Companhias têm de redobrar a cautela com os dados


Gigantes de tecnologia, como Facebook e Google, entraram na rotina diária de milhões de pessoas em todo o mundo de uma forma quase simbiótica. Enquanto avançam na capacidade de monitorar cada passo de seus usuários no mundo real ou virtual, essas empresas ajudaram a elevar a discussão sobre privacidade de dados a um dos temas mais críticos da atualidade.
É notável que, desde janeiro, a primeira lei americana dedicada a garantir o sigilo de dados de consumidores tenha entrado em vigor na Califórnia, berço de algumas das principais companhias de tecnologia do mundo. Desde o primeiro dia do ano, passou a valer o California Consumer Privacy Act, legislação estadual que regulamenta a coleta e o uso de dados pessoais de consumidores californianos pelas empresas instaladas na região.
As multas por vazamento de dados podem variar de 2.500 a 7.500 dólares por informação vazada — valor considerável quando a empresa lida com um grande volume de dados. A lei chega pouco mais de um ano depois do Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês), legislação que segue a mesma linha rigorosa implementada em 2018 pela União Europeia. No Brasil, o tratamento de dados caminha na mesma direção com a criação da  Lei Geral de Proteção de Dados (LGPD), que, sancionada em 2018, passará a valer em agosto.
Um ponto comum une as novas regras nos Estados Unidos na Europa e no Brasil: o grau de rigor não apenas em relação às exigências mas também às punições previstas. Assim como na lei europeia, as sanções administrativas no Brasil poderão chegar a 2% do faturamento da empresa no ano anterior, com o limite de 50 milhões de reais por infração. O trabalho de fiscalização ficaria a cargo de uma nova agência, a Autoridade Nacional de Proteção de Dados, ainda sem data para sair do papel. “Desde as discussões sobre o Marco Civil da Internet em 2007, já havia, no Brasil, a intenção de regulamentar o tratamento de dados”, diz a advogada Marcela de Oliveira Santos, do escritório Duarte Garcia, que colaborou na elaboração da LGPD.
“O sistema de responsabilização ficou muito mais sofisticado, e isso demandará trabalho intenso e multidisciplinar dentro das empresas.” Há indícios de que boa parte dessa preparação só começou. Uma pesquisa concluída em novembro de 2019 pela consultoria de compliance ICTS Protiviti mostra que 84% das companhias no país admitiam não estar preparadas para atender a todas as novas exigências.
Se até agora as empresas se concentravam em acumular dados sobre os consumidores, daqui para a frente o foco também estará voltado para organização, monitoramento e uso responsável dessas informações. Não é uma mudança trivial. Parte das alterações exige uma adaptação mais simples, como na rotina de cadastramento dos clientes. Hoje as empresas têm liberdade para propor cadastros extensos. A partir de agosto, cada dado pedido deverá ser justificado. Pode não fazer sentido, por exemplo, perguntar o estado civil do cliente para realizar um cadastro antes de uma simples compra.
Existe, também, uma classificação de dados pessoais sensíveis, que envolvem informações sobre origem étnica, convicções religiosas, opiniões políticas e questões de saúde, entre outras. Para a captação desses dados, será necessário consentimento prévio e claro do titular, algo que não ocorre na obtenção de dados comuns. Outras novidades da lei demandam uma reorganização mais complexa. Numa medida comum às leis europeia e californiana, por exemplo, qualquer pessoa poderá solicitar a exclusão de todas as suas informações registradas na base de dados de uma companhia. 
“Do início de 2018 em diante, a Europa viu uma correria frenética das empresas para se adaptar à nova lei”, diz Geert Aalbers, sócio da consultoria Control Risks, especializada em análise de riscos. “Um dos grandes desafios foi o mapeamento de dados: eles estavam tão dispersos que as empresas nem sequer sabiam onde eram armazenados. Essa é uma dificuldade que as empresas brasileiras também devem enfrentar.”
