A lei relativa à proteção de dados pessoais, publicada em agosto de 2018, chama atenção para um exame mais atento da questão do vazamento de informações pessoais e para o fato de que as empresas precisam efetivamente cuidar da boa governança dos dados que colhem dos seus clientes.
Essa regulação, a Lei Geral de Proteção de Dados Pessoais (LGPD) altera o Marco Civil da Internet, de 2014, com o objetivo de proteger dados tratados no Brasil, na esfera digital ou fora dela, por qualquer tipo de empresa ou órgão publico. Ao final do ano passado, no dia 27 de dezembro, a Medida Provisória 869 instituiu a Autoridade Nacional de Proteção de Dados (ANPD), órgão governamental integrante da Presidência da República, com autonomia técnica para suas decisões, a quem competirá fazer cumprir a lei.
Além da ANPD, a medida provisória trouxe algumas modificações à lei original, destacando-se o fato de que “encarregado” – nos termos da lei o responsável pela comunicação entre o controlador dos dados, seus titulares e a autoridade nacional – poderá ser tanto uma pessoa física como uma pessoa jurídica, facilitando, assim, para as empresas, a adequação às normas de proteção de dados.
A lei, inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR – General Data Protection Regulation), em vigor desde maio do ano passado, passará a vigorar no Brasil em agosto do ano que vem, mas desde já é preciso que as empresas se preparem.
Até mesmo porque o GDPR tem reflexos sobre empresas brasileiras que mantêm negócios com os países da União Europeia, ou empresas europeias que, por exemplo, cadastrem consumidores em outros países. Da mesma forma, a legislação brasileira será aplicável a empresas estrangeiras que por algum motivo contem com operação de tratamento de dados realizada no Brasil.
Escândalos de vazamento de dados não faltam. Basta lembrar a apropriação de dados de usuários do Facebook pela empresa britânica Cambridge Analytica, voltada para o marketing político, que trabalhou para a campanha de Donald Trump e para o movimento Brexit, visando à saída do Reino Unido da União Europeia.
Segundo publicações internacionais, a Cambridge Analytica reconheceu ter usado 30 milhões de perfis de usuários do Facebook, contra números como 50 milhões, segundo o New York Times, ou 87 milhões, de acordo com o próprio Facebook.
O escândalo obrigou Mark Zuckerberg a depor ao Congresso dos Estados Unidos, levando-o a reconhecer o vazamento e pedir desculpas, e, ainda, gerando uma ampla discussão sobre normas éticas relacionadas ao uso de dados pessoais e direitos das pessoas quanto às informações que prestam a empresas – desde as que detêm o comando das redes sociais até organizações privadas ou governamentais às quais tenham prestado, online ou offline, informações como endereço e CPF.
Promulgada poucos meses depois de vir à tona essa história, talvez a mais notória entre muitos casos de violação de dados, e em um quadro de preocupação global com a privacidade de dados – vale lembrar que a comunicação pessoal e os negócios das empresas já são globais —, a LGPD busca assegurar aos cidadãos brasileiros a posse das informações sobre si, especialmente sobre o modo como são usadas. Garante que cada um de nós possa exigir que nossas informações pessoais sejam corrigidas, apagadas ou transferidas de bancos de dados de qualquer empresa com operações no Brasil, “independentemente do procedimento empregado”.
Mas, quando se trata de violação de dados, o que está feito, está feito. Os danos, infelizmente, não podem ser reparados. O mais publicamente perceptível desses danos é o que afeta a reputação das empresas, que podem perder de imediato a imagem que levaram anos, ou até décadas, para construir.
Esperamos que a lei contribua para que empresas e órgãos governamentais se tornem mais conscientes da responsabilidade que assumem a partir do momento em que coletam informações pessoais. E também que venha a reforçar a cultura da segurança cibernética, que parece emergir somente quando a empresa se encontra, ela mesma, diante de ameaças concretas – como o ransomware, por exemplo, ou os cada vez mais frequentes ataques de negação de serviço, além do roubo e vazamento de dados.
Saiba como qualificar o encarregado/DPO para regulamentação da empresa com a nova lei. Acesse https://certificacaodpo.eventize.com.br e prepare-se para a LGPD!
Fonte: Computerworld
16 de fevereiro de 2019