Lei Geral de Proteção de Dados – Um Desafio das Organizações
A Lei Geral de Proteção de Dados (LGPD) – Lei nº. 13.709 de 14 de agosto de 2018, estabelece regras para o uso, coleta, armazenamento e compartilhamento de dados dos usuários. O principal objetivo é garantir mais segurança, privacidade e transparência no uso de informações pessoais e se aplica a qualquer pessoa física ou jurídica, de direito público ou privado, que realize atividade em que se utilize dados pessoais.
Para que uma organização possa se adequar à LGPD, precisa passar por uma série de procedimentos de implementação, tais como: criar um grupo de apoio para avaliar e mapear os procedimentos da organização, eleger um encarregado que também terá a função de ser o elo de comunicação entre a organização e a Autoridade Nacional de Proteção de Dados, formular e tornar acessível uma Política de Privacidade, Proteção e de Tratamento de Dados, documentar o consentimento do titular dos dados que estão sendo coletados, criar uma política de segurança com classificação e mapeamento do fluxo dos dados, providenciar um accautability ou compliance, treinar os colaboradores e terceiros e fazer ajustes contratuais.
Todo o processo demanda tempo e investimento, especialmente em tecnologia. Este custo precisa ser absorvido pelas organizações, não apenas durante a implantação da LGPD, mas também para a manutenção, melhorias e ajustes nos procedimentos de segurança. Em que pese a LGPD primar pela proteção dos dados pessoais, promover a transparência, a necessidade de fomentar a economia e investimentos no país, bem como a manutenção de novos negócios com outros países (especialmente em razão das exigências da GDPR – Regulamentação Geral de Proteção de Dados), o ônus financeiro é alto e não pode ser suportado por todos.
É provável que uma grande corporação encare a chegada da LGPD como uma oportunidade de expansão, confiabilidade e proteção, porém, empresas menores, com margem de lucro pequena e que já enfrentam grandes dificuldades em razão das sucessivas crises econômicas que assolam o Brasil, sequer implante qualquer procedimento. Na melhor (ou pior) das hipóteses, copiarão os documentos das demais organizações, deixando de certificar se os mesmos atendem às suas políticas e necessidades.
Atendo-se unicamente à questão da proteção de dados pessoais e deixando de abordar os demais problemas que a falta de investimento em tecnologia e segurança poderá gerar, inúmeros dados coletados e armazenados inadequadamente ficarão vulneráveis, suscetíveis à vazamentos e exposições indesejadas, podendo causar enormes danos ao titular.
Com o uso crescente da internet e cadastro eletrônico de dados, somado ao desenvolvimento constante da tecnologia e inteligência artificial, cada vez mais acessível estarão os dados dos indivíduos. A LGPD, assim como as leis de proteção de dados adotadas por outros países, poderá frear o acesso ilimitado e proteger o cidadão, porém, sempre haverá o risco da exposição e uso indevido dos dados pessoais.
Segundo dados da Carnegie Mellon University (2000), 87% dos norte-americanos podem ser unicamente identificados apenas por três dados pessoais indiretos: data de nascimento, gênero e CEP.
Na mesma linha, conforme reportagem publicada pelo El Pais, um grupo de pesquisadores do Media Lab, do Instituto Tecnológico de Massachusetts (MIT), demonstrou através de amostra de transações de pagamentos eletrônicos de 1.1 milhão de clientes, em 10.000 lojas, que apenas quatro compras com cartão bastam para identificar qualquer pessoa.
Ainda que haja a possibilidade da parte que se sentir lesada pleitear indenização, nem todas as organizações terão recursos para cumprir com o pagamento. Da mesma forma, ainda que fiscalizados e autuados pelos órgãos governamentais, não terão recursos para arcar com multas e adequar a empresa à legislação. Desta forma, nessas organizações, os dados pessoais dos usuários estarão vulneráveis, suscetíveis a reincidentes vazamentos.
Neste cenário, é imprescindível a conscientização dos titulares para ter cautela ao fornecer seus dados. O titular deve questionar o porquê de determinado dado ser coletado, além de verificar a idoneidade e confiabilidade do solicitante.
Por outro lado, as organizações com menor poder de investimento podem iniciar a adequação à LGPD focando nos princípios elencados no art. 6º e requisitos do art. 7º da LGPD. Uma das sistemáticas que pode ser adotada, sem custo, é relacionar os dados que cada departamento costuma coletar, questionar qual a finalidade da coleta, selecionado apenas os que realmente são necessários e eliminando os demais.
Posteriormente, outras medidas podem ser tomadas, paulatinamente, de acordo com o conhecimento técnico e a capacidade de investimentos. Assim, as organizações poderão, aos poucos, atender à legislação e adquirir soluções tecnológicas que protejam os dados pessoais.