Mapear os caminhos percorridos pelos dados após sua captação é o primeiro movimento de adaptação das organizações. Especialmente influenciado pelas regras europeias, o braço do supermercadista francês Carrefour no Brasil finaliza o mapeamento nas empresas do grupo e acerta os detalhes do plano de ação. “Enviamos formulários a pessoas-chave da organização e fizemos entrevistas para entender como os dados circulam”, diz Ana Luísa Hieaux, diretora jurídica do Carrefour. “Agora, estamos prestes a formalizar a estrutura da área de proteção de dados, com foco em e-commerce, varejo, banco Carrefour e Atacadão.” 
Segundo ela, a empresa prevê a instauração de um comitê de privacidade para deliberar sobre os temas relacionados à LGPD e à criação de um cargo de liderança em cada unidade da rede de lojas, que deverá responder ao encarregado de dados — cargo compulsório dentro da nova legislação, ainda a ser nomeado. O processo de adaptação à lei está sendo feito a quatro mãos: ao lado de Ana Luísa está o diretor de segurança da informação, Renã Santos, responsável pela parte técnica.
A situação é mais complexa quando as  empresas têm o intermédio de terceiros na relação com os clientes. É o caso da construtora mineira MRV, cujo processo de vendas é mediado por corretores terceirizados que precisam de acesso aos dados para abordar os clientes. “O compartilhamento de informações deve continuar, mas os corretores terão acesso apenas ao que é necessário para o contato”, diz Guilherme Freitas, diretor jurídico da MRV. Lá, os movimentos para a adaptação começaram quando a lei foi publicada. A empresa montou um time de sete pessoas das áreas jurídica, de tecnologia, de auditoria e de compliance para cuidar do processo. O grupo faz relatórios mensais a um comitê, que reúne diretores das quatro áreas.
Outra questão crítica está relacionada à segurança das informações. A maior multa aplicada na Europa com base na nova lei, no valor equivalente a 230 milhões de dólares, tem a ver justamente com um caso de fraude. Segundo o Escritório do Comissário de Informação, órgão que regula a proteção de dados no Reino Unido, uma brecha no site da companhia aérea British Airways levou usuários a uma página fraudulenta, por meio da qual foram captadas informações pessoais de cerca de 500 000 clientes, como número de cartão de crédito, nome e endereço. No Brasil, um dos casos mais recentes é o da operadora de telefonia Vivo, que admitiu uma brecha de segurança que expôs dados como nome, endereço, CPF e e-mails de um número não divulgado de clientes. 
Após o vazamento dos dados, a Vivo foi notificada pelo Procon e respondeu ao órgão, que analisa o caso. A expectativa é que a decisão sobre a autuação saia ainda no primeiro trimestre do ano, com possibilidade de recurso pela organização. A multa a ser aplicada poderá chegar a 10,3 milhões de reais, que é o teto de punições administrativas do órgão. A empresa está há mais de um ano mapeando processos e sistemas com o apoio de uma consultoria e de uma equipe interna. Além disso, já designou uma executiva da casa para assumir as funções de encarregada de dados.
O tamanho do trabalho decorrente da nova regulação pegou de surpresa os próprios reguladores europeus. Com receio das multas, as empresas preventivamente passaram a enviar a eles uma avalanche de notificações, antecipando qualquer movimento que pudesse ser considerado fora da curva. A Holanda liderou a lista de países em número de notificações: foram mais de  20 000 em 2019. 
Em alguns países, há a perspectiva de aumentar a equipe para analisar tantas informações. No Brasil, não há uma data estipulada para a criação da agência reguladora. Especialistas são unânimes em apontar que o novo órgão vai ditar o ritmo de adoção das novas regras na prática. Apesar dessa incógnita, não há dúvida de que viver sob o domínio de regras cada vez mais rígidas nessa seara é um caminho sem volta.
Fonte: Revista Exame.
everyti.com.br

Nenhum comentário: