Cristiane Beux é advogada especialista em Direito Empresarial e na Lei Geral de Proteção de Dados – LGPD. Compartilha seus conhecimentos, atualizações e escreve para o Portal do Pensamento Corporativo.
Contatos: contato@crisbeux.com | cristianebeux@gmail.com
Conteúdo (artigos na sequência)
Artigo mais recente:
“Que comecem os jogos. Já podemos ter penalidades na LGPD”
- A nova Lei Geral de Proteção de Dados Pessoais (LGPD)
- Como a LGPD poderá impactar os negócios
- Quais são os dados a que a nova Lei vem a proteger?
- O TITULAR dos dados é o grande protagonista da LGPD
- Quais são os direitos do titular de dados na LGPD
- Proteção de dados pessoais: custo ou valor para o seu negócio?
- Os desafios dos crimes cibernéticos para os conselhos de administração.
- Que comecem os jogos. Já podemos ter penalidades na LGPD.
Artigo mais recente de Cris Beux
“Que comecem os jogos”. Já podemos ter penalidades na LGPD.
por Cristiane Beux
O que muda no contexto de privacidade e proteção de dados com o Regulamento de Dosimetria das penalidades da LGPD?
Publicada no dia 24 de fevereiro de 2023, a Resolução CD/ANPD n.4 aprovou o Regulamento de Dosimetria e aplicação das penalidades no âmbito administrativo a quem descumprir a LGPD – a lei Geral de Proteção de Dados Pessoais (Lei n. 13.709 de 2018).
Na prática significa dizer que “o jogo já pode começar” e que o órgão regulador já estabeleceu critérios básicos que faltavam para aplicação das penalidades.
Entre outras coisas, a Lei define as penalidades de acordo com a gravidade e a natureza das infrações e dos direitos pessoais afetados como leve, média ou grave.
Por exemplo, por infração média se define a que afetar significativamente os interesses e direitos fundamentais dos titulares, em situações que haja uma limitação significativa dos exercícios dos direitos ou de serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e a reputação, fraudes financeiras ou uso indevido de identidade;
Já a infração grave é a que reúne a situação anterior, cumulada com uma das seguintes situações:
a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;
b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
c) a infração implicar risco à vida dos titulares;
d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
g) verificada a adoção sistemática de práticas irregulares pelo infrator;
Ou seja, para que haja uma infração à LGPD não precisa necessariamente existir um vazamento de dados! Não precisa necessariamente existir um dano para que a empresa passe a ser responsabilizada por descumprir a LGPD.
O “simples” uso de dados pessoais, sem estarem devidamente “dentro das 4 linhas do que determina a lei” já é um descumprimento. O uso de dados pessoais tem que ter uma finalidade específica, por exemplo, entre outras coisas. Também, tem que ter uma base legal para esse uso – se não estiver entre as bases definidas pela lei o uso desse dado pode ser considerado um descumprimento à LGPD.
Lembro sempre que a LGPD não trata somente de segurança dos dados. Ela regulamenta a forma como os dados pessoais devem ser tratados (em todo o seu ciclo – desde a coleta até o descarte). Ela regulamenta, além da obrigação de prevenção e segurança, os direitos dos titulares desses dados, entre outras coisas. E dados pessoais que estão sob a responsabilidade de uma empresa não somente os dados de clientes – os dados pessoais de colaboradores, também.
Ainda, uma empresa que trata os dados em desacordo com a LGPD, pode ser duplamente penalizada pelo mesma infração: pela ANPD – órgão regulador, no âmbito administrativo – por um titular, numa ação judicial por exemplo.
Olhar para a questão de proteção de dados e segurança da informação (como um todo) é uma necessidade.
Principalmente porque, ao mesmo tempo em que a Resolução deixa bem claro quais os critérios, quais os tipos de infração e como calcular os valores base das multas, ela também estabelece que entre esses critérios estão as situações agravantes e também as atenuantes.
Vejam que é um fator agravante a reincidência.
Mas por outro lado, é fator atenuante o fato de o agente infrator tenha implementado política de boas práticas e governança de dados pessoais.
Então, empresas que já iniciaram a sua adequação saíram na frente. Todo o trabalho de implementação feito, toda a documentação já ajustada, políticas implementadas, treinamentos e conscientizações já feitos, vão ter um peso considerável na formação da convicção do órgão regulador no momento da aplicação de alguma penalidade.
