Conformidade, Controles Internos, GDPR, Governança, Informação, Risco Empresarial

Proteção de dados: qual sua relevância e motivação?

gdprsubscriberconsentNão é necessário ser um especialista para perceber que o volume de informações que as empresas têm sobre seus clientes (pessoas físicas e jurídicas) aumentou várias ordens de grandeza na última década e isto tem relação direta com o comércio eletrônico, e-banking, ensino a distância e outros.

Neste cenário surgiu um desafio para as empresas e os governos de como armazenar, controlar, atualizar e acessar esta informação de forma on-line, preservando a confidencialidade das informações sobre os clientes.

Tentaremos abordar este tema de forma simples e sem uso de termos técnicos específicos, mostrando os riscos que as empresas correm de não controlar adequadamente as informações de seus clientes e a legislação brasileira e europeia sobre isso.

Iniciamos introduzindo o que vem a ser a “General Data Protection Regulation”, conhecida como GDPR, que é a legislação europeia para o tema de proteção de dados.

O que é a GDPR e qual sua finalidade?

Antes de falar sobre a GDPR é necessário situar o contexto dos países da União Europeia (UE) sobre o tema de Proteção de Dados. Antes da GDPR, as empresas que atuavam nos vários países da Europa tinham que conhecer e estar em conformidade com a legislação de proteção de dados de cada país em que atuavam, gerando custos de consultoria e auditoria significativos.

Em 2016 foi publicada a primeira versão da GDPR e após alguns ajustes foi republicada uma nova versão em maio de 2018. Isto permitiu que uma única lei de proteção de dados fosse aplicada a todos os países que compõem a União Europeia, reduzindo drasticamente os custos das empresas com os procedimentos e políticas de proteção de dados que tinham no cenário pré- GDPR.

Em uma pesquisa realizada pela Comissão Europeia com vários países que compõem a UE, foi feita a pergunta “Qual o nível de controle que você tem sobre a informação que você provê on-line, como por exemplo, sua competência para corrigir, mudar ou excluir esta informação?” As respostas foram classificadas em três categorias:

  1. Controle total sobre as informações: as respostas variaram entre 4% a 31% do total de empresas respondentes em cada país pesquisado. Demonstrando maturidade de proteção de dados muito distintas entre as empresas nos diversos países pesquisados.
  2. Controle parcial sobre as informações: as respostas variaram entre 42% e 64% demonstrando aqui uma convergência maior das respostas das empresas entre os vários países pesquisados.
  3. Nenhum controle sobre as informações: as respostas variaram entre 16% e 45%, e novamente aqui se identificou situações muito peculiares entre os países pesquisados.

Finalmente fica claro que muitos países da Europa ainda terão um caminho importante para aperfeiçoar seus mecanismos de controle de informação on-line de seus clientes.

É importante definir o que se entende por Dados Pessoais dos Cidadãos: é todo o dado que se refere a um indivíduo identificado ou identificável e pode incluir:

  1. Nome;
  2. Endereço e número de telefone;
  3. Localização;
  4. Registros médicos;
  5. Informações bancária e de renda;
  6. Preferências culturais;
  7. Outras.

Portanto, é a proteção desses tipos dados que trata a GDPR. É importante ressaltar que a GDPR tem neutralidade de tecnologia usada para controlar estas informações sobre os cidadãos, isto é, as empresas podem utilizar desde registros em papel até modernas bases de dados com seus algoritmos de armazenamento e proteção de dados. Independe de qual seja a tecnologia utilizada, a empresa necessita atender aos regulamentos da GDPR.

Como saber se necessito cumprir os regulamentos da GDPR?

Toda vez que sua empresa processar informações sobre a saúde, orientação sexual, religião, opções políticas ou filiação a sindicatos, por exemplo, serão consideradas informações sensíveis e a empresa pode processar estas informações somente sob condições específicas e utilizando ferramentas adequadas, como por exemplo, criptografia.

GDPR-employee-data-Aphaia-DPO-privacy-1As empresas que têm atividades de processamento de dados sensíveis em grande escala e/ou monitoramento sistemático, regular e em grande escala de indivíduos necessitam designar um Executivo de Proteção de Dados (Data Protection Officers). Caso a empresa tenha atividades que envolvem alto risco aos direitos e liberdade dos indivíduos, está obrigada a realizar periodicamente “Avaliações de Impacto de Proteção de Dados”. Outro ponto a destacar é que as empresas com menos de 250 funcionários não são obrigadas a manter os registros de informação pessoal, exceto se houver volume de processamento de dados ou envolver informação sensível.

