Como não arruinar seus negócios por falhas na proteção de dados

O contexto mundial de proteção de dados mudou e, sem dúvidas, é um dos assuntos da vez. Não passamos uma semana sequer sem uma novidade sobre o tema, seja sobre um vazamento ocorrido de grande empresa, seja uma investigação pelas diversas autoridades, seja porque a sociedade civil tem se mexido cada vez mais em face de modelos de negócios que terão que se adaptar a essa nova realidade. Neste sentido, você já parou para pensar como serão os negócios daqui para frente? Como as empresas precisarão atuar para que possam fazer uso da análise de dados sem infringir as leis?

No mundo atual, somos constantemente cercados por tecnologias que nos rastreiam, imperando o vigilantismo em vários modelos de negócios. De um lado, esse monitoramento de perfis pode favorecer a oferta de produtos e serviços, podendo não só beneficiar as empresas que fazem uso da análise massiva de dados, mas também os consumidores, que podem ter ofertas mais bem direcionadas. Mas, evidentemente, há um outro lado da moeda, que pode significar invasões à privacidade dos titulares dos dados. Daí o novo contexto mundial, formado por uma nova cultura de proteção, o que podemos mencionar, como exemplos, o surgimento do Regulamento Geral de Proteção de Dados da União Europeia – RGPD – (vigente desde 25 de maio), do California Consumer Privacy Act (vigente desde 28 de junho) e da nossa Lei Geral de Proteção de Dados – LGPD – (a viger a partir de fevereiro de 2020).

A existência de leis específicas sobre proteção de dados indica uma certa padronização para o tratamento proporcional deles em face da razão pela qual foram coletados. As leis buscam, ainda, atribuir as devidas responsabilidades para os casos de abusos, sejam eles intencionais ou não intencionais.

Neste sentido, os maiores benefícios que se pode obter com a edição de leis que protejam dados pessoais são, além da segurança jurídica (isto é, de se poder saber de antemão as regras do jogo de quem quer fazer negócios com análise de dados), a busca pelo equilíbrio entre os titulares dos dados e aqueles que os tratam para fazer negócios. Afinal, atualmente há uma inquestionável assimetria entre estes.

Como as empresas sentirão isso na pele?

Sobre o futuro dos negócios, algumas disposições das leis são bastante significativas e impactantes.

Em primeiro lugar podemos mencionar a possibilidade de aplicação extraterritorial, como é o caso do RGPD. Este é aplicado a todos os que tratarem dados de titulares que se encontrem na União Europeia, independentemente da localização das empresas (que na lei são chamados de controladores).

Para fins de interpretação sobre a oferta de produtos ou serviços a titulares que estejam na União Europeia é preciso medir sua intenção de realizar negócios com aquele continente. O mero fato de disponibilizar uma plataforma na internet não é suficiente, todavia, para esta caracterização. É preciso verificar, por exemplo, a língua, a moeda, a possibilidade de encomenda nestas línguas ou moedas para que possamos dizer da oferta a europeus e, assim, nos certificar da aplicação da RGPD mesmo aqui no Brasil. As empresas que pretendam ofertar produtos e serviços na União Europeia precisam, assim, se adaptar ao RGPD.

Mas, outro ponto importante, é a possibilidade de imposição de penalidades, que são vultosas tanto no Brasil quanto na União Europeia. Por lá, as infrações podem representar multas a partir de dez milhões de euros e chegar até quatro por cento do faturamento global do grupo. Por aqui, as multas poderão chegar até cinquenta milhões de reais ou até dois por cento do faturamento (limitando-se aos cinquenta milhões). As maiores multas serão aplicadas a quem não tiver obtido o consentimento adequado dos titulares ou tiver violações pela ausência de desenhos pré-definidos de privacidade (privacy by design). Será impositivo às empresas que desenvolvam modelos de negócios já pensando em mecanismos de privacidade desde sua concepção, isto é, fornecendo, desde logo, ao titular dos dados, a possibilidade de uso da plataforma de modo menos invasivo.

Retornando à pauta consentimento, este precisará ser obtido de maneira clara, objetiva, acessível, com finalidades e propósitos específicos e bem definidos. Não caberá mais o uso de cláusulas genéricas em políticas de privacidade. O novo contexto mundial de proteção de dados empoderou o seu titular para que possa saber exatamente como eles são tratados, em especial se houver algum risco de que seu tratamento possa trazer algum prejuízo ou discriminação.

Ainda sobre a nova cultura, as leis exigem que vazamentos sejam notificados às autoridades fiscalizadoras e, eventualmente, aos titulares. Esconder falhas e vazamentos não é mais uma opção. Afinal, esta só existe de verdade quando a informação é exclusiva de alguém e, nos vazamentos isso nunca ocorre. Desta forma, será sempre melhor o mercado saber pela própria empresa que pela mídia, pelos concorrentes ou por um consumidor insatisfeito. É cultural.

Outras perspectivas também muito relevantes são o direito de acesso e o de apagamento dos dados. É direito do titular ter acesso e confirmar se há dados sendo tratados pela empresa, onde estão e qual o propósito, devendo-se franquear cópia digital sem custo ao titular quando solicitado. Muitas empresas não estão preparadas para fornecer este tipo de informações. O outro lado da moeda – digo – do acesso é o apagamento. Outras tantas empresas ainda não se deram conta de que precisarão se ajustar para apagar todos os dados dos titulares que assim solicitarem. Claro, alguns precisarão ser mantidos para cumprir determinações legais e judiciais, mas este “direito ao esquecimento” é o direito do titular ver seus dados apagados para que não sejam mais compartilhados ou processados por qualquer tipo de controlador.

Outra situação que mudará significativamente o tratamento de dados pelas empresas é a possibilidade de portabilidade dos dados. É direito do titular pedir que eles sejam transferidos para o âmbito de controle de outro controlador. Na prática, deve funcionar como a já conhecida portabilidade das linhas de celular. O titular vai a uma outra plataforma e pede que seus dados sejam portados para lá. Sobre isso, alguns aspectos técnicos ainda não foram definidos, como o padrão dos arquivos. Mas isso deve causar um movimento bastante interessante nas empresas, que precisarão ofertar produtos/serviços ainda mais inovadores e de qualidade para manterem os usuários fiéis.

Por fim, mas não menos importante, muitas empresas precisarão contar com oficiais de cumprimento / data privacy officers, que serão os responsáveis pela manutenção de registros e interação entre titulares, controladores e autoridades públicas.

O novo contexto de proteção de dados no mundo imporá algumas dificuldades iniciais, haja vista a necessidade de aculturamento deste novo nível de proteção. A governança dos dados será mais complexa, mas mais transparente e auditável. Os negócios precisarão ser ainda mais ágeis e de qualidade. Será, sem dúvidas, um desafio para as empresas, que precisarão lidar com autoridades de proteção de dados, mas também com titulares cada vez mais empoderados e sabedores dos seus direitos. Fazer o mínimo exigido pode não ser o suficiente. Sua empresa está preparada?

 

 

Por Marcelo Crespo

Fonte: https://www.lexmachinae.com/2018/09/09/como-nao-arruinar-negocios-falhas-protecao-de-dados/

Comentários

Comentários