Quais são os dispositivos da Lei que podem ser aplicados à coleta de dados pessoais dos usuários em uma biblioteca digital? O que é responsabilidade dos bibliotecários e das instituições, frente à LGPD?

Patricia Peck: Como já esclarecido, toda a legislação é aplicável, mas claramente, é importante notar os princípios do artigo 6º, bem como o tratamento deve observar as finalidades específicas e atender às bases legais previstas pela legislação. É responsabilidade dos bibliotecários e instituições, na condição de controladores, tratar os dados de forma transparente e segura.

MB – Podemos dizer que o Direito Digital é uma evolução necessária do próprio Direito?

Patricia Peck – Claro. É a evolução do Direito em si, ao incorporar novos institutos e elementos para o pensamento jurídico e em todas suas especialidades. O Direito Digital é transversal: o profissional precisa de conhecimentos jurídicos e técnicos. A melhor recompensa para esse esforço é a possibilidade de você inovar, fazer algo que ninguém nunca fez.

MB – Como você avalia que estará a área de segurança de dados nos próximos cinco anos e o que se pode esperar em inovação?

Patricia Peck – Na minha visão é uma área com grande crescimento para os próximos anos e que irá investir, ainda mais, em inteligência artificial, bem como novas ferramentas para combate aos ataques cibernéticos e para melhoria dos procedimentos de autenticação de usuários. 

*Em breve, aqui no BLOG, os detalhes da parceria da Minha Biblioteca com a Consultoria 9NET, neste processo de adequação à LGPD.

Conheça a Minha Biblioteca

Quer saber mais sobre os catálogos, recursos e benefícios da maior e mais completa biblioteca digital de livros acadêmicos para sua IES? Entre em contato conosco e solicite uma proposta.