O nosso sócio Bruno Ferola, elaborou um artigo sobre a importância da gestão de riscos no
processo de implementação de políticas das empresas como de LGPD. Para isso, trouxe casos
práticos onde através das decisões que ocasionaram o não cumprimento dos direitos dos
titulares, por não possuir práticas de Compliance e boa gestão, geraram prejuízos financeiros e
de reputação as empresas e seus colaboradores.
Além disso, menciona alguns caminhos possíveis para a conformidade à LGPD.
Atitudes não conformes no âmbito da LGPD
I – Introdução
Vivemos em uma era transformacional na qual: (i) os consumidores possuem cada vez mais a sensação de poder nas relações de consumo; (ii) os funcionários começam a ganhar voz e as empresas, a atender as demandas de bem-estar e transparência de seus colaboradores; (iii) são criados diversos aplicativos e ferramentas que dão mais autonomia aos usuários e; (iv) as empresas utilizam os dados das pessoas para mapeamento de perfil e aumento de faturamento.
Diante desse cenário complexo e sensível, houve a necessidade de criar regulamentos para garantir mais segurança no concernente a essas relações, esclarecendo as práticas no tratamento dos dados pessoais, ampliando e assegurando direitos a todos os titulares.
No Brasil, a Lei Geral de Proteção de Dados (LGPD), sancionada em 2018 pelo ex-presidente Michel Temer e com previsão para entrar em vigência em agosto de 2020, tratou de elencar esses direitos em seu Art. 18, especificando como e quais seriam os prazos para que os titulares possam solicitar junto às empresas e terceiros as informações sobre seus dados, tais como: (i) confirmação de que a empresa/terceiro possui seus dados e, consequentemente, o acesso a quais dados possui; (ii) correção de dados incorretos, incompletos e desatualizados; (iii) restrição no tratamento de dados; (iv) exclusão de dados desnecessários para a prestação do serviço; (v) portabilidade em caso de mudança de um prestador para outro, entre outros.
O rol de direitos dos titulares deverá proporcionar mais transparência e integridade em relação ao tratamento dos dados, oferecendo mais segurança, não só aos usuários, mas também para todo o ambiente nas relações de consumo.
Por outro lado, caso não haja a implementação de políticas apropriadas por parte de quem controla os dados dos titulares, poderão ocorrer prejuízos financeiros e de reputação sem precedentes como na Europa, onde é aplicado o GDPR (General Data Protection Regulation), regulamento que serviu de base para a LGPD e que já vigora há quase dois anos com diversos casos de sanções financeiras e danos à imagem de empresas envolvidas em infrações relacionadas à privacidade de dados.
II – Casos
Um dos casos mais recentes de aplicação de sanção devido ao não atendimento à solicitação de acesso de um titular aos seus dados ocorreu na Bélgica, caso em que a Autoridade de Proteção de Dados belga (DPA – Data Protection Authority) aplicou uma multa no valor de € 2.000 (R$ 9.300) a uma associação sem fins lucrativos1 que presta assistência de enfermagem especializada. A partir deste caso, em que observamos apenas um único titular, é possível imaginar o que aconteceria se milhares de clientes solicitassem informações.
Ainda há dúvidas da aplicabilidade e eficácia da nova LGPD no Brasil. Entretanto, alguns juristas, como o ministro do STJ Paulo de Tarso Sanseverino2, defendem que haverá uma nova demanda no judiciário, similar ao número de consultas do Crédit Scoring (acima de 200 mil ações).
Nesse sentido, pode-se somar o mau atendimento e a falta de resolução dos problemas dos clientes pela via extrajudicial, bem como a ausência de conformidade das empresas, com a nova lei, um cenário propício para que demandas de indenização tramitem por vias judiciais ou extrajudiciais.
Os últimos levantamentos do CNJ indicam quase oitenta milhões de ações judiciais em trâmite no país3, sendo que, segundo pesquisa de consultoria da Gartner, cerca de 70% das empresas ainda não estarão preparadas para atender às exigências da LGPD em agosto de 2020.4
Um exemplo prático dessa possível nova realidade é o aplicativo “We Are David”5, que levantou os e-mails dos Encarregados (DPOs – Data Proteccion Officer) de todas as grandes empresas da Europa, permitindo que os usuários enviem mensagens a este encarregado para solicitar informações sobre seus dados.
III – Do exposto legal
Conforme o Art. 19, inciso II, da LGPD, a empresa/terceiro deverá fornecer as informações solicitadas no prazo de 15 dias, sendo, portanto, metade do prazo mínimo para resposta na Europa e um terço do prazo mínimo na Califórnia, como exemplos.
Diante do demonstrado, fica evidente o aumento do poder e da sensação de segurança dos titulares em relação aos seus dados, a imposição de limites e a consequente diminuição da informalidade das empresas e terceiros no tratamento desses dados.
No momento em que as redes sociais potencializam a repercussão de boas e más notícias, criando um cenário de espetáculo frequente, os consumidores passam a reagir de forma mais intensa aos diversos acontecimentos.
Neste contexto, estar em conformidade com as leis, atendendo as regras para proteção e privacidade dos dados pessoais dos consumidores é extremamente necessário. As empresas devem encarar este momento com seriedade, executando as práticas de Compliance e boa gestão para diminuir os riscos financeiros e de reputação.
IV – Recomendações de conformidade
Por outro lado, as ações de conformidade em relação à LGPD vão muito além das práticas dentro de cada instituição, mas também por toda a sociedade, como por exemplo ao se expor no ambiente web, é importante ater-se para algumas dicas6:
A) A escolha do ambiente ideal:
É importante estar atento ao ambiente físico dentro de sua casa, em que você participará da reunião. Escolha um local que não tenha grande circulação e, se possível, feche a porta.
B) Atenção ao Comportamento:
A reunião pode estar acontecendo por videoconferência e você pode estar dentro da sua casa, entretanto é importante que se mantenha a etiqueta e o comportamento exatamente como se você estivesse no escritório.
Assim, vista-se de acordo com o esperado, mantenha o microfone desligado se não for falar, e atenção com a pontualidade, pois é um fator fundamental para o sucesso da sua reunião.
C) Utilize ferramentas confiáveis e, se possível, criptografadas
Há diversas ferramentas que possibilitam uma reunião online. Pesquisa todas as ferramentas disponíveis e veja a que melhor se adeque às necessidades de sua reunião. Opte para que toda a empresa utilize a mesma ferramenta, para que o uso seja uniforme e todos saibam utilizá-la adequadamente.
D) Políticas e normas de segurança da informação:
O vazamento de informações é algo que vem preocupando cada dia mais as empresas e durante o home office, esse risco aumenta, por isso mantenha-se atualizado sobre as normas de segurança para evitar que ocorram vazamentos.
E) Não grave as reuniões:
É essencial que o público seja avisado se é permitida ou não a gravação das reuniões. Durante as videoconferências podem ser expostas informações valiosas sobre a empresa, sobre funcionários, segredos de negócios e mais ativos de informação essenciais para a vida da empresa.
F) Cada usuário deve utilizar um login:
Não compartilhe seu e-mail e senha com NINGUÉM. Esta é uma medida fundamental que garante que só acessarão a reunião e as informações disponibilizadas os funcionários que precisem de tais informações.
Cuidado com o compartilhamento de celular e notebooks, por exemplo, que podem conter os dados salvos de login e senha.
G) Fique atento às permissões concedidas aos aplicativos:
Deve-se prestar muita atenção às permissões que concedem aos aplicativos, principalmente quando baixados no celular. Suspeite de permissões invasivas e confira os dados aos quais o aplicativo requer acesso para funcionar, que devem ser relacionados apenas ao funcionamento da câmera e do microfone do aparelho celular.
H) Desative notificações em pop-up ao compartilhar a tela:
Ao compartilhar a tela do computador ou do celular durante chamadas de vídeo é importante desativas notificações em pop-up de e-mails, redes sociais e aplicativos de mensagem. As mensagens podem tratar de assuntos privados desnecessários à reunião.
I) Envie o convite da chamada apenas para e-mails confiáveis:
Não compartilhe links de convites de chamadas de vídeo pelas redes sociais, prefira encaminhá-los de forma privada utilizando o endereço de e-mail dos participantes da reunião. Compartilhar a URL dos convites pode atrair desconhecidos e cibercriminosos para a chamada de vídeo, comprometendo informações dos participantes
J) Atualize o antivírus:
O antivírus é um programa de segurança básico e essencial para ter em seu computador. Além de proteger a máquina e os sistemas contra vírus e malwares, ele ainda pode evitar travamentos e a lentidão do computador. Mesmo que incorra em custo, é um recurso poderoso contra-ataques cibernéticos
V – Conclusão
Dessa forma, atitudes não conformes como: (i) vazamento de Nudes (fotos e vídeos íntimos); (ii) Compartilhamento de dados confidenciais via Whatssap ou e-mail pessoal; (iii) Participação de reuniões profissionais em ambientes públicos ou com pessoas não relacionadas ou com rede de wi-fi insegura; (iv) Interação criminosa com menores de idade; (v) Disseminação de notícias falsas “fake news” e (vi) Discurso de ódio e comportamento inadequado vs. Liberdade de Expressão, podem ser evitados com o uso de regras simples e objetivas sobre a LGPD.
Por fim, a LGPD vem para contribuir com a evolução da sociedade em matéria de privacidade e proteção de dados, não devendo de forma alguma ser um impeditivo para o desenvolvimento de uma instituição. Muito pelo contrário. Ao utilizar-se de muitas das ações de conformidade expostas pela lei como criação de normativos e treinamentos, as instituições podem ter seus controles internos elevados e contribuir para a sociedade, por meio dos seus colaboradores, por um uso mais seguro e correto do ambiente online.
[6] Guia de boas práticas em reuniões online – P&B Compliance
Fontes de pesquisa:
https://www.consumidormoderno.com.br/2019/01/29/os-direitos-dos-donos-dos-dados-segundo-lgpd/
https://www.youtube.com/watch?v=TzI5VfvQA6I
https://ec.europa.eu/info/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules/eu-data-protection-rules_en
