Andam falando que nossos dados pessoais caíram na rede. Casos para ilustrar os estragos provocados por vazamento de dados, não faltam — dos magazines e lojas norte-americanas, passando pelo site de relacionamentos extraconjugais Ashley Madison, que vazaram os dados de clientes cadastrados, até o escândalo do maior vazamento de dados da história — o Panamá Papers, cujo escritório Mossack Fonseca teve dados vazados de clientes. Mais recentemente, não necessariamente em número de dados vazados, mas pela repercussão, o caso da Cambridge Analítica, tornou explosiva a discussão.
Mas essa sensação de terra de ninguém está com os dias contados no mundo. A Europa saiu na frente e, desde 25 de maio, o uso de dados de cidadãos e empresas passou a ser protegido pelo General Data Protection Regulation (GDPR) ou Regulamento Geral sobre a Proteção de Dados.
Não é de hoje que a Europa tem a questão da privacidade no seu foco de preocupações. Suas leis relacionadas à privacidade vêm de 1995. Retomadas em 2012 pela necessidade de acompanhar as transformações tecnológicas, ganharam o formato final em 2016 e, finalmente, foram consolidadas e oficializadas agora, com o GDPR.
Em resumo, esse conjunto de normas exige, para começar, o consentimento da pessoa para o uso de IP, nome, endereço, CPF, fotos, até mesmo comentários coletados para uma plataforma de e-commerce. Todos os parceiros de países europeus precisarão, daqui para frente, se adequar ao GDPR e apresentar a transparência exigida. Na prática, essa adequação representa a revisão urgente de contratos, políticas de privacidade e termos de uso.
Versão brasileira
O Brasil está se mexendo rapidamente para não perder o trem da nova história. No dia 10 de julho, o Senado aprovou o projeto da Lei Geral de Proteção de Dados, o PLC 53/2018. A versão estabelece um conjunto completo de conceitos, princípios, fundamentos, ações sancionatórias e fiscalizatórias, voltado à proteção dos direitos fundamentais de liberdade e de privacidade dos cidadãos, cujos dados pessoais serão tratados tendo como base o uso das tecnologias de informação e comunicação.
"A existência de uma lei geral de proteção de dados é tida como condição sine qua non para a efetiva inserção das empresas nacionais no ecossistema global de dados, promovendo o livre fluxo internacional de dados e informações, e, por sua vez, o desenvolvimento científico, tecnológico e a geração de inovações", afirma Thiago Camargo, secretário de Políticas Digitais (Sepod) do Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC).
O texto do PLC prevê a criação de um órgão regulador: a Autoridade Nacional de Proteção de Dados (ANPD), vinculada ao Ministério da Justiça. A proposta ainda determina punição para infrações, de advertência a multa diária de até R$ 50 milhões, além de proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Para Fábio Pereira, especialista em direito da tecnologia da informação, Sócio da Veirano Advogados, este marco regulatório é tão importante para o país como foi o marco da internet. "Antes, o Brasil não era considerado um país com nível adequado de negociação pelos outros países, especialmente os da Europa, e agora passará a ser. Isso é fundamental. Mas a discussão não é nova. Vêm sendo feita desde 2010, com a participação de pessoas da sociedade civil, empresários e autoridades. O formato aprovado é bem semelhante ao europeu", diz.
Impacto sobre as empresas
Aguardando apenas a sanção pela Presidência da República, prevista para até o dia 6 de agosto, a Lei Geral de Proteção de Dados exigirá mudanças e adaptações por parte das empresas. "Os gestores precisam estar cientes da importância da lei e da padronização internacional", alerta Pereira.
Marcelo Crespo, advogado especialista em direito digital e sócio do Peck Advogados, resume: "A primeira coisa é o consentimento: o que farão com os meus dados? Onde serão usados e de que forma? A segunda coisa é a política de privacidade com relação a esse consentimento expresso e a facilidade de revogar".
Todos os departamentos que lidam com dados pessoais deverão estar atentos — o RH e o Jurídico, mas também o TI, o Marketing e o Comercial, segundo Crespo. "O jurídico vai ter que analisar novos contratos; então, novas minutas de contratos com outras empresas vão precisar ser observadas", detalha. O jurídico, ainda, providenciará atualizações nas leis de privacidade e vai descobrir se um terceiro tem a proteção de dados suficiente para a sua empresa fazer negócios com ele. O impacto é grande e há muito ainda por ser feito, porém muitas empresas já estão trabalhando nesse sentido. O Grupo Sandvik, por exemplo, decidiu implementar em todos os mercados do mundo a solicitação para consentimento de uso dos dados. "No início, poderá haver alguma resistência, por ser uma mudança de mentalidade. Mas, em médio e longo prazo, será benéfico; pois teremos uma base de clientes baseada em consentimento e engajamento", avalia Fábio Ferracioli, gerente de Marketing e Comunicação para a Sandivk Coromant, mercado LATAM.
Muito comum nas companhias europeias, o cargo do Encarregado de Proteção de Dados (DPO), em inglês Data Protection Officer, será uma peça importante a partir da lei em vigor. "Esse profissional será o responsável por supervisionar e aconselhar a empresa de acordo com o regulamento", explica Fábio Pereira.
Tecnologia é estratégico
Usar criptografia, firewalls ou serviços que garantam segurança aos dados tratados pela empresa para evitar que as informações vazem, é muito importante. "Uma das atenuantes de eventuais punições é ter um programa efetivo, um compliance digital, que é conformidade com as leis do âmbito digital, conhecida na lei como um programa de governança de privacidade", avisa Crespo.
Originally published in O Mundo da Usinagem
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
