Nova lei em vigor deve reduzir vazamento de dados pessoais e golpes digitais
A lei impõe a obrigação de os controladores de dados adotarem medidas técnicas necessárias para impedir qualquer tipo de acesso indevido aos dados, podendo as multas chegarem a 50 milhões de reais, a serem aplicadas a partir de agosto de 2021.
A LGPD é a lei criada para proteger os dados das pessoas físicas contra uso indevido e divulgação não autorizada, acidentalmente ou de forma criminosa, obrigando as empresas a adotarem medidas técnicas necessárias para impedir qualquer tipo de acesso indevido, podendo as multas chegarem a 50 milhões de reais. É baseada na legislação europeia sobre o tema, sendo sua aplicação um dos pré-requisitos para que o Brasil seja aceito pela OCDE, o conhecido clube dos países ricos.
Quem nunca recebeu uma ligação de alguma empresa para quem não passou o telefone? Provavelmente quase nenhum dos leitores. E aquelas pessoas que precisaram da cópia do próprio prontuário medico ou odontológico, e tiveram o acesso dificultado pelo hospital ou clínica? Para todos estes casos, a lei criou os direitos dos titulares dos dados, que incluem o direito de saber se a empresa trata algum dado a respeito do cidadão, bem como ter acesso a estes dados na integra, com a possiblidade de corrigir os que estiverem errados ou desatualizados, bem como solicitar a exclusão definitiva dos mesmos.
Para garantir estes direitos, a empresa é obrigada a informar de maneira ostensiva os canais de comunicação para o atendimento dos titulares, devendo para tanto disponibilizar um Encarregado de Proteção de Dados, conhecido como DPO, para responder às requisições dos usuários, sob pena de ter que indenizar o titular do dado, além das multas previstas em lei.
A simples falta de tal informação já implica em penalização da empresa, o que pode ser denunciado para a ANPD, Procon, delegacias do consumidor e Ministério Público.
A falta de acesso a tal contato, bem como a falta de resposta da empresa a qualquer solicitação do titular dos dados, no prazo de 15 dias, impõe o dever de indenizar o consumidor, devendo para tanto procurar um advogado de sua confiança.
A adequação aos requisitos da lei exige uma mudança de cultura da organização, incluindo a implantação de um programa de proteção de dados e segurança da informação na empresa, bem como o treinamento continuo dos colaboradores, de forma a garantir que a proteção de dados faça parte de todos os processos da empresa de forma permanente.
E dependendo do tamanho da empresa, a quantidade de dados pessoais tratados e o nível de maturidade em segurança da informação, o custo de um projeto de adequação pode ser bem elevado. A melhor forma de começar é pela contratação de um bom DPO. Este profissional é obrigatório para todas as empresas brasileiras que tratem algum dado pessoal.
O aprendizado adquirido pela União Europeia nestes 2 anos de vigência da Lei Europeia é que um DPO interno, especialmente aquele que já trabalha na organização, pode trazer conflito de interesse, uma vez que uma das atribuições do cargo é exatamente monitorar o que está errado na organização, de forma a indicar melhoria continua reduzindo o máximo o risco de alguma violação de dados. E sendo funcionário da empresa, além de estar envolvido com o processo e com os demais funcionários, muitas vezes não vê o que um olhar externo consegue ver.
Uma pesquisa recente chegou à conclusão que 60% das empresas que se utilizam dos profissionais internos para proteção de dados acabam por não os proteger da maneira correta. Tal conclusão de se ter um DPO externo a organização, desde que seja um profissional que esteja fisicamente próximo da empresa.
O DPO não pode, em especial, exercer um cargo dentro da organização que o leve a determinar as finalidades e os meios do tratamento de dados pessoais. Cargos que podem levar a conflitos: diretor executivo, diretor de operações, diretor financeiro, diretor do departamento médico, diretor de marketing, diretor dos recursos humanos ou diretor de TI.
As atribuições de um DPO vão desde a parte técnica até a parte jurídica, ou seja, não há separação entre "jurídico" e "técnico" - há a proteção de dados. O profissional deve ter conhecimentos sólidos a respeito das duas áreas, sendo fundamental formação e experiência nas áreas jurídica e tecnologia da informação.
Importante saber que a LGPD impõe à empresa que controla os dados o ônus de provar que atende a todos as obrigações legais, e quem responde a qualquer questionamento é justamente o DPO. Desta forma, a contratação de um profissional sem o devido conhecimento técnico e jurídico vai durar até a primeira fiscalização ou demanda judicial, momento em que sua deficiência técnica e jurídica vai levar a empresa a graves consequências.
A lei geral de proteção de dados foi um grande avanço na legislação brasileira para proteger o cidadão brasileiro, embora ainda, meses depois de sua entrada em vigor, ainda é descumprida por 70% das empresas brasileiras, de todos os portes, e quase 100% dos órgãos públicos, em especial os municipais, segundo pesquisa realizada pelo Serasa.
Quando se fala de órgão público a situação é mais grave, uma vez que estes tratam enormes quantidades de dados, ou mantêm relação de confiança com outro órgão que trata tal quantidade de dados, e a proteção destes dados não tem sido nem de longe uma preocupação dos gestores públicos, em especial os municipais.
Outro segmento que tem sido deixado de lado são as unidades de saúde, desde hospitais públicos e privados, clínicas, planos de saúde, postos de atenção básica, uma vez que além do volume de dados pessoais, ainda trabalham com dados sensíveis, como os que dizem respeito à saúde, e um vazamento pode trazer consequências gravíssimas para a população, em especial aos portadores de alguma enfermidade.
Tendo em vista a extensão continental do Brasil, seria impossível uma única autoridade cuidar da fiscalização do país inteiro, devendo a sociedade civil ser incentivada pelos diversos mecanismos de imprensa e governo a fiscalizar, além das agências reguladoras e tribunais de contas, incluir em suas fiscalizações e canais de denúncia para fiscalizar e aplicar sanções aqueles empresas e órgãos públicos que não zelam pela segurança dos dados pessoais da população brasileira, especialmente a mais pobre.
Alex Fernando Rodrigues é advogado com segunda formação em Tecnologia da Informação, e vinte anos de experiência em Segurança da Informação. Possui pós-graduação em Direito Público, Direito Empresarial e Engenharia de Qualidade. Certificações internacionais ITIL, COBIT, ISFS, PDPF, PDPP e DPO.
Website: http://www.alexfernando.com/