A nova lei de proteção de dados pessoais brasileira vai ter um mega impacto nas empresas. Apesar da legislação só entrar em vigência em 2020, é precisar começar a se preparar ontem (!) para chegar lá em conformidade.
Reunimos aqui na Live para compartilhar experiências e debater os aspectos polêmicos da lei representantes de empresas multinacionais que já estão aplicando um conceito muito parecido, já que a União Européia tem uma lei de proteção de dados recentemente em vigência, a famosa GDPR.
Do compartilhamento de experiências, cases e dicas faladas no evento, selecionamos 7 insights para você que está se preparando para aplicar a lei brasileira na sua empresa. É bom lembrar que ela entra em vigência em fevereiro de 2020! Não deixe de se preparar porque muitos detalhes podem passarem despercebidos. Confira com a gente!
Os advogados são praticamente unânimes em apontar que teremos muitos problemas frutos da abertura da lei para interpretações no judiciário. Há algumas janelas na legislação que permitem o tratamento do dado sem consentimento, como o "legítimo interesse". Mas o que é será aceito como legítimo interesse? Fica a questão.
Zonas cinzentas como essa são preocupantes, principalmente porque as multas serão definidas em julgamentos de primeira instância, onde os juízes naturalmente terão um curva de aprendizado sobre o novo tema. E mesmo que você recorra a instâncias superiores, o valor da multa precisará ficar provisionado no seu balanço.
Por mais que o seu cliente ou usuário tenha consentido inicialmente em fornecer os dados, você precisa estar preparado para o cenário em que essa concessão não seja mais para sempre. Em caso de disputa jurídica, o ônus da prova de que o consentimento foi legal cabe ainda ao controlador do dado, ou seja, a empresa.
Além disso, há outra via importante que o usuário pode reclamar. Ele agora terá o poder de contestar os critérios pelos quais os dados dele foram discriminados, como reclamar do score gerado pelo Serasa, por exemplo. Com a nova lei, as empresas serão obrigadas a explicar que critérios foram usados para se chegar ao perfil do usuário.
No painel que reuniu 5 executivos, entre T.I, advogados e consultores, todos concordaram que a lei deve mesmo "pegar" no Brasil. A primeira razão é porque se trata de uma mudança de visão no mundo todo. A luta pela privacidade no mundo digital só tem crescido, colocando gigantes como Facebook e Google na berlinda. O Brasil não deve ficar fora dessa onda.
O head de marketing da SAP Ariba, Marcelo Fernandes, levantou que o impacto em pequenas empresas já acontece entre os seus fornecedores de publicidade. Ele conta que a empresa já está deixando de contratar agências menores porque elas não tem condições de assinar a chamada "cláusula de responsabilidade". Em caso de vazamento de dados por um fornecedor, a lei prevê que as duas empresas respondem na justiça em solidariedade.
O Mauro Falsetti, sócio do BFA advogados, um dos escritórios que esteve próximo a articulação da lei no Congresso, deu duas notícias sobre o próximos passos em Brasília. Segundo ele, a Medida Provisória prometida pelo presidente Michel Temer para criar a agência reguladora de proteção aos dados estaria pronta, mas não tem tido prioridade na equipe de transição. Logo, a equipe atual não está segura para publicar a MP.
Ele relatou ainda que há um movimento crescente no Congresso para derrubar o veto de Temer a vários artigos, includindo o que criava a agência reguladora.
O gerente de GRC (Governança, Riscos e Compliance) da Proxis Contact Center, Olympio Neto, destacou que ainda não há soluções tecnológicas satisfatórias para duas previsões da lei: a preservação da informação em backups e a deleção da informação.
Segundo ele, a maioria dos back-ups recuperam somente até uma semana anterior, além de serem muito difíceis de se manter preservados, como aqueles em fita, por exemplo.
Já na deleção, o problema é que os sistemas não permitