A LGPD (Lei Geral de Proteção de Dados) tem várias questões a serem analisadas. As relações trabalhistas e a responsabilidade de terceiros no uso de dados foram tema do 8º Circuito da Transparência, realizado pela ANEFAC, em 3 de junho. “As empresas vêm se adaptando à lei, mas além de olhar para os dados dos trabalhadores e funcionários, é fundamental observar em relação a fornecedores e prestadores de serviço. Recentemente, grandes empresas sofreram penalidades. O foco não é só entender como houve os vazamentos, mas implantar formas de se precaver, implementando ferramentas, sistemas de governança e políticas de tratamento de dados, pois se não se observa o que um fornecedor ou prestador de serviço está fazendo, a responsabilidade por qualquer vazamento é compartilhada”, explica Eduardo Depassier, diretor jurídico da ANEFAC e sócio do Levi Depassier Advogados, organizador e moderador do encontro.
A proteção de dados é objeto de regulamentação no mundo inteiro, pois pode se enquadrar dentro da perspectiva de direitos humanos, que entra dentro do direito fundamental, como é caso da privacidade numa sociedade que cada vez mais captura informações com as cidades inteligentes, as casas inteligentes, os carros inteligentes, o celular inteligente, a TV inteligente, a geladeira inteligente, entre outros. Atualmente, mais de 100 países possuem algum tipo de legislação relacionada aos dados pessoais e, no Brasil, não é diferente, 2022 está sendo o primeiro de fiscalização por aqui e a atenção deve se voltar ainda ao que será regulamentado para as PMEs. “Estamos vivendo a sociedade do algoritmo”, diz Patricia Peck, CEO & founding partner no Peck Advogados.
O conceito da LGPD não é a proibição, mas jogar luz sobre a transparência dos processos realizados nas plataformas e evitar, entre outras coisas, processos discriminatórios. Citando exemplos de Portugal, Peck traz uma pessoa que comprou um carro e nos dados da prefeitura havia a informação sobre o seu status de vacinação, a discussão é do quanto, naquela comunidade, poderia haver alguma situação de retaliação ou discriminação sobre um dado de saúde, que o estado como autoridade pública pode ter, mas não publicar. “A partir do momento que a gente vive a sociedade de dados, o que se discute é o modelo de Ethics. Essa questão é muito relevante não só do ponto de vista operacional ou compliance, mas estratégico, incluindo o Conselho de Administração na tomada de decisão e das políticas. É o posicionamento da empresa, é seu modelo de ética de dados”, diz.
O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), apoiado por 23 conselheiros, vem ajudando a construir o arcabouço da LGDP no Brasil, com chamadas de subsídio para regulamentação dos pontos faltantes. São mais de 23 artigos da lei que ainda faltavam ser regulamentados pela autoridade e outras chamadas de subsídios, por isso se faz necessário estar atento, mesmo que a empresa já tenha nomeado o empregador de dados. Foram feitas 5.339 denúncias no canal da ouvidoria da Autoridade Nacional de Proteção de Dados (ANPD) e destas, 935 enviadas para fiscalização. A multa é de 3% do faturamento. 139 ações trabalhistas citaram a lei, num total de causas somando R$ 15 milhões. Segundo pesquisa realizada pela ConJur, em termos de julgamento, são mais de 800 ações judiciais.
A corresponsabilidade na LGPD
É entendimento do mercado sobre o compartilhamento de dados pessoais com terceiros a responsabilidade da empresa sobre as ações que ele irá realizar. Na interpretação da lei, Denise Tavares, sócia da Denise Tavares Advocacia & Consultoria, o controlador de dados pessoais toma as decisões sobre como será esse tratamento. Como exemplo, ela cita a empresa de contabilidade, que processa a folha de pagamento, deverá ser instruída a tratar os dados pessoais e agir aqui em nome da contratante. Neste caso, a contratante assumiu a responsabilidade pelo tratamento perante o usuário, sendo dela a responsabilidade total, independente se estiver na sua base ou na de um terceiro e, ainda se este está cumprimento a LGPD ou não. “Isso não quer dizer que a questão deve ser inclusa no contrato e pronto, é muito além, envolve ser um agente que está presente e fiscalizando. É um efeito dominó como ocorreu no McDonald’s e no Banco Pan”, ressalta.
Sempre é preciso avaliar qual é o risco para o negócio o compartilhamento dos dados pessoais. De acordo com Tavares, não é algo que as empresas vão conseguir ‘de cara’. Começar a fazer tudo 100% leva tempo de maturação, mas tem que entender quais contratos existem na organização, se existe o compartilhamento, qual o volume e quais são. Todos os requisitos devem ser atendidos dentro da básica da transparência e estabelecer uma cultura de privacidade tendo um ecossistema completo de governança instalado ou não. “Os principais impactos da LGPD, no mundo de Recursos Humanos, estão ligados a uma mudança de gene de cultura, de entender que o dado pessoal não é da empresa é do titular. Quando se vira essa chave, realmente há mudança. Até o processo seletivo é impactado, tem informação requerida que não deveria, que é um ponto sensível como raça, religião etc.”, avalia.
Segundo Marco Pozam, diretor LATAM de Customer Success, a proteção de dados pessoais é um trabalho conjunto de todas as áreas e de toda a cadeia que irá capturar, tratar ou compartilhar, não de ações isoladas para produzir o resultado esperado e lidar com os desafios da segurança. Todos os modelos de negócios estão sujeitos a imposição da lei, tem que ter sempre em mente que os dados pessoais serão de uma importância ímpar, inclusive os de saúde dos funcionários, que se divulgados podem ter um impacto negativo na vida do individuo e na sua família.
Como exemplo, ele cita um caso bem conhecido, o do Steve Jobs, que era o fundador da Apple, quando ficou doente. Imagina se a doença tivesse vazado para o mercado antes? Qual seria o impacto para a família e para as seguradoras? E para o próprio negócio, se não tivesse sido feito de maneira estruturada. O impacto da divulgação de dados pessoais pode ser gigantesco para todos os lados a depender do tipo de informação vazada. Implantar estratégias de segurança de informação, ter um plano que funcione fora do papel são mais que necessários.
“Outra questão importante, 80% dos dados, que são acessados indevidamente, não estão nos ambientes produtivos, ou seja, não estão no ambiente principal da companhia. Estão em base de ambientes secundários, desenvolvidos por aplicativos e sistemas. Apenas 20% acontecem no ambiente de proteção, onde normalmente são centralizados os investimentos para proteção de dados. Há preocupações de muitas organizações de tentar uma estratégia de detecção contínua, mas não adianta se proteger naquele momento, tem que estar o tempo todo avaliando e analisando se dentro desse ambiente patológico existe algum outro tipo de exposição”, finaliza Pozam.
Confira o conteúdo completo do evento no link abaixo:
Denise Tavares, sócia da Denise Tavares Advocacia & Consultoria
Eduardo Depassier, diretor jurídico da ANEFAC e sócio do Levi Depassier Advogados
Marco Pozam, diretor LATAM de Customer Success