Desde o início da vigência da LGPD (2020) até hoje, enquanto a ANPD se organizava internamente para poder atuar no âmbito administrativo, na ausência desse órgão regulador, os problemas que surgiam iam sendo resolvidos pelo judiciário. Então, hoje, muitas ações cíveis e trabalhistas envolvendo a LGPD já caminharam – da instância inicial e estão chegando aos tribunais de segunda instância – e aí começa a se formar uma certa jurisprudência sobre o tema.
Atualmente, por um lado, temos o órgão regulador se preparando para lançar as primeiras penalidades e fazendo as primeiras fiscalizações e por outro lado, um judiciário que aos poucos vem se familiarizado com questões relacionadas a LGPD.
O tema da privacidade e proteção de dados pessoais já deixou de ser novidade há algum tempo.
E sua empresa, já se adequou a LGPD?
Cristiane Beux – 22/03/2023
Início da sequência dos artigos anteriores
A nova Lei Geral de Proteção de Dados Pessoais
LGPD
… a importância dos dados pessoais
A propriedade (terra) já foi símbolo de poder econômico em outras épocas, assim como também foram as máquinas a vapor e a eletricidade. Hoje em dia nossa economia é baseada em dados e quem tem dados tem poder.
Faz tempo que informação significa poder, mas não da forma como agora. Até dias atrás ainda dizíamos que os dados eram o novo petróleo do mundo – quando o petróleo ainda valia muito – e jamais imaginaríamos que um dia ele poderia sequer perder o seu valor por qualquer contingência que fosse.
Repare que, mesmo no momento em que vivemos, no meio de uma pandemia mundial os DADOS assumiram um papel de maior protagonismo ainda.
São cada vez mais comuns as ferramentas de monitoramento de nossos celulares, sob o pretexto de conter a pandemia.
Um governo ter acesso a todas as informações do seu celular, da sua localização em tempo real – a geolocalização revela muito mais do que a sua localização, revela onde você mora, onde trabalha, se você está ou não respeitando as regras de isolamento social, os lugares que mais frequenta, onde consome, seus hábitos de final de semana, enfim, revela todo um perfil de comportamento e adeus privacidade.
E quanto ao seu negócio, que impacto os dados tem? Em qualquer que seja a sua área de atuação ou segmento de negócio, conhecer os dados a respeito do seu produto, do seu serviço, do comportamento do seu cliente e da concorrência é, no mínimo, estratégico nos dias de hoje.
Com a sofisticação da ciência mercadológica e inteligência de marketing e publicidade, os DADOS PESSOAIS passam a ter um valor vital para a economia.
As novas tecnologias permitem que seus dados sejam coletados, organizados e analisados de maneira escalável, numa quantidade nunca antes vista em nossa história.
Importante mencionar que o direito à privacidade das pessoas está garantido na Constituição Federal, em seu Art. 5º, inciso X, a saber: Art. 5º – Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: inciso X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.
Você no big data
Contudo, o que vemos acontecer – no mundo inteiro – é que esses dados pessoais são os de seus clientes, mas também são os meus, os seus e de toda sua família. Estão sendo tão usados, vendidos e revendidos de forma tão acelerada e indiscriminada, que nos restou apenas sermos meros expectadores dessa nova sociedade.
Com a posse de tantos dados NOSSOS na mão de governos, farmácias, lojas, redes sociais, aplicativos, ficamos vulneráveis e deixamos que decisões que nos afetam diretamente sejam tomadas por outras pessoas. Assim, outras pessoas estão escolhendo por nós.
Gostemos ou não, essa não é uma teoria da conspiração ou assunto futurista. Já acontece hoje, basta prestarmos atenção ao nosso redor.
Como regular esse uso indiscriminado de nossos dados?
É isso que a nova Lei Geral de Proteção de Dados – apelidada de LGPD – vem a regular, traz o “manual de instruções” para o uso mais adequado e, inclusive, estabelece sérias penalidades para quem descumpri-la.