O processamento de dados pessoais deve ser executado, segundo a GDPR, somente quando estiver suportado por uma ou mais das condições seguintes:

  1. For consentida pelo indivíduo em questão;
  2. Existir uma obrigação contratual entre a empresa e o indivíduo;
  3. Para atender a uma obrigação legal;
  4. Para proteger interesses vitais do indivíduo;
  5. Para realizar uma tarefa que seja de interesse público;
  6. For interesse legítimo de empresa.

Quais são os direitos dos indivíduos?

Os indivíduos têm o direito de acessar seus dados pessoais, sem custos e em formato inteligível, e, ao mesmo tempo, as empresas devem avisar o indivíduo quando estiverem processando dados pessoais, informar sobre o objetivo de tal processamento e fornecer uma cópia dos dados pessoais processados.

É importante notar que o indivíduo possa solicitar a qualquer momento a retificação de um dado pessoal que julgar incorreto, impreciso ou incompleto. Da mesma forma, o indivíduo também pode solicitar a interrupção de processamento de dados pessoais neste caso, a menos que a empresa tenha um interesse legítimo que supera o interesse individual ou pode tratar de interesse público. Em todos os demais, a empresa deve interromper imediatamente o processamento dos dados pessoais etem prazo de um mês para contestação ou de até dois meses para contestações complexas ou que envolvem múltiplos pedidos.

Nos casos em que houver uma decisão tomada automaticamente via um processo e/ou algoritmo, o indivíduo pode solicitar uma revisão da dita decisão por um humano, por exemplo, a concessão de um empréstimo por um banco.

Quando os dados pessoais são transferidos para países fora da UE, as proteções estipuladas pela GDPR viajam com os dados. A GDPR oferece uma diversidade de mecanismos para transferência de dados para países fora da UE. Tais transferências são permitidas quando:

  1. As proteções do país são consideradas adequadas pela UE;
  2. A empresa toma as medidas necessárias para prover as salvaguardas apropriadas como a inclusão de cláusulas contratuais como o importador dos dados pessoais não europeu;
  3. A empresa se baseia em motivos específicos para a transferência, tais como o consentimento do indivíduo.

Como saber se a empresa está em conformidade com a GDPR?

O primeiro passo é mapear as atividades de processamento de dados atuais e reavaliar seus processos de negócio internos e deve:

  • Identificar quais dados devem ser mantidos e para qual propósito e quais bases legais devem ser usadas para manter tais dados;
  • Avaliar os contratos ativos;
  • Avaliar todos os caminhos disponíveis para transferências internacionais;
  • Revisar a governança da empresa (quais medidas de TI e organizacionais estão em uso), incluindo a necessidade ou não de designação de um Executivo de Proteção de Dados.

gdprUm fator crítico de sucesso é envolver os mais altos níveis de gerência da empresa em tais revisões, fornecendo direcionamentos e sendo regularmente atualizados e consultados sobre as mudanças nas políticas de proteção de dados.

Quais as penalidades da GDPR?

O não cumprimento da GDPR pode resultar em multas significativas podendo atingir até 20 milhões de euros ou 4% do volume de negócios global da empresa para determinadas violações. A Autoridade de Processamento de Dados (conhecida como DPA – Data Protection Authority) pode impor medidas corretivas adicionais, tais como a cessação de processamento de dados pessoais. Deve-se considerar também o dano de reputação que a não conformidade pode causar.

Claramente os custos de não conformidade com a GDPR são muito maiores do que o investimento para estar em conformidade com esta lei.

A Lei Brasileira de Proteção a Dados Pessoais … 

A Lei 13.709 de 14/08/2018 dispõe sobre as condições de proteção de dados pessoais dos indivíduos residentes no território nacional [Brasileiro] e é claramente inspirada na GDPR comentada anteriormente. Em um próximo artigo faremos uma análise desta lei e de suas particularidades em relação à GDPR.

 

José Ricardo Formagio Bueno – engenheiro e consultor especialista em gestão de Arquitetura Empresarial, Automação e Robotização de processos. CEO e Fundador da Automatum Soluções Empresariais – Automatum

 

Padrão

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.