5 minute read
TECNOLOGIAS
TECNOLOGIAS / Alexandre Antabi
Desde 25 de Maio de 2018, a GDPR (General Data Protection Regulation) encontra-se implementada como regulamentação aplicável aos países signatários, pertencentes à União Europeia, salvaguardando dados e direitos de seus cidadãos frente aos seus provedores de serviço. Eu participei do projeto de compliance para uma multinacional de TI e me interessei por demais pela área
Advertisement
A LGPD está chegando e ela pode ser boa para o seu negócio!
Embora aqui as discussões já estivessem em estágio avançado quando a norma europeia foi criada, em partes o Brasil se inspirou na GDPR para criar a LGPD, a Lei Geral de Proteção de Dados, que tem como objetivo proteger a liberdade e a privacidade dos indivíduos, balanceando esta, com as necessidades de negócio e inovação das empresas. Nossa lei entra em vigor em agosto de 2020 e traz com ela, certos direitos que nós, indivíduos, passaremos a ter por aqui, conforme o artigo 18 expõe:
I - Confirmação da existência de tratamento;
II - Acesso aos dados;
III - Correção de dados incompletos, inexatos ou desatualizados;
IV - Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - Portabilidade dos dados a outro fornecedor
de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
VI - Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses
previstas pela lei; VII - Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - Revogação do consentimento, conforme disposto em lei.
Como empresas e empreendedores de qualquer porte, nós teremos a responsabilidade de oferecer estes direitos aos nossos clientes, usuários, prospects, fornecedores, funcionários, etc como parte integral do provimento de nossos serviços. Teremos a obrigação de informar o que, como, onde, quem e por quanto tempo os dados serão processados. Só poderemos processar os dados dentro dos critérios pré-estabelecidos (contrato, consentimento, proteção à vida, interesse legítimo, etc.). Teremos a obrigação de preservar os dados e tratá-los com cautela para evitar acessos não autorizados. E deveremos nos desfazer dos dados (ou anonimizá-los, embora esse procedimento ainda seja muito controverso) após sua vida útil ter chegado ao fim. As multas para o descumprimento das obrigações podem chegar até a R$ 50 milhões de reais por infração. Na Europa, já temos alguns exemplos de multas sendo atribuídas às empresas:
A primeira multa foi na Áustria, em outubro, pelo uso de câmeras de segurança que filmava parte da calçada. A multa foi dada pelo fato de que o monitoramento em larga escala, de locais públicos não ser permitido. O estabelecimento foi multado em €4.800,00 Euros.
Outra multa foi aplicada em um hospital Português, no total de €400 mil Euros. Uma das razões foi o fato de os sistemas permitirem acesso indiscriminado aos dados e ao fato de possuírem em sistema dados de quase mil profissionais enquanto haviam menos de 300 efetivamente ativos.
Outra multa na Alemanha, para uma rede social onde houve vazamento de aproximadamente 800.000 contas de e-mail e 1.800.000 informações de usuário e senha. A multa foi de €20 mil Euros, amenizada pela cooperação com a entidade de proteção de dados. Na França, o Google foi multado em €50 milhões de Euros pelo processamento inadequado de dados pessoais, sem fornecer a possibilidade do usuário de oferecer o consentimento de forma ampla e voluntária.
Na Inglaterra, uma empresa de seguros foi multada em €60 mil Euros por instigar o envio de e-mail marketing sem o devido consentimento.
Eu acredito que existem várias. Listo elas a seguir:
1. Oportunidade de se estabelecer políticas internas para o tratamento de dados, mapear os gaps, as práticas, as ferramentas e todo o processo desde a aquisição até a eliminação do dado. A LGPD nos dá a possibilidade (forçada) de revisar as nossas ações como empresa, de obter visibilidade sobre o processo, padronizar procedimentos de diferentes departamentos, escolher as melhores ferramentas, de nos colocarmos na posição do consumidor. 2. Oportunidade de corrigir nossas falhas. É uma ótima oportunidade para corrigir
problemas de segurança e tratamento que caíram em backlog, technical debt ou depriorizados (e que estejam relacionados ao tema).
3. Investir na capacitação da equipe. Como o LGPD não foca apenas em sistema, é importante que as pessoas que lidam com dados pessoais estejam devidamente treinadas. Por exemplo, não pegar os dados de um sistema interno e disponibilizá-los em um ambiente inseguro, carregar em um pen drive, etc. 4. Oportunidade de escolher fornecedores de TI que estejam comprometidos com a segurança dos dados. Teremos a oportunidade de trabalhar com “Processors” que colocam a qualidade do serviço e a proteção dos dados como prioridade. Afinal, a brecha deles é a sua brecha.
5. Imagem. Você mostra aos seus clientes que você se importa com eles e acima de tudo respeita suas decisões de contato. Como consumidor, quantas não foram as vezes que você pediu para sair de uma lista de marketing e nunca foi atendido?
É um momento bacana, propício, para dar aquele salto em Customer Experience.
Na Macher Tecnologia (https://www. machertecnologia.com.br/)nós desenvolvemos nosso primeiro produto, o Turma na Web (https://www.turmanaweb.com.br/) já com os conceitos de privacidade (Privacy by Design & Privacy by Default) e já estando em conformidade com a LGPD. Este artigo não tem como objetivo oferecer consultoria, recomendação, direção, aconselhamento. É um material resumido desenvolvido para fomentar o pensamento e estimular o questionamento. Não oferece quaisquer garantias de acurácia, completude ou conformidade. Se você precisa de ajuda com a sua adequação, me envia uma mensagem para um atendimento customizado e personalizado. Contamos com um escritório parceiro jurídico para auxiliar no processo, com advogados especialistas em Direito Digital por algumas das maiores instituições do Brasil, e que poderão auxiliar no que for necessário, assim como nos auxiliaram quando precisamos.
Fontes:
1.
2.
3.
4.
http://www.planalto.gov.br/ccivil_03/_Ato2015- 2018/2018/Lei/L13709.htm https://www.pandasecurity.com/mediacenter/ news/first-sanctions-gdpr-infractions/ http://fortune.com/2019/01/21 /france-finesgoogle-57-million-for-gdpr-violations/ https://ico.org.uk/action-weve-taken/
NOSSO COLUNISTA SAGAZ: ALEXANDRE ANTABI
Alexandre traz, em sua bagagem, uma experiência de 19 anos em multinacional de tecnologia, trabalhando com projetos globais para a Web e mindset Digital. Com sólida experiência em Gestão de Projetos, é certificado como PMP é certificado como PMP (Project Management Professional) e CSM (Certified Scrum Master).
Se você acha que este livro é importante, colabore com a campanha de publicação.