A Lei Geral de Proteção de Dados Pessoais – n° 13.709 foi sancionada em agosto de 2018 e concedeu dois anos para as empresas se adequarem – o prazo inicial para entrar em vigor era agosto de 2020. No dia 03 de abril de 2020 o Senado aprovou a prorrogação da início da vigência e ficou da seguinte forma: a nova Lei entra em vigor em janeiro de 2021 e as penalidades para quem descumpri-la passam a vigorar somente após agosto de 2021.
A LGPD vem devolver a mim, a você, a cada um de nós o direito de decidir o que fazer com nossos DADOS PESSOAIS e como usá-los.
Cristiane Beux – 28/04/2020
Nota: No dia 29/04/2020, foi promulgada a Medida Provisória n. 959 adiando a entrada em vigor da LGPD para 03/05/2021. Como é uma Medida Provisória, o Congresso precisará validar (ou não) em até dezesseis dias (aplicando-se o novo rito no período do COVID-19). Vale lembrar que há um Projeto de Lei aprovado pelo Senado Federal que posterga a vigência para janeiro de 2021 e sanções administrativas para agosto de 2021, o qual que aguarda votação da Câmara e eventual sanção da Presidência.
Cristiane Beux – 30/04/2020
Como a LGPD poderá impactar os negócios
A forma como sua empresa trabalha com dados pessoais será bastante impactada com a vigência da nova lei.
O que muda é que será necessário buscar um balanço para a assimetria que hoje existe com um lado cheio de dados pessoais e de outro lado um cidadão que não sabe nem o que é feito com seus próprios dados.
Num extremo, quando o uso de dados é feito de forma não ética, de um lado poderá haver um poder incrível de manipulação comercial ou governamental e de outro lado, nenhum poder para fazer escolhas.
As empresas não poderão ter mais o sentimento de que são donas dos dados pessoais de seus clientes. O dono dos dados é o “titular” – a pessoa a quem corresponde aquele RG ou CPF por exemplo. O titular está confiando o uso dos DADOS PESSOAIS dele à sua empresa, para determinada finalidade e por prazo determinado, inclusive. Também caberá ao titular, autorizar o uso de seus dados.
Entender isso faz toda a diferença para o atendimento dos requisitos legais. Desse entendimento decorre a obrigação que as empresas terão de manejar esses dados pessoais dentro de determinadas regras. Inclusive, comprometendo-se em protegê-los contra vazamentos ou uso indevido.
O pessoal de TI será fundamental nesse novo cenário.
Dentre outras mudanças, quando uma farmácia solicitar a autorização do cliente para fornecer o CPF, por exemplo, será necessário informar também qual a finalidade da solicitação: é para uma obrigação legal? Para emissão de nota fiscal e cadastro? É para algum benefício ou desconto? A pessoa pode, inclusive, revogar a autorização quando entender apropriado, como já dito.
Nos cursos e treinamentos que faço, eu constantemente ouço a mesma reflexão – “Num país de dimensão continental como o Brasil como é que a Autoridade Supervisora vai ter condições de chegar até a minha loja para me fiscalizar? Ela nunca vai saber se estou cumprindo a lei ou não”.
O que irá acontecer é que o próprio titular dos dados terá mecanismos para acessar a sua empresa diretamente e se não atendido, ou atendido de forma incorreta poderá fazer a reclamação junto a Autoridade. Então, a exemplo que aconteceu com o Direito do Consumidor, a lei traz um poder de ação ao cidadão que vai impor uma nova realidade na proteção de dados pessoais.
Também, ouço de muitos empresários que “é mais uma lei” e “que só representa mais gastos” e eu realmente entendo o quanto é difícil ser empresário nesse país. Porém, lembro que atrás de cada CNPJ tem um titular de dados, que também poderá se socorrer da nova Lei para ter seus direitos de privacidade resguardados na esfera pessoal.
São os novos tempos, novos negócios e novos riscos, mas acima de tudo uma nova mentalidade.
Quem já percebeu que é uma “mudança de mindset” está inclusive usando a adequação a nova lei como uma vantagem competitiva e o mercado vai acabar se auto regulando – ou seja, grandes empresas só vão contratar fornecedores que tenham a cultura de proteção de dados e assim por diante na cadeia logística. Você vai ficar de fora?
Cristiane Beux – 28/04/2020
Quais são os dados a que a nova Lei vem a proteger?
Uma pergunta que ouço sempre que começo a falar da nova lei de proteção de dados é: que dados são esses?
