O que diz a Lei de Proteção de Dados e como a demora na conformidade pode impactar as empresas
Nos últimos meses, o mundo acompanhou a promulgação de diversas Leis sobre Privacidade e Proteção de Dados Pessoais, tendo o assunto encontrado cada vez mais espaço entre discussões jurídicas para definição de estratégias de compliance das empresas, que perceberam ser a adequação à nova Lei não apenas necessária para mitigar eventuais riscos, mas também um fator de diferencial competitivo.
Afinal, a preocupação da sociedade com sua exposição online e offline vem aumentando, sobretudo diante de diversos casos de exposição de informações pessoais por empresas dos mais diversos setores em países distintos e dos recentes ataques cibernéticos . E essa preocupação está mais do que justificada.
Segundo relatório da European Data Protection Board , até janeiro de 2019, foram reportados mais de 40.000 (quarenta mil) incidentes de vazamento de dados pessoais (data breaches) somente na Europa, desde a entrada em vigor do General Data Protection Regulation (GDPR) em maio de 2018.
Recentemente, a IBM, em parceria com o Instituto Ponemon, divulgou o “2018 Cost of Data Breach Study: Global Overview”, no qual calcula que o custo médio de um incidente de segurança em que haja perda ou comprometimento de dados pessoais pode superar a marca dos US$ 3,5 milhões e cada dado perdido ou vazado poderia custar, individualmente, US$148 à companhia. O Instituto ainda sustentou existir probabilidade média de 27,9% de qualquer empresa enfrentar um ou mais incidentes desse tipo pelos próximos dois anos.
Diante desse cenário, o Brasil promulgou em 2018 a chamada Lei Geral de Proteção de Dados Pessoais (LGPD), que, segundo sua atual redação (alterada pela Medida Provisória 869/18), entrará em vigor em agosto de 2020. A nova lei é aplicável ao tratamento (coleta, uso, armazenamento, compartilhamento etc.) de dados pessoais por pessoas naturais ou jurídicas, de direito público ou privado, em meio on-line ou off-line.
A regulamentação estabeleceu princípios, direitos e deveres para o tratamento de dados dentre os quais merece destaque o princípio da segurança , uma vez que, segundo reportou o estudo da IBM supracitado, atores maliciosos ou ataques cibernéticos causam cerca de 48% dos vazamentos de dados, ao passo que erros humanos representam 27% do total, justificando a pertinência das medidas técnicas e administrativas determinadas pela Lei.
Vale ressaltar que hoje, mesmo sem que a LGPD esteja em vigor, já há importantes precedentes de consequências negativas a empresas que sofreram com incidentes dessa natureza, sendo válido ressaltar que vazamentos de dados (tema objeto do presente artigo) são, na verdade, a ponta do iceberg dos escândalos envolvendo violação de dados. Vários outros tipos de uso indevido de dados pessoais, envolvendo, principalmente, desvios de finalidade e métodos de detecção ou reconhecimento facial, vêm sendo debatidos e questionados em relevantes ações judiciais, ou mesmo na esfera administrativa, por autoridades públicas (como, por exemplo, Ministério Público).
Para ficarmos apenas nos casos de vazamento de dados, que são o foco do presente texto, vale destacar que, entre o fim do ano de 2017 e o início de 2018, foi noticiado o vazamento de dados pessoais, tais como nome completo, CPF, data de nascimento e produtos comprados de quase 2 milhões de clientes de uma renomada loja de materiais esportivos, o que levou a uma investigação do Ministério Público do Distrito Federal e Territórios (MP/DFT). Após as devidas inquirições, a empresa concordou em pagar R$ 500 mil à título de indenização pelos danos morais coletivos, além de ter que implementar medidas adicionais de Proteção de Dados, atualizar as Políticas de Segurança da Informação e se adequar prontamente aos preceitos da LGPD .
Pouco após, em junho de 2018, o Ministério Público, por meio da Comissão de Proteção dos Dados Pessoais, instaurou uma Ação Civil Pública contra um Banco 100% digital pelo suposto vazamento de dados pessoais, tais como CPF, nome completo, agência e número de conta de mais de 19 mil clientes . No desenrolar dos atos, a empresa celebrou acordo com o MPDFT para o pagamento de cerca de R$ 1,5 milhão pelo vazamento. Deste montante, 1 milhão seria destinado a instituições públicas que combatem crimes cibernéticos (indicadas pelo MP/DFT) e o restante direcionado para instituições de caridade.
Poderíamos, ainda, citar inúmeros outros casos nacionais e internacionais, mas esses já servem para deixar clara a necessidade da implementação de medidas de segurança adequadas (nos âmbitos técnico e administrativo), bem como plano de respostas a incidentes de segurança, de forma a evitar danos financeiros e, principalmente, reputacionais às empresas. A experiência prática mostra que é muito melhor saber como agir antes do incidente acontecer do que ter de tomar decisões apressadas e arriscadas em meio ao caos que se arma quando acontece a exposição indevida de dados pessoais.
Paralelamente, não menos importante é a conscientização e mudança de cultura empresarial, o que se atinge, por exemplo, por meio de treinamentos de colaboradores e revisão dos critérios para contratação de fornecedores. Afinal de contas, de nada adianta a corporação investir nos mais sofisticados padrões de segurança contra ameaças externas se relevante parte das vulnerabilidades são consequência de ameaças que estão dentro de casa.
Fato é que, mesmo antes da efetiva criação da Autoridade Nacional de Proteção de Dados, é possível notar que outros órgãos públicos estão à frente do assunto, como o Ministério Público do Distrito Federal e Territórios (MP/DFT) e que as ameaças à segurança dos dados estão por toda parte. Neste sentido, se faz importante a imediata adequação aos princípios, padrões e regras dispostas pela LGPD, como forma de evitar perdas financeiras (como perda de valor de mercado e multas), perda de potencial competitivo e dano reputacional relevante. Não se trata de uma questão meramente jurídica, mas sim um fator relevante de sobrevivência no mercado.
Se é verdade que um Plano de Adequação à Lei não costuma ser simplório e demanda relevante esforço de diferentes setores da mesma corporação, além do apoio de profissionais especializados no assunto (na maioria das vezes, técnicos e juristas), a recompensa após a sua implementação chega à organização na forma de reconhecimento, por consumidores, colaboradores e pelo próprio mercado. A pergunta que toda empresa será forçada a responder à sociedade é: como podemos ser mais transparentes, éticos e seguros no uso de dados pessoais hoje?
*Fábio Lara Aspis é advogado especializado em Privacidade e Proteção de Dados, Compliance e Life Sciences no escritório Daniel Law & IP Strategy, bacharel pela Pontifícia Universidade Católica de São Paulo – PUC/SP, pós-graduado em Healthcare Compliance pelo Colégio Brasileiro de Executivos da Saúde (CBEXs), membro do Comitê de Compliance Digital da LEC – Legal, Ethics & Compliance, membro da Comissão de Ética e Saúde do Instituto Brasileiro de Ética Empresarial e membro da International Association of Privacy Professionals (IAPP).
**Renato Gomes de Mattos Malafaia é advogado especializado em Direito Digital e Segurança da Informação no escritório Daniel Law & IP Strategy, bacharel em direito pela Universidade Presbiteriana Mackenzie, pós-graduado em Direito e Tecnologia da Informação pela Escola Politécnica de Engenharia da USP, membro do Comitê de Compliance Digital da LEC – Legal Ethics & Compliance e membro da Comissão Permanente de Estudos de Tecnologia e Informação do IASP – Instituto dos Advogados de São Paulo.
