Dados. Não se fala outra coisa, no mercado, se não dados. Tanto é que a Autoridade Nacional de Proteção de Dados (ANPD) pulicou, em apenas seis meses, 30 normas sobre a Lei Geral de Proteção de… Dados (LGPD).
De um lado, a quantidade e a frequência das publicações demonstram um esforço significativo por parte da ANPD para regulamentar e esclarecer a aplicação da LGPD. Entretanto, a velocidade das mudanças pode ser um desafio para as empresas e profissionais que buscam estar em conformidade com a legislação. Não acompanhar as atualizações pode resultar em não conformidades, o que, por consequência, pode levar a sanções e penalizações.
“Por isso, é fundamental que as organizações adotem estratégias proativas para monitorar e assimilar as novas diretrizes. Isso inclui a criação de uma equipe responsável pela legislação de proteção de dados, a utilização de ferramentas de automação para o acompanhamento de publicações relevantes e a promoção de treinamentos regulares para os colaboradores”. A afirmação foi dada por Lara Garcia Gonçalves, DPO da Edenred Brasil. Ela foi responsável pela mediação de um dos painéis na 2ª edição do DPO Talks. O evento é uma iniciativa da própria Edenred, plataforma digital líder para serviços e meios de pagamento, em conjunto com o BNP Paribas Brasil, banco líder na União Europeia com presença em mais de 60 países.
Dados demandam atualização
No parecer de Lara, a concepção do evento se deu porque, diante da necessidade de atualização constante, a troca de informações e experiências entre organizações é o recurso mais salutar. “E o propósito do DPO Talks é justamente permitir que setores compartilhem aprendizados e se fortaleçam mutuamente diante das mudanças”.
No DPO Talks, a atividade contou com a participação dos seguintes especialistas: Nuria López, do Daniel Law; Luis Fernando Prado, do PVA Advogados; Fernanda Maia, do Marcel Leonardi Advogados; Juliana Abrusio, do Machado Meyer Advogados, e Caio Lima, do VKL Advogados.
Em resumo, eles deixaram claro que, embora o cenário atual seja de desafio, ele abre, ao mesmo tempo, espaço para a construção de uma “nova cultura de proteção de dados nas empresas”, contribuindo para a transparência e a confiança dos consumidores. E ficou claro que adaptar-se rapidamente às novas exigências da LGPD é um investimento que traz retornos significativos, garantindo a sustentabilidade e a reputação no mercado.
Dados comprometidos
O que você, consumidor, faria se seus dados pessoais fossem comprometidos?
A pergunta é feita porque a cada dia, o mundo está presenciando um aumento alarmante em incidentes de vazamento de dados. Empresas de todos os tamanhos estão sendo impactadas, deixando consumidores mais vulneráveis.
Mas, o que é, afinal, o vazamento de dados, e porque ele é tão impactante?
Um vazamento de dados é qualquer incidente em que informações sensíveis da empresa são expostas. Isso pode ocorrer devido a falhas ou invasões em sistemas. O resultado é a visualização, a cópia ou a comercialização não autorizada de dados, que podem ser disseminados em outros meios, comprometendo a confidencialidade.
Só para exemplificar, o Banco Central (BC) informou recentemente um vazamento de dados de 150 cadastros realizados na plataforma de comércio eletrônico Shopee. De acordo com o BC, os dados expostos não são considerados sensíveis. Ainda segundo a autarquia, eles se referem às informações ligadas a chaves Pix cadastradas no site e no aplicativo, como nome do usuário, CPF, instituição financeira, agência, número e tipo de conta. Agora, imagine só se esse vazamento atingisse todas as pessoas que compram pela Shopee via cartão de crédito. Pode acontecer. Consegue imaginar o tamanho do estrago?
Segundo a pesquisa de Hábitos do Consumidor realizada pela Mastercard em fevereiro de 2024, o cartão de crédito é o líder do consumo online. Ao todo, 69% dos consumidores preferem pagar nessa modalidade.
“Ocorre que a proteção de dados não é apenas uma preocupação técnica; é uma questão de confiança. Quando as empresas falham em proteger suas informações, os usuários se tornam alvo de fraudes e roubo de identidade”, explicou Caio Lima.
Consequências do vazamento
Caio Lima esclareceu que, entre as consequências do vazamento de dados, está a exposição de informações confidenciais, seja da empresa, ou dos consumidores e parceiros. É comum que a organização tenha no banco de dados um banco de informações, documentos, informações de contato e até dados bancários das pessoas que compraram ou adquiriram serviços. “Assim, um vazamento de dados é responsável por causar danos severos à reputação do negócio”.
E outra: quando uma crise ocorre, a percepção do público muda rapidamente. Clientes se tornam céticos e fornecedores podem hesitar em colaborar. Em um mundo conectado, as informações se espalham rapidamente. Um único erro pode se tornar um trending topic, afetando não só a marca, mas também os negócios. No DPO Talks, ficou explícito que, depois do acontecido, não há remédio. A prevenção é a chave!