Então, antes de mais nada é importante lembrar que a nova lei se dedica aos DADOS PESSOAIS.
Os dados de empresas em geral como balanços, demonstrações contábeis, declaração de IR, patentes industriais, estratégias de marketing, projeções de vendas e afins, não são abrangidos pela nova lei, apesar de continuarem a ser sigilosos. Ou seja, as regras da LGPD não se aplicam a esse tipo de dados.
A nova Lei se refere aos DADOS PESSOAIS. Basta que o “dado” esteja ligado a uma pessoa para ser um DADO PESSOAL e fazer jus à proteção da nova lei.
O art. 5º estabelece que os DADOS PESSOAIS se dividem em 2 categorias e são os seguintes:
DADOS PESSOAIS, que são os que lhe identificam direta ou indiretamente, por exemplo: o RG, CPF, nome, sobrenome. O IP de um computador, de forma isolada, pode não revelar nada, mas se for associado a qualquer outra informação sua, a qual lhe identifique, será considerado um DADO PESSOAL.
DADOS PESSOAIS SENSÍVEIS, que são aqueles que se referem a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico, político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
E de quem são os dados pessoais?
Outro equívoco muito comum, até mesmo por não existir ainda uma cultura de proteção de dados é pensarmos que as empresas, lojas ou bancos são as proprietárias dos DADOS dos clientes. Afinal, elas possuem o banco de dados, correto?
Sim, mas o dono do DADO PESSOAL é a pessoa a quem aquele RG se refere, por exemplo. Ele é o TITULAR e esse TITULAR cede o uso de seu DADO PESSOAL para determinada empresa, loja ou banco – para que possam tratar tais dados para alguma finalidade exclusiva – informação cadastral, emissão de Nota Fiscal, por exemplo.
De fato, o TITULAR nunca abre mão do seu direito, apenas permite que terceiros tratem seus DADOS PESSOAIS – ele confia a terceiros o uso de seus DADOS PESSOAIS.
Entender isso nos ajuda a entender a enorme responsabilidade que as empresas, lojas e bancos têm – tanto no uso correto e adequado como na proteção destes DADOS contra perda e vazamento, por exemplo.
‘Falar de proteção de dados vai além da questão de segurança e privacidade e sim de uso consciente e ético por parte dos terceiros’
Entender isso também é perceber o protagonismo que o TITULAR passará a ter ao exigir que seus DADOS PESSOAIS sejam tratados de acordo com a Lei, porque ela lista uma série de direitos e, para atendê-los, muitas empresas terão que ajustar vários fluxos e rotinas internas.
Mesmo que a lei geral de proteção de dados tenha tido o início de sua vigência prorrogada, não precisamos esperar uma data específica para conhecermos nossos direitos como “TITULARES desses direitos”. Tanto é que o direito de proteção de dados pessoais deverá entrar na Constituição Federal como mais um dos direitos fundamentais, por intermédio da PEC 17/2019 (Proposta de Emenda à Constituição) em trâmite perante as casas legislativas.
Cristiane Beux – 29/06/2020
Link para a lei completa:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
O TITULAR dos dados é o grande protagonista da LGPD
O maior protagonista da nova lei geral de proteção de dados – a LGPD – é o TITULAR dos dados pessoais, como comentamos no artigo anterior. Esses titulares somos cada um de nós, cidadãos.
Toda a base da cultura da proteção de dados gira em torno de garantir ao TITULAR, que tenha condições de ter ciência e autorizar ou não o uso de seus DADOS PESSOAIS.
‘Não caberá mais ao TITULAR ter que adivinhar o que será feito com suas informações pessoais’
Explico: Faço um paralelo com a indústria do cigarro e o direito de fumar. Os malefícios do cigarro já são amplamente conhecidos e cientificamente comprovados. Porém, mesmo sabendo dos riscos à sua saúde o cidadão escolher fumar, é uma prerrogativa dele, é uma escolha dele. Que obrigação legal passou a se impor às produtoras de cigarro por força de lei? Entre outras, a de estampar de forma bastante realista nas embalagens de cigarros quais são os riscos de saúde que o cidadão estará correndo se ele escolher fumar. E se mesmo consciente dos riscos ele decidir fumar, é um direito dele.
