Especialistas preveem surgimento de companhias terceirizadas para lidar com dados de pequenas empresas

Reprodução

De padarias que anotam dívidas de clientes em caderninhos a startups digitais, todas as empresas coletam dados de clientes. Com a quarta revolução industrial, o entendimento acerca de informações pessoais mudou, já que elas passaram a ser base de operações realizadas pela internet e também transformaram-se em moeda corrente entre companhias de marketing. Enquanto, há uma década, os números do RG significavam apenas um identificador, hoje podem ser entendidos como extensão da personalidade de indivíduos, através do qual pode-se descobrir sua etnia, crença, nível socioeconômico, vida sexual.

Por isso, ao redor do mundo, leis de proteção a dados têm sido adotadas. Em geral, o intuito é proteger cidadãos de práticas abusivas, dar transparência e criar um campo comum no qual empresas com atuação em diferentes países podem trabalhar. “Na realidade, o Brasil aderiu tarde a este movimento”, afirma Rafael Maciel, advogado especialista em Direito Eletrônico pela Florida Christian University e presidente do Instituto Goiano de Direito Digital (IGDD).

A Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada por Michel Temer em de 2018, entrará em vigor em agosto deste ano. A nova regra cria exigências para todas as empresas ao delimitar quais dados podem recolher e o que podem fazer com dados sob quais condições. O tratamento indevido desses dados ficará sujeito a sanções, com multas de até 2% do faturamento a cada infração, com máximo de R$ 50 milhões. 

Rafael Maciel afirma que encarregados de proteção de dados (DPOs) irão lidar com dados de pequenas empresas | Foto: Reprodução

“Somos um dos últimos países na América Latina a criar esse tipo de regra. Além de ser um resgate do elo de confiança do titular dos cidadãos e poder público e empresas, o Brasil precisava fazer isso para se integrar ao mercado global. Há muito tempo Uruguai e Argentina têm flexibilidade para fazer negócios com europeus, ou ter subsidiárias na Europa”, afirma Rafael Maciel. 

O que muda

Juliano Lopes de Oliveira, professor da Universidade Federal de Goiás atua, entre outras, nas áreas de Banco de Dados e Sistemas de Informação. O doutor em Ciência da Computação afirma que estão passíveis de punição erros como vazamentos ou comercialização de informações. 

“Para evitar esse tipo de penalidade, organizações que fazem tratamento de dados pessoais deverão adotar boas práticas e de governança, estabelecendo processos e procedimentos para tratamento e atendimento a reclamações e petições dos titulares desses dados. Devem ser adotados normas de segurança e padrões técnicos no tratamento de dados, além de ações educativas e mecanismos internos de supervisão e de mitigação de riscos relacionados ao tratamento de dados pessoais”, diz Juliano Lopes de Oliveira. 

Segundo o professor, as medidas certamente contribuirão para maior proteção às informações pessoais, o que significa mais sigilo, integridade e disponibilidade das informações para o seu titular. Será possível apagar registros de atividades ou de cadastros com maior frequência do que se é capaz hoje, por exemplo. Há também atenção especial dedicada a uma categoria de dados chamados de sensíveis. São os que dizem respeito a origem racial, convicção religiosa, opinião política, filiação sindical ou a grupos filosóficos, bem como referentes à saúde ou à vida sexual e dados genéticos ou biométricos.

Juliano Lopes de Oliveira afirma que existe boa razão para se preocupar especialmente com essas informações. “Esses dados são muito valorizados por empresas que querem segmentar o seu público de acordo com suas características pessoais, de forma a oferecer produtos e serviços personalizados”, diz o professor. Além disso, ele lembra que a exposição destas características de uma pessoa  pode causar desconforto e constrangimento para o titular dos dados, e permite a classificação de pessoas de forma preconceituosa, interferindo diretamente em seus direitos e liberdades individuais.

Juliano Lopes de Oliveira diz que detentores de dados terão maior discricionariedade sobre suas informações | Foto: Reprodução / Arquivo Pessoal

Como muda

A LGPD define agentes que tratam os dados, como o Controlador e o Operador. O Controlador é aquele que decide sobre o tratamento, como por exemplo o dono de uma empresa. O Operador será responsável pelo tratamento propriamente dito. Especialistas, como Marco César Chaul, preveem que essa função será exercida por companhias contratadas, especializadas tanto em tecnologia quanto em direito, da mesma forma como contadores atualmente são terceirizados para gerir finanças de pequenas empresas. 

Marco César Chaul é presidente do Sindicato das Empresas de Informática, Telecomunicações e Similares do Estado de Goiás (Sindinformática). Ele antecipa: “Aparecerá um novo tipo de prestação de serviço para as micro e pequenas, que não terão condição de ter esse profissional operador exclusivo. Talvez associações como Federação do Comércio de Bens, Serviços e Turismo do Estado de Goiás (Fecomércio/GO) possam auxiliar micro e pequenas empresas”.

O especialista em Direito Eletrônico Rafael Maciel afirma, entretanto, que empresas não têm se preparado devidamente para a mudança que entrará em vigor neste setembro: “Ainda não compreenderam que cumprir o processo de adequação não só é passar um documento. A mudança depende da implementação de uma cultura, da mudança de governança. Isso não acontece da noite para o dia. Poucos estão se movendo”.

Como consequência, Rafael Maciel prevê: “Na virada do ano haverá correria para fazer esses processos. Perceberão que é um processo sem volta quando começarem a sair multas, indenizações individuais. Empresários têm de entender que precisam mudar o mais cedo possível”. 

