Sancionada em 2018, a LEI nº 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) entrará em vigor em agosto de 2020 e tem como objetivo regulamentar o tratamento dos dados pessoais de clientes e usuários por parte de empresas públicas e privadas.
Além disso, fatores como segurança jurídica, atualizações normativas, cultura de privacidade e transparência nas relações comerciais estão entre os motivos que culminaram na homologação da lei.
Desta forma, qualquer empresa que possuir informações pessoais de seus clientes deverá seguir os procedimentos previstos na lei. Caso contrário, estará sujeita à:
- Advertência;
- Bloqueio dos dados até a regularização;
- Publicação da Infração;
- Suspensão temporária das atividades com estes dados;
- Eliminação dos dados pessoais;
- Multa de até 2% do faturamento ou R$ 50M.
A lei garante a proteção tanto dos dados pessoais, tais como RG, CPF, endereço, quanto dos dados considerados sensíveis, como opinião política, origem racial ou étnica, filiação a organização religiosa, filosófica, política, saúde ou vida sexual, filiação à sindicato, convicção religiosa, dado genético ou biométrico.
É importante observar que ela se aplica aos dados coletados no Brasil, com fins financeiros (bens ou serviços) e é extraterritorial, isto é, aplica-se também aos dados tratados fora do país, (ex.: serviço de cloud que armazena os servidores fora do Brasil). Na lista de exceções, podemos citar os dados coletados por pessoa física, com finalidade particular e não econômica, fins jornalísticos ou acadêmicos, fins de segurança pública, defesa nacional e/ou investigação criminal.
Os agentes de tratamento das informações
A partir de agora as empresas precisarão identificar de forma clara os três agentes envolvidos no tratamento dos dados pessoais em seus processos internos. São eles:
- Controlador: A quem compete as decisões referentes ao tratamento dos dados pessoais.
- Operador: Quem realiza o tratamento de dados pessoais em nome do controlador - pode ser o próprio Controlador ou qualquer terceiro que terá contato com estes dados compartilhados.
- Encarregado: Indicado pelo controlador, é a pessoa (ou empresa) que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional - é o DPO (Data Protection Officer). A ANPD poderá complementar as definições e atribuições deste.
O impacto da lei para as empresas e no mundo CIGAM
Tendo em vista que em meados de 2020 qualquer pessoa terá garantido por lei o direito de saber como é feito o tratamento de suas informações e para quais fins elas são utilizadas, as empresas precisam rever rotinas e comportamentos. Campanhas internas sobre o tema devem ser recorrentes, as quais devem promover a conscientização a respeito da importância da privacidade e dados pessoais - isso é fundamental para o sucesso, não apenas sob o ponto de vista técnico, mas também cultural.
No que diz respeito ao CIGAM, é recomendado que ao realizar uma cópia dos dados de algum cliente, para fins de testes, que se realize uma limpeza destes dados com rotinas automáticas de anonimização ou deleção destas informações, e implementar controles de segurança adequados a cada cenário, não expondo essas informações a ninguém mais do que as pessoas estritamente necessárias.
Esse cuidado quanto a exposição das informações também deve ser tomado no que diz respeito ao acesso aos servidores dos clientes. Logs, atas, perícias e campanhas recorrentes sobre o tema passam a ser rotina para que as empresas possam gerenciar os riscos a um patamar aceitável ao negócio.
Vale ainda reforçar que, independente do software utilizado para a organização e coleta destes dados, a responsabilidade, de acordo com a lei, será sempre da empresa portadora do dado.