O mesmo paralelo poderíamos fazer com a proteção de dados – de forma grosseira – mas ilustrativa. Eu posso conhecer os riscos de ceder meus dados pessoais a determinada plataforma, loja, site, por exemplo e mesmo assim, eu posso decidir se quero ou não quero ceder meus dados pessoais. Eu que exerço o meu direito de escolha.
Porém, a obrigação legal que passa a se impor a determinada plataforma é a de me deixar ciente – de forma transparente e objetiva – de quais dados meus serão tratados, para qual finalidade, por quanto tempo, etc. E se mesmo sabendo de tudo eu concordar, “ok”, é um direito meu. Eu pude escolher.
Uma das grandes mudanças em nossa cultura de proteção de dados passará ser este “dever das empresas, plataformas, lojas, sites”, de informar, de ser transparente e de solicitar o consentimento quando necessário. O que não caberá mais ao titular é que ele tenha que presumir, adivinhar o que será feito com seus dados pessoais. Caberá às empresas (ou a quem irá usar os dados) informar o que será feito.
E quais serão esses direitos do titular dos dados? Vamos falar deles.
Cristiane Beux – 29/06/2020
Link para a lei completa
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Quais são os direitos do titular de dados na LGPD
De acordo com a nova lei (art. 18 da LGPD) o titular dos dados pessoais passará a ter os seguintes direitos:
- Terá direito de confirmar a existência de tratamento perante qualquer empresa para qual ele cedeu o direito de usar seus dados pessoais.
- Terá direito de acessar os dados, ou seja, saber quais são eles.
- Terá direito de solicitar a correção de dados incompletos ou incorretos e até mesmo requerer a “anonimização”, bloqueio ou eliminação de dados.
Uma novidade que a lei trouxe é permitir também que o titular solicite a empresa, a portabilidade de seus dados, ou seja, que ela lhe forneça os dados pessoais que utiliza para que o titular possa entregá-los a outro fornecedor de produto ou serviço (a exemplo da portabilidade do setor de telefonia).
O titular poderá também ter direito de solicitar a informação a respeito de, com quem o controlador (empresa a quem ele confiou os dados) compartilhou os seus dados.
E por fim, tem direito de ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
Outro direito importante é também a possibilidade de ele solicitar a revogação do seu consentimento (nos casos em que o consentimento foi solicitado).
Esses direitos exigirão do Controlador (para quem o titular confiou o tratamento de seus dados pessoais, seja ele a empresa, banco, farmácia, loja) que crie fluxos e rotinas internas para atender a essas solicitações.
Por exemplo, como fazer para atender o primeiro item – confirmação da existência do tratamento – farei por e-mail? pelo site? em caso de loja física, pelo balcão da loja, por um formulário? Como será feita a portabilidade dos dados? Como operacionalizar a revogação do consentimento e fazer essa gestão no banco de dados?
Desta relação de direitos do titular nota-se que as empresas terão que pensar em como se adequar a essas exigências da nova lei e há várias outras adequações que vão exigir um novo fluxo ou nova rotina por parte da empresa para atender ao titular dos dados.
Então, não é prudente esperar até que a lei entre em vigor para começar a se adequar, ainda que as penalidades por parte da Autoridade Nacional de Proteção de Dados – ANPD – passem a vigorar depois da data de vigência.
‘A adequação à lei exige tempo e esforços de várias áreas trabalhando em conjunto e para dar suporte a todas essas alterações, será fundamental o apoio da área de TI, além uma boa diligência de gestão’
Não deixe pra última hora para começar a pensar em adequar a sua empresa, porque a cultura de proteção de dados veio pra ficar, em definitivo.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019) Vigência
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Link para a lei completa
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Cristiane Beux – 29/06/2020
Proteção de dados pessoais: É mais um custo ou valor para o seu negócio?
Desde que o tema da Lei Geral de Proteção de Dados (LGPD) começou a ficar mais popular, o sentimento mais comum de vários empresários tem sido o de que é só mais custo vindo pela frente – basicamente porque a lei realmente exige a adoção de uma série de novas medidas para as empresas se adequarem à nova realidade.
Entretanto, vale lembrar que a prática recente tem demonstrado que investir na segurança e proteção dos dados pessoais dos clientes, contra vazamentos e outros tipos de ameaças, se converte em um ativo para a empresa, gerando valor para o negócio.