Rafael Maciel lembra, entretanto, que multas por maus usos de dados já existem e vêm geralmente via Código de Defesa do Consumidor, mas as práticas que geram punições não são bem definidas. Portanto, empresários não devem ver a mudança apenas como mais uma obrigação. “É uma oportunidade porque, pela primeira vez, teremos uma diretriz de adequação, um norte, saberemos exatamente o que fazer. É uma excelente oportunidade para empresas se adequarem não só para fugir de multa, mas atendendo pessoas que valorizam tratamentos de dados de forma responsável”, afirma o especialista em Direito Eletrônico. 

Presidente do Sindicato das Empresas de Informática, Telecomunicações e Similares do Estado de Goiás (Sindinformática), Marco César Chaul | Foto: Reprodução / Sílvio Simões

Quem muda

Não apenas empresas privadas terão de se adequar, mas também os agentes do Estado que tratam dados pessoais. Segundo a Secretaria de Desenvolvimento e Inovação (Sedi), o Governo de Goiás já começou a realizar adaptações para aderir às novas regras. Uma das mudanças efetuadas foi a criação da Gerência de Gestão da Informação, que, desde 2019, investe na capacitação dos servidores do Estado e da administração pública à LGPD. O foco é dar o tratamento adequado a dados, evitando vazamentos e usos indevidos de informações pessoais dos cidadãos.

A Sedi informa que:

“Uma das primeiras ações do Governo de Goiás para se adequar à LGPD foi a publicação do Decreto nº 9.488, de 5 de agosto de 2019, que dispõe de regras específicas sobre o compartilhamento de dados cadastrais no âmbito da Administração Pública. Outra ação relevante iniciada também em 2019 foi a realização de um diagnóstico preliminar das bases de dados que contém dados sensíveis. Como resultado dessas ações, foi traçado um plano de ação de governança de dados, que já está sendo implantado. Ele é dividido em três dimensões, que contemplam a governança de dados, as medidas de segurança de proteção dos dados pessoais e o atendimento aos direitos dos indivíduos.”

Em nível federal, a lei que cria a Autoridade Nacional de Proteção de Dados (ANPD) foi sancionada em julho de 2019. A autoridade terá um conselho composto de 23 representantes, titulares e suplentes, de órgãos públicos e da sociedade civil. A entidade trabalhará sob denúncia e reverterá multas advindas da LGPD para um fundo especial. 

Experiência internacional

A Access.run é um software de acesso expresso de pessoas – um aplicativo que permite a anfitriões enviar convites digitais para seus visitantes e autorizar sua entrada em portas, catracas e cancelas sem necessidade de porteiros, recepcionistas ou seguranças. O sistema, como todas soluções digitais do gênero, necessita de dados – informações sobre controladores e usuários.

Entreanto, por ter de se adequar às versões americana, europeia e brasileira da LGPD, Donato Cardoso, cofundador da empresa, afirma que a Access.run tem de fazer uma gestão rígida dos dados de seus clientes. Ocupando o papel de operador de dados, a empresa que gerencia o acesso de clientes a espaços controlados dá a oportunidade de visitantes apagar seus registros (e de saber quando não serão capazes de fazer isso), bem como opta por coletar apenas dados triviais de usuários, e não seus dados sensíveis.

“Quando você entra em um condomínio com portaria tradicional, você sabe a quem a informação é destinada? Sabe qual empresa é operadora daquela informação, qual é o pessoal da segurança?”, provoca Donato Cardoso. “Seus dados ‘analógicos’ podem ser espalhados, copiados, roubados, perdidos no relacionamento interno. O meio digital é mais ético porque deixa claro para o usuário o que está acontecendo”.

Donato Cardoso explica ainda que há “zero chance” de a companhia vender dados de clientes porque a estrita legislação europeia (na qual a LGPD brasileira se baseia) não permite que esta venda ocorra sem autorização expressa de usuários. A empresa, que também opera na Inglaterra, é um dos exemplos de companhias tecnológicas que necessitam encontrar um terreno comum entre legislações para atuar entre continentes.

Tiago Lucas e Donato Cardoso, co-fundadores da Access.Run se adequam às leis de proteção de dado de três continentes | Foto: Reprodução / Access.Run

Muda para melhor?

Juliano Lopes de Oliveira pondera sobre a LGPD adotada pelo Brasil. Segundo o professor, o conteúdo da LGPD brasileira foi fortemente embasado no Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR) da União Europeia, que entrou em vigor na Europa em 25 de maio de 2018. Espera-se, portanto, que os mesmos benefícios alcançados com o GDPR sejam obtidos pela LGPD. 

“Por exemplo, ataques cibernéticos são comuns na atualidade e envolvem organizações de todas as dimensões e naturezas, inclusive empresas tecnológicas, como Facebook e Amazon”, diz Julio Lopes de Oliveira. “Alguns desses ataques resultam na exposição de milhares de informações pessoais. Antes da GDPR, as empresas levavam muito tempo para divulgar qualquer violação de dados a seus clientes. Com o GDPR da UE, as empresas devem informar seus clientes de uma violação que os envolvem em até 72 horas, sob pena de receber multas severas. Resta saber se o Brasil aplicará a LGPD com o mesmo rigor e intensidade que a União Europeia”.

Marco César Chaul opina: “A gente tem de regulamentar. O Google praticamente sabe o que estamos pensando e tem uma gama de possibilidades de para usar minhas informações para fins não comunicados. Agora, o usuário terá será mais informado e terá possibilidades de se proteger”. O presidente do Sindinformática exemplifica: “Caso eu dê meus dados em um cadastro de farmácia, eles não poderão vendê-los para uma companhia de seguro. Poderiam cobrar mais caro caso soubessem quais remédios compro ou tivessem informações sobre minha genética”.