Desde agosto desse ano, a utilização de dados pessoais – RG, CPF, Carteira de Trabalho, passaporte, título de eleitor, nome, sobrenome, endereço residencial, telefone, e-mail, data de nascimento- não poderá ser feita de maneira indiscriminada pela empresa que os captar. Empresas que atuam com lead e e-commerce, especialmente, precisam informar  para o cliente sobre quais dados pessoais serão recolhidos, e qual a finalidade da atividade envolvendo os seus dados, entre outras obrigações.

Essas são algumas das determinações da Lei Geral de Proteção de Dados (LGPD)que estabelece ainda que para qualquer pessoa, física ou jurídica, possa exercer atividades relacionadas ao tratamento de dados pessoais – seja coletar, transmitir ou processar – deverá possuir uma base legal presente na norma, que justifique a posse e o tratamento desses dados. Sem uma base legal, a prática de coleta de dados pessoais será considerada irregular.

De acordo com a advogada e professora de Direito Empresarial na ESE Sebrae, Sheila Shimada para obedecer à LGPD, no entanto, não basta apenas colher o consentimento; será necessário informar de maneira clara e detalhada ao cliente o motivo pelo qual os seus dados serão tratados, e isso certamente fará com que a Política de Privacidade de muitos sites seja alterada. “Em alguns casos, será necessário a renovação do consentimento, como por exemplo, quando há mudanças no modo de tratamento ou quando os dados coletados são os chamados “dados sensíveis”, que são dados relativos ao estado de saúde, convicções políticas, orientação sexual, entre outros”, esclarece.

Lei na prática

A advogada salienta ainda que o compartilhamento de dados passou a ser obrigatoriamente informado aos titulares dos dados, incluindo também os “receptores” desses dados compartilhados. “O titular terá o direito de exigir essas informações, e caso os dados estejam incorretos, também poderá solicitar a correção”, salientando que os e-commerces que utilizam técnicas de growth hacking também deverão se adaptar às novas normas. “Algumas táticas aplicadas em redes sociais, como captar leads sem informar ao internauta, serão consideradas irregulares”, completa.

Para colocar em prática as exigências, é fundamental que as empresas elaborem um mapa de dados para operacionalizar o Programa de Proteção de Dados, afinal a lei determina que a empresa deve fornecer segurança, transparência, confidencialidade de dados, privacidade e proteção de informações pessoais bem como determina que seja designada uma pessoa específica para responder por esse tratamento: o Data Protection Officer (DPO) ou encarregado de proteção de dados. 

A DPO e advogada Carla Prado Manso salienta a importância das empresas ampliarem ao máximo os pedidos dos titulares, a vasculharem os dados pessoais que possuem dentro de casa e verificar se são e estão cobertos e embasado por alguma base legal prevista em Lei.  “Aconselharia a tirar uma foto para ter uma visão do cenário atual da empresa e, a partir daí, iniciar um plano de projeto, contando com o apoio primordial e absoluto dos gestores da companhia”, diz.

Todo cuidado é pouco

Ela ressalta que, daqui para frente, todo o cuidado é pouco. “Foque nas pessoas e nas ferramentas! Não deixe de conscientizar sua empresa. Não adianta termos grandes soluções de ferramenta se não tivermos bons pilotos”, completa, reforçando que a cultura organizacional deve ser alterada. “Treine seu time para que, não só o comitê esteja envolvido, mas sim toda a empresa. Assim todo o colaborador possa estar engajado e preparado para lidar com obstáculos que virão”, ensina. 

Para Carla, à partir de agora, qualquer campanha de marketing, contratação de colaborador, ou seja qualquer start da empresa deve estar embasado no privacy by design – ou seja – esse pilar da privacidade deve ser parte integrante e inerente aos negócios.

Sheila Shimada lembra que a adaptação esbarra em alguns desafios, como a conscientização baseado em mercados internacionais que já utilizam regulamentações semelhantes, não haverá muita escolha. “A União Europeia foi uma das primeiras a tratar sobre o assunto, com a implementação da GPDR (sigla em inglês para Regulamento Geral de Proteção de Dados), em 2018. Além disso, o Ministério Público vem atuando de maneira singular e ativa com base em outras leis, tem exigido o cumprimento de práticas previstas da LGPD”, finaliza.

Instrumentos para ajudar na proteção de dados:
 
1 – Governança
Estabelecer e implementar uma estrutura de Governança de Privacidade de Dados, integrada à Governança Corporativa. Alguns softwares indicados:
StoreIQ
Information Governance Catalog
IBM Guardium
Digisystem Consultancy
Information Analyzer
2 – Resposta a Incidentes
Gerenciar e responder prontamente a incidentes. Alguns robôs de inteligência artificial indicados:
QRadar
Resilient
3 – Análise de Riscos
Avaliação de Riscos e Impact à Privacidade de Dados. Alguns softwares indicados para realizar a análise dos riscos:
QRadar
Resilient
IBM Data Risk Management
4 – Proteção de Dados
Assegurar a proteção contra acessos não autorizados e ações ilícitas de exclusão, destruição, alteração, etc. Alguns softwares indicados:
IBM Guardium
Netskope
QRadar
Sonicwall SMA
Sonicwall NGFW