As notícias de vazamentos de dados pessoais são praticamente diárias. E não há dúvidas de que esse tipo de acontecimento impacta negativamente a reputação das empresas.
Já há pesquisas que indicam que clientes preferem se relacionar com empresas que não tenham sido envolvidas em nenhum caso de vazamento de dados.
A Lei Geral de Proteção de Dados – a LGPD – impõe vários requisitos para a proteção de dados pessoais e para empresas que não se adequarem às novas normas, há duras penalidades que podem ir desde a advertência, à multa simples e à eliminação dos dados. A multa pode atingir até 2% do faturamento da pessoa jurídica, limitado ao valor de R$50.000.000 por infração.
Entre elas, há uma outra penalidade que pode ser até pior que a multa, que é a “publicização” da infração – ou seja, o descumprimento por parte da empresa poderá ficar público – tanto para clientes, parceiros comerciais, e Autoridade Nacional de Proteção de Dados (ANPD), como para os seus concorrentes, impactando diretamente a reputação da empresa.
Empresários que já perceberam que a LGPD é uma “oportunidade”, já iniciaram a adaptação à lei. Estes, também, perceberam que, demonstrar aos clientes que suas informações estão seguras, seja por meio de termos de uso, ou por políticas de privacidade bem claros e objetivos, agrega muito valor à experiência que eles estão tendo com a empresa e à reputação da marca.
Por exemplo, sites que privilegiam a experiência do usuário com uma navegação fácil e intuitiva e com informações muito claras a respeito de como os dados dos clientes tem sido tratados, têm obtido uma resposta bem favorável por parte do consumidor.
A transparência gera confiança, cria conexão com o cliente e para qualquer marca isso é um valor fundamental. Confiança engaja e fideliza.
Quem compreendeu esse “valor para o negócio” tem usado a adequação à LGPD como um diferencial de mercado, aproveitando inclusive que sua concorrência ainda não se atentou ao fato de que o fator proteção de dados de clientes é um “ativo”.
E a sua empresa, já está adequada à LGPD?
Cristiane Beux – 18/05/2021
Os desafios dos crimes cibernéticos para os Conselhos de Administração
LGPD
Você deve ter notado que aumentaram as notícias de vazamentos de dados envolvendo grandes empresas, órgãos do governo e outras organizações. O que isso significa exatamente? Que o mundo digital se expandiu – em grande medida impulsionado pela pandemia – e que a transformação digital é um processo irreversível. Em contrapartida as atividades criminosas também se sofisticaram.
Cometer um crime no mundo digital não demanda um número grande de pessoas envolvidas, a ação não é visível (está escondida na web), não há sangue nas mãos, socialmente é uma atividade relativamente desaprovada (até porque nem sabemos direito como ocorre) e não há limites geográficos para acontecer. As possibilidades de os criminosos serem presos são baixas ou nulas, dependendo de onde estão localizados e como conseguem se manter anônimos ou não. Logo, não há territorialidade definida e assim, torna-se mais rentável e menos arriscado. Esse é o tal do “cibercrime” ou “crime cibernético”. Cartéis de drogas do mundo e mafiosos estão envolvidos com o crime cibernético.
Na pesquisa Cost of a Data Breach – 2021, publicada recentemente pela IBM, foram avaliados 537 incidentes em 17 países, incluindo o Brasil, em 17 setores diferentes. Chama a atenção, que “o custo médio de um incidente é de US$ 4,23 milhões – sendo que 38% desse valor se dá em razão de perdas de negócios, com queda de receitas pela interrupção dos serviços e redução da clientela diante de danos reputacionais.” Na medida em que a população vai ficando mais consciente de seus direitos de privacidade e proteção de dados pessoais, os danos reputacionais tendem a crescer muito.
A pesquisa ainda revela que o tempo médio para identificar um incidente é de 212 dias e para contê-lo são necessários mais 75 dias, totalizando 287 dias o ciclo de vida do incidente. A maior causa raiz de entrada do atacante são credenciais comprometidas (20%), seguida de phishing (17%) – [Phishing é uma técnica em redes sociais ou mensagens eletrônicas, usada para enganar os usuários e obter informações confidenciais como nome de usuário, senha e dados bancários etc. Para cometer as fraudes eletrônicas, os criminosos utilizam mensagens aparentemente reais] – e configuração incorreta de nuvem (15%). Ter automação e inteligência artificial (IA) implementados para segurança cibernética representa redução de custo de US$ 3,81 milhões por incidente.
