Por Rubens Leite e Glades Chuery (*)
Os casos de vazamento de dados pessoais que têm ocorrido no Brasil não são poucos. Apesar da LGPD estar em vigor desde 2020, o ano de 2022 foi marcado por vazamento do cadastro de pessoas físicas e exposição de brasileiros a golpes de phishing. Para se ter uma ideia, o Brasil foi o quarto país com maior número de usuários que tiveram informações pessoais violadas no mundo no segundo trimestre de 2022, de acordo com um estudo global produzido pela empresa de segurança cibernética Surfshark.
Pensando em 2024, a sugestão é que as pessoas físicas tomem o máximo de cuidado em relação a suas senhas e informações pessoais, pois podem ser usadas para algumas transações não autorizadas. Além disso, as empresas devem acelerar ao máximo a implantação e adequação do sistema de governança em privacidade de dados, a fim de possam afastar qualquer possibilidade de aplicação de penalidades legais, que vão desde advertência, até multas de 2% de faturamento.
A implantação da LGPD e/ou do programa de privacidade de dados deixou de ser um elemento de competitividade de mercado e passou a ser um elemento de conformidade, isto é, fornecedores que não tenham um programa de privacidade de gestão de dados pessoais, já podem ser considerados “carta fora do baralho” para muitas empresas. Logo, a implantação e manutenção da LGPD do programa de privacidade de dados passou a ser obrigatório para as empresas. As que não estão adequadas, correm o risco de aplicações de multas e sanções, conforme supramencionado.
A LGPD para pessoas físicas
É muito comum que as pessoas físicas forneçam dados pessoais e nem percebam que estão fornecendo informações que valem “ouro”. Para dar mais clareza, dado pessoal, incluem não apenas CPF, mas tudo o que está relacionado ao titular do dado.
As pessoas físicas titulares dos dados devem ficar atentas às empresas que têm acesso aos seus dados e o que elas fazem com eles, já que a lei exige que isso seja explícito de forma bem clara. Os titulares também podem indagar as empresas acerca do uso, destinação e finalidade de todos os dados que constam em poder da empresa. A pessoa física titular desses dados, seja funcionário da empresa, cliente, fornecedor, tem o direito de saber como eles serão usados e a empresa precisa ter um canal de comunicação para sanar esses questionamentos.
É importante entender que os direitos dos consumidores são a apresentação de forma clara, expressa e inequívoca de quais são as finalidades de uso daquele, dado, qual será o fluxo de dados dentro da empresa. Ou seja, o consumidor tem o direito de receber a informação do que a empresa irá fazer com as informações dele. Então, este é um dos principais direitos do consumidor em relação à LGPD, que é o direito de dar ou não consentimento para uso desses dados, revogar o consentimento, atualizar as suas informações e o direito de ter acesso a esse fluxo de dados. Além disso, o consumidor que tiver algum dano decorrente de um incidente com os dados pessoais, pode recorrer aos órgãos competentes para que possa requerer a devida compensação.
A LGPD para as empresas
Em relação às empresas, é necessário ressaltar a crescente responsabilização pelo uso indevido de dados. Todo o fluxo de dados dentro da empresa deve ser mapeado, ou seja, deve-se entender qual o caminho que os dados pessoais que a empresa recebe e percorre dentro da empresa, é o que chamamos de Data Maping. É fundamental estabelecer rastreamento e mapeamento, implementar mecanismos de controle e adotar uma política de gestão de segurança para informações desse tipo. Esse conjunto de medidas de proteção e regulamentos é conhecido como Compliance de Proteção de Dados, ou Governança em Privacidade, conforme definido pela lei.
Em relação às empresas que não estão adequadas da LGPD, a ANPD — autoridade nacional de proteção de dados — criou mecanismos de recebimento de violação de dados, tanto para uma denúncia de violação, quanto para demais petições dos titulares dos dados, onde toda qualquer forma de desvirtuamento do uso desses dados pelas empresas detentoras será investigado. Administrativamente já temos a autoridade nacional, e outros meios que tem a competência de fazer isso, como o próprio Procon quando estivermos falando de dados de consumidor. Em casos mais drásticos, pode ser recorrido ao poder judiciário justamente para que haja uma atuação de forma a coibir a atuação das empresas de forma contrária a lei.
Afinal, a implantação vai sempre olhar o tamanho da empresa, os dados que ela utiliza e, cada sistema de compliance, terá a cara da determinada empresa - ou seja, pode haver sistemas de LGPD desde o mais simples, em empresas menores que tem uma quantidade menor de procedimentos internos, até procedimentos mais complexos que utilizam uma série de ferramentas de controles para empresas maiores. O essencial é que as empresas tenham um sistema de proteção.
Recomendamos que os primeiros meses de 2024 as organizações utilizem para revisitar, aprimorar e e principalmente fornecer treinamentos, para potencializar ainda mais a cultura de privacidade de dados. Ao final, a lei, LGPD, não quer coibir ou proibir a utilização de dados pessoais, mas sim, utilizá-los para um correto fim.
(*) Glades Chuery é diretora da TATICCA Allinial Global Brasil.
(*) Rubens Leite é advogado e sócio-gestor da RGL Advogados e especialista em LGPD.
12.01.2024