Outra consequência séria se há vazamento de dados é a possibilidade de multas e sanções impostas pela ANPD. A LGPD estabelece multas que podem variar de 2% do faturamento anual da empresa até um teto de R$ 50 milhões por infração. Uma penalidade aplicada conforme a gravidade da violação (se há reincidência, por exemplo) e a capacidade econômica da empresa.
No que tange aos clientes, a quebra da privacidade dos dados dos mesmos pode acarretar a perda desses consumidores. Se os consumidores não se sentirem seguros ao fornecer suas informações pessoais a uma empresa, é provável que procurem opções mais confiáveis. Ademais, a divulgação inadequada de dados pode resultar em ações judiciais por parte dos afetados, gerando custos legais e possíveis indenizações.
Transferência Internacional dos Dados
Outro assunto debatido na ocasião foi a transferência internacional dos dados. Importante salientar que no dia 24 de setembro a ANPD lançou uma página específica sobre Transferência Internacional de Dados (TID) em seu portal oficial. Nas palavras de Luis Fernando Prado, do PVA Advogados, a iniciativa tem como objetivo assegurar maior transparência e auxiliar empresas e cidadãos na compreensão dos mecanismos que regulam a transferência de dados pessoais para fora do país.
Em suma, a nova página oferece uma plataforma. Nela, controladores e operadores de dados podem encontrar orientações detalhadas sobre como realizar petições eletrônicas e tramitar pedidos de análise dos mecanismos de TID. Dentre os mecanismos regulados, estão as cláusulas contratuais específicas e as normas corporativas globais. Elas garantem a conformidade das transferências com os requisitos legais.
Contrato
A TID é abordada no capítulo V da Lei Geral de Proteção de Dados Pessoais (LGPD). O capítulo estipula que a transferência internacional de dados pessoais deve garantir a proteção adequada dos dados enviados para outros países ou organizações internacionais. Além disso, a norma determina que a transferência só é permitida em situações específicas, como para países que ofereçam um nível adequado de proteção ou por meio de cláusulas contratuais padrão aprovadas pela ANPD.
“Estamos falando de um tema rico, e complexo. E que é considerado o ‘patinho feio’ da LGPD. Na verdade, nós fomos empurrando esse assunto com a barriga para depois; e o depois chegou”, disse Luis Fernando Prado. “O caminho mais natural para colocar essas diretrizes em prática é pegar o documento da ANPD e já sair aplicando, em consonância com a causa europeia. Mas, as diretrizes da Europa são diferentes das do Brasil, e mesmo quando as práticas europeias forem chanceladas no Brasil, eu terei que ter todo um trabalho de fazer um aditivo contratual. Ou seja: todos os trabalhos, incluindo os mais simples, exigirão estratégias”.
Assim, para que uma transferência internacional seja considerada legal, é necessário que o país de destino seja avaliado como adequado em termos de proteção e segurança de dados pessoais. Por exemplo, uma empresa brasileira que deseja enviar dados para um parceiro nos Estados Unidos deve primeiramente checar se a nação é reconhecida como um país adequado pela ANPD. Para saná-lo, ficou especificado que, um dos maiores desafios, portanto, inclui a organização dos processos internos, que precisam estar bem documentados. É fundamental que as empresas realizem um mapeamento detalhado sobre quais dados são coletados, como são armazenados, utilizados e compartilhados. Esse mapeamento deve ser constantemente atualizado para refletir qualquer alteração nas práticas de tratamento.
A função do DPO
O Data Protection Officer (DPO) é então a pessoa que lidará com esse desafio, e que vai mexer em contratos e processos. Fernanda Maia, do Marcel Leonardi Advogados, explicou que o encarregado de proteção de dados desempenha um papel crucial na orientação da empresa sobre práticas adequadas de tratamento de dados pessoais, além de assegurar que a coleta, o armazenamento e o compartilhamento dessas informações estejam em conformidade com a legislação.
“Entre suas principais responsabilidades, destaca-se ele entender a parte técnica, operacional e toda comunicação sem entrar no conflito de interesses. Ele não precisa ser um ‘exército de um homem só’. Ele não só precisa, mas como deve ter um time para dar melhor tratamento a elaboração de políticas internas relacionadas à proteção de dados, bem como a realização de treinamentos e capacitações para os colaboradores”, disse Fernanda, cofundadora do LGPD Acadêmico.
Ela vê o DPO na mesma linha de atribuição de um compliance officer, profissional responsável por garantir que uma empresa opere de acordo com as normas e regulamentações aplicáveis, tanto internas quanto externas. A presença do DPO é ainda mais significativa em casos de tratamento de dados sensíveis, onde a responsabilidade aumenta consideravelmente. O profissional deve garantir que haja uma base legal adequada para cada atividade de tratamento e que as medidas de segurança estejam devidamente implementadas. “Em suma, a atuação do DPO também é essencial para promover uma cultura de proteção de dados dentro da organização, impactando não apenas as práticas de compliance, mas também a reputação da empresa no mercado”.
Inteligência Artificial – PL 2338
Sobre o Projeto de Lei nº 2.338, que regulamenta a Inteligência Artificial no país, Juliana Abrusio, sócia do Machado Meyer Advogados, especialista em direito digital, lembra que ainda não há nada definido. “O Brasil tem corrido demais com o assunto, não que o tema não tenha importância. Pelo contrário: nós estamos vendo, dia após dia os números, e bem sabemos o quanto é necessário o Estado olhar o mercado e regular a tecnologia. Só que, ao nos compararmos com a Europa, há uma grande diferença, porque, por lá, tudo começou em 2015. Em 2016, foi publicado um relatório olhando para a ética; em 2018 a Comissão Europeia publicou outro documento tratando da ética responsável e segura. E assim sucessivamente”.
Juliana Abrusio então afirma que tanto na Europa quanto nos Estados Unidos, existe um recurso que se chama análise ética.
“Existem vários tipos de ética e, nesse momento, nós estamos falando de ética normativa, uma disciplina que se propõe a analisar qual é o bom comportamento diante da IA. A partir disso, vai se buscar a via obrigatória. Ou seja: nós definimos o valor. O que queremos? Como ele pode melhorar? E, só depois, é que esse valor é incorporado à norma”, diz ela, que afirma estar extremamente preocupada com o fato de uma norma que terá um profundo impacto econômico e social estar sendo feita com essa correria.
Lacunas na legislação
“Essa pressa pode resultar em lacunas significativas na legislação, o que, por sua vez, pode comprometer a proteção dos direitos dos cidadãos e a efetividade do próprio sistema. A falta de um diálogo amplo e inclusivo com todos os stakeholders – incluindo especialistas, empresas, cidadãos e acadêmicos – é uma preocupação constante. Em um campo tão novo e complexo como a Inteligência Artificial, a criação de uma regulamentação eficaz demanda um entendimento profundo das implicações éticas, sociais e econômicas que essa tecnologia traz consigo”.
Além disso, a necessidade de um framework que encoraje a transparência e a responsabilidade é imperativa. “Precisamos de um ambiente normativo que não apenas imponha regras, mas que também promova práticas que garantam a confiança da sociedade na tecnologia”, enfatiza Juliana. Isso inclui a promoção de iniciativas que ensinem aos desenvolvedores e empresas a trabalhar dentro de padrões éticos que levem em conta não só a inovação, mas também as consequências de suas aplicações.
Por sua vez, Nuria López, do Daniel Law, um dos principais escritórios de propriedade intelectual e direito de tecnologia, privacidade e proteção de dados do Brasil, pegou o ponto de partida da Juliana e perguntou: “O que realmente queremos da IA?“.
Olhar com atenção
Segundo ela, é fundamental olhar com muito cuidado para o PLº 2.338 e o que está sendo proposto. O PL traz um monte e obrigações e uma lista de deveres regulatórios, não apenas para as aplicações de IA que já estão no mercado, mas também para as aplicações de IA que estão sendo desenvolvidas. Ou seja: “estamos colocando uma lista de obrigações na fase de desenvolvimento da IA; o que queremos com isso?”.
Nuria alertou para o risco de excessiva burocratização, que pode inibir a capacidade de explorar novas ideias e tecnologias. Ela ainda discorreu sobre a necessidade de um equilíbrio entre segurança e inovação, enfatizando que, embora a proteção de dados e a privacidade sejam essenciais, a regulamentação não deve se transformar em um obstáculo para o progresso. Finalmente, ela concluiu que o verdadeiro potencial da IA reside em sua capacidade de melhorar a vida das pessoas e impulsionar o desenvolvimento econômico. Para isso, é urgente que se trace um “caminho claro, que ao mesmo tempo assegure direitos e promova inovações, criando um futuro onde a tecnologia e a ética caminhem lado a lado”.
Como denunciar vazamento de dados?
Em julho último, o governo apresentou um novo método com o objetivo de simplificar as denúncias de violações à LGPD. A iniciativa foi liderada pela Autoridade Nacional de Proteção de Dados (ANPD) e pelo Ministério da Gestão e Inovação em Serviços Públicos (MGI). E, desde então, o indivíduo que tem seus dados violados pode encaminhar petições e denúncias em uma nova plataforma, acessível por meio do GOV.BR.
Para enviar o pedido, o denunciante ou titular de dados pessoais deve acessar a página do serviço, clicar no botão “Iniciar” e autenticar-se com o login GOV.BR. Ao efetuar o login, não é necessário incluir qualquer documento de identificação juntamente com o pedido. Após a autenticação, o usuário deve escolher o tipo de pedido: “Denúncia” ou “Petição”, conforme sua necessidade.
Todos os pedidos podem ser acompanhados na página “Minhas Solicitações”, desde que tenham sido enviados por um solicitante devidamente identificado. Os titulares não podem enviar petições de forma anônima.
Para saber mais e conhecer a nova plataforma, clique aqui.