No caso de um ataque cibernético a empresa precisa estar preparada para trabalhar em, pelo menos, três frentes igualmente importantes: 1) identificar o incidente, 2) contê-lo o quanto antes e 3) dar continuidade aos negócios. Para qualquer uma das frentes, estar preparado com antecedência ajuda a mitigar enormemente vários prejuízos.
A pesquisa traz outro dado que indica que “ter plano de resposta a incidentes e equipe treinada reduz o custo em US$ 2,46 milhões por incidente.”
Gestão de riscos – tudo o que é risco para a empresa deve ser pauta nos conselhos
Tais riscos precisam, urgentemente, fazerem parte da pauta dos Conselhos de Administração e também dos Conselhos Consultivos, no direcionamento, na adoção das estratégias e nas tomadas de decisões que protejam a empresa.
Engana-se quem ainda pensa que esse é um assunto de TI somente. Na medida em que o cenário atual impõe a necessidade de levar a transformação digital para dentro das empresas, como uma tendência irreversível, também exige um olhar específico de governança como todo (inovação, tecnologia, jurídico, risco de imagem, compliance etc) para entender quais são os riscos desse novo mundo corporativo.
Um nível adequado de segurança cibernética, inicialmente, demanda foco em três pilares principais: ferramentas tecnológicas, processos e educação digital.
Naturalmente que boas ferramentas ajudam, mas sozinhas não resolvem. A educação digital tem um peso considerável nessa equação. Passa por uma conscientização, um aculturamento, uma mudança de mindset mesmo. Usar o duplo fator de autenticação nos acessos do seu celular, não usar a mesma senha para tudo, não usar mais aquelas senhas “manjadas”, fazer um backup periódico, são pequenos exemplos dessa mudança de cultura que devemos incorporar no nosso cotidiano.
Promover essa mudança de comportamento deve estar nos objetivos dos conselhos, dos conselheiros, da gestão e até do funcionário que retira o lixo em papel e faz o descarte, passando pelo atendimento aos clientes e pelo bate-papo no café.
É aqui onde entra a Lei Geral de Proteção de Dados, dentro de um contexto maior de boas práticas de segurança da informação e dentre os ativos que compõem a segurança da informação temos os dados pessoais. Estes, ao contrário de invenção, patentes, sigilo comercial, segredo de negócio, estratégia de marketing – que pertencem à empresa – pertencem aos seus titulares. Então, tratar dados pessoais passa a ser uma atividade de muita responsabilidade e que penaliza duramente a empresa que não observa os dispositivos da LGPD, a qual já está vigente desde setembro de 2020, com efeito pleno desde 1º de agosto de 2021.
Num incidente cibernético não basta que a organização proteja o seu ativo somente – ela tem que proteger os dados pessoais de seus clientes e funcionários também.
Penalidades
No caso de tratamento irregular desses dados pessoais, as empresas podem ser seriamente penalizadas. As penalidades podem ir desde uma advertência, indo até uma multa de 2% do faturamento anual, limitado a R$ 50.000.000,00 por infração. Podendo ainda ser aplicada a multa diária, passando pela publicização da infração (olha aí o dano reputacional) e podendo chegar a uma suspensão ou até mesmo a uma proibição total das atividades de tratamento de dados pessoais.
É urgente que empresas busquem elevar o nível de educação digital, busquem a melhoria de seus processos internos e adotem ferramentas tecnológicas eficazes, de forma a mitigar o quanto possível os ataques cibernéticos e toda forma de roubo de dados pessoais ou de seu uso indevido (perda ou alteração da integridade dos dados pessoais também uma infração à LGPD).
Sua empresa já está preparada para esses riscos decorrentes do novo mundo digital?
Cristiane Beux – 03/02/2022
Cristiane Beux é advogada especialista em Direito Empresarial e na Lei Geral de Proteção de Dados – LGPD. Compartilha seus conhecimentos e escreve para o Portal do Pensamento Corporativo.
Contatos: cristianebeux@gmail.com
#LGPD
GESTÃO e EDUCAÇÃO 