Sinproquim realiza workshop esclarecedor sobre a Lei Geral de Proteção de Dados

Com especialistas, evento realizado na manhã desta quarta-feira (26) explicou os principais pontos da nova legislação

A Lei Geral de Proteção de Dados (lei nº 13.709) entrará em vigor somente em fevereiro de 2020, mas as empresas brasileiras precisam começar imediatamente a planejar suas adaptações. Válida para todas as companhias que captam e manuseiam dados – independentemente de seu porte ou setor de atividade – a legislação é bastante complexa e o país terá apenas 18 meses para se adequar. Visando promover o conhecimento e auxiliar suas associadas na compressão deste grande desafio, o Sinproquim realizou na manhã desta quarta-feira, 26 de setembro, um workshop com Maressa Juricic, da PwC, e Denise Tavares, do escritório Loeser, Blanchet e Hadad Advogados.

“A nova lei é uma realidade e teremos que, dia a dia, mudar a cultura das empresas e de todos os que são responsáveis pelo manuseio dos dados. Ao organizar este workshop, buscamos dar ferramentas para que todos entendam a legislação que revolucionará os processos internos das companhias”, comentou Elisa Jaques, da assessoria jurídica e de recursos humanos do Sinproquim, responsável pela coordenação do evento. Para Ricardo Neves de Oliveira, diretor-executivo do Sindicato que também prestigiou o encontro, o tema é altamente relevante. “Trouxemos duas especialistas com grande experiência na área pois acreditamos que esse assunto será muito discutido e terá de ser equacionado nos próximos meses”, declarou.

Depois de apresentar o cenário desenhado após as espionagens em território norte-americano reveladas por Edward Snowden e que foram um dos pontos responsáveis pelo desencadeamento de legislações para proteção de dados em todo o mundo, Maressa enfatizou que as empresas que se adaptarem e passarem a cumprir as exigências legais impostas pela lei nº 13.709 ganharão uma boa vantagem competitiva. “Hoje muitos países têm suas legislações a respeito da privacidade de dados e as empresas da União Europeia, por exemplo, já estabeleceram uma série de requisitos para firmar acordos comerciais”, declarou.

Maressa aproveitou a oportunidade para esclarecer, exatamente, o que são os dados pessoais e os dados pessoais sensíveis, termos que muitas vezes geram dúvidas. “Até um tempo atrás compreendíamos que dados pessoais eram nome, endereço, filiação e telefone de contato. Porém a nova legislação abriu o leque e afirma que toda informação que, quando associada a uma pessoa, gere uma nova informação sobre ela, também caracteriza um dado pessoal”, explicou utilizando, como exemplo, o IP de nossos computadores que, quando rastreado, aponta nossa geolocalização.

Na sequência, a especialista definiu que dados pessoais sensíveis – que exigem um tratamento ainda mais cauteloso – são todas aquelas informações que podem ser utilizadas para fins discriminatórios: “Dados de saúde, informações biométricas e genéticas, religião, orientação sexual e opiniões ideológicas, por exemplo, têm restrições com relação ao seu tratamento”, pontuou.

Em sua apresentação, Maressa apontou algumas das questões mais importantes da nova lei. Para ela, é preciso observar as justificativas jurídicas que autorizam a coleta e tratamento de dados pessoais. Dentre as hipóteses listadas no artigo 7º do segundo parágrafo do texto, estão o consentimento do titular, o cumprimento de obrigação legal ou regulatória, a realização de estudos por órgão de pesquisa e a proteção da vida ou da incolumidade física do titular ou de terceiros.

Segundo Denise, é importante quebrar um paradigma. “Até recentemente tudo estava baseado no consentimento”, comentou referindo-se ao fato de que toda e qualquer instituição se sentia segura se colocasse em seus formulários uma opção para que o usuário autorizasse aquele procedimento. “A lei tirou essa hegemonia trazendo mais nove opções de justificativas”, disse.

Para ela, o mais importante é que a empresa defina qual sua justificativa para coletar os dados de seus funcionários, clientes ou parceiros e mantenha-se fiel à essa declaração. “O que não pode é, por exemplo, uma empresa coletar dados informando que serão utilizados em um processo seletivo e, depois, passar a encaminhar e-mails de vendas para essas pessoas”, comentou relembrando casos ocorridos em território brasileiro e trazendo, à tona, o caso recentemente ocorrido nos Estados Unidos quando a rede social Facebook compartilhou indevidamente dados de mais de 80 milhões de usuários com a consultoria Cambridge Analytica.

Denise, que deixou claro que a Lei Geral de Proteção de Dados não invalida o código de defesa do consumidor e o marco civil da Internet, acredita que com a legislação as empresas terão mais cuidado com a quantidade de dados que coletam, o que evitará que informações pessoais desnecessárias aos negócios circulem em ambientes pouco seguros. “As empresas começarão a olhar melhor esses dados para evitar tanta exposição”, comentou dizendo que as marcas não estarão blindadas, mas deverão investir em medidas de segurança mínimas para prevenir qualquer incidente e que isso diz respeito a todos os departamentos, do jurídico ao marketing.

As especialistas também falaram sobre a necessidade de observar restrições para tratamento de dados pessoais sensíveis e processamento de dados de crianças e adolescentes, cuja coleta precisa de consentimento de um dos pais; os plenos direitos dos titulares dos dados; a necessidade de definição de um responsável interno sem conflitos de interesse que assumirá toda a gestão dos dados de todas as áreas da companhia, e a necessidade de comunicação à entidade reguladora e à pessoa lesada em caso de incidentes de segurança como vazamentos e perda de banco de dados.

Autoridade regulatória – Em 2019 o Brasil deverá criar, via medida provisória, uma autoridade nacional que será a responsável por toda a regulamentação. Na Europa, segundo Maressa, cada país conta com uma DPA (Data Protection Autority). A multa em caso de incidentes, que já foi definida, pode chegar à R$ 50 milhões ou 2% do faturamento do grupo. “As multas são altas para garantir que o mercado leve a legislação à sério”, disse Maressa.

Como iniciar a adaptação – “Dezoito meses parece muito tempo, mas é muito desafiante para empresas que terão de investir em grandes mudanças de processos e no sistema de revisão de contratos”, comentou Maressa incentivando os presentes a iniciarem desde já seus planejamentos.

Na Europa, cuja legislação inspirou a brasileira, o mercado teve dois anos para entender e se adaptar à nova lei de proteção de dados pessoais. No Brasil o prazo é mais curto e, para as especialistas, o primeiro passo deve ser a criação de um data mapping. “Sugerimos que todos foquem nos seus principais riscos, priorizando aqueles que expõem as organizações de forma significativa”, alertou Maressa explicando que um data mapping é um inventário com todos os dados pessoais que a empresa trata de alguma forma. “É preciso listar absolutamente tudo em um trabalho minucioso, pois qualquer dado que for deixado de lado dentro deste inventário se transformará em um risco aberto”, completou.

Paralelamente a isso, as empresas serão classificadas em dois segmentos: empresas operadoras são as que processam os dados, e empresas controladoras são as que tomam as decisões com base naqueles dados para oferecer produtos, serviços e soluções. Ambas devem estar adequadas à legislação e, quando há um contrato entre elas, como por exemplo no caso de uma marca que contrata uma empresa para gerir suas folhas de pagamento, esses contratos deverão ser revistos para garantir exatamente qual o papel de cada uma no tratamento desses dados.