Lei criada com o objetivo de proteger a privacidade das pessoas e criar regras para o uso de dados pessoais exige mudança de cultura interna das empresas
A Lei Geral de Proteção de Dados (LGPD), como ficou conhecida a Lei 13.709/18, entrou em vigor em 18 de setembro de 2020, consolidando o arcabouço jurídico para regulamentar o uso de dados de terceiros nos ambientes físico e digital. O objetivo central da LGPD é proteger os dados pessoais e, por consequência, a privacidade das pessoas, estipulando regras para as empresas públicas e privadas que coletam, manipulam, tratam e armazenam qualquer tipo de informação pessoal, seja de clientes ou de colaboradores, em meios virtuais ou físicos, como fichas cadastrais em papel. Para garantir o cumprimento das determinações da LGPD, foi criada a Autoridade Nacional de Proteção de Dados (ANDP), órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.
Na prática, a lei exige mudanças na maneira como as companhias de todos os portes, públicas e privadas, lidam com dados de terceiros. De acordo com a LGPD, as empresas não podem divulgar, vender ou repassar dados pessoais sem o consentimento dos seus donos, nem manipular esses dados de forma inadequada ou negligente. No caso da Chubb, a seguradora criou a equipe de Proteção de Dados, especialmente dedicada à questão, além canais específicos de contato para os segurados.
Entre outras responsabilidades dos profissionais da nova área estão a criação e a disseminação pelo público interno da Política de Proteção de Dados, exigência da nova lei, além de responder dúvidas e levantar informações solicitadas por clientes relacionadas ao tema. Na mesma área do site em que se encontra a política de proteção de dados da companha está disponível um formulário para que os interessados possam entrar em contato com a seguradora e tratar de temas relacionados ao assunto. Além disso, foi criado um e-mail específico de contato com o Encarregado de Proteção de Dados (DPO). O endereço é o encarregadoprotecaodedados.Brasil@Chubb.com
Para quais empresas se aplica e o que muda?
A LGPD surge num momento em que a discussões referentes à privacidade e ao uso dos dados pessoais está em evidência, por conta da popularização dos meios digitais de comunicação. Os dados pessoais incluem não só o número do CPF ou do RG, mas também endereço, estado civil, opção sexual e religiosa, dados bancários e da família, se a pessoa é filiada a sindicato, clube ou partido político, por exemplo. A nova legislação prevê punições administrativas e financeiras para os infratores. Daí a necessidade de as empresas se adequarem o quanto antes.
Quando fala em exploração de dados pessoais por parte das empresas, a lei se refere a vários níveis. Um exemplo é quando a captação e tratamento de dados pessoais de terceiros fazem parte da atividade principal da empresa, como é o caso das redes sociais. Em outras organizações, o tratamento de dados é acessório, mas possibilita sua atividade principal, como o e-commerce. Embora os sites de venda online lidem com dados pessoais, sua atividade principal é o comércio.
Para se adequar à LGPD, é necessária uma profunda mudança na cultura corporativa em tudo o que se refere à manipulação dos dados pessoais. Essa transformação tem impacto sobre os processos relacionados à gestão dos arquivos e pode exigir a contratação de especialistas, além de investimento em segurança da informação.
A primeira medida sugerida é que as empresas reforcem a segurança no acesso aos dados, investindo na proteção de seus sistemas. É importante contar com processos bem definidos e um controle interno que permita saber como esse dado é captado, por quais áreas é manipulado e como é armazenado. Ter um mapa de quais são os profissionais da empresa com acesso a essas informações também é fundamental, assim como estabelecer barreiras de acesso, por meio de senhas disponibilizadas apenas a esses profissionais autorizados.
As providências também podem ultrapassar os muros da organização. Em alguns casos, é importante revisar e adaptar contratos com fornecedores, para que estejam de acordo com o que a lei determinada. Outra preocupação envolvendo tecnologia são os ataques cibernéticos, como os executado por meio de ramsonware – um software que infecta o computador da empresa, criptografa o servidor e permite aos criminosos exigirem o pagamento de grandes somas para liberar o acesso os dados.
Diante de tantos riscos, é importante adotar algumas medidas de precaução. Uma delas é restringir a coleta de dados ao estritamente necessário. Isso significa avaliar detidamente, do ponto de vista da estratégia de negócios, quais são as informações que efetivamente precisam ser registradas e tratadas.
As punições para as empresas que não se ajustam à lei podem ser pesadas. Além da responsabilidade de indenizar o titular dos dados, a LGPD prevê sanções de caráter administrativo. Elas vão da advertência a multas de até 2% do faturamento da empresa ou do grupo. Isso além de multa diária no valor máximo de R$ 50 milhões por infração. Por isso, a sugestão é que as empresas tenham cláusulas em seus contratos com parceiros sobre esse tema, inclusive para regular a responsabilização das partes, considerando que ambas poderão ser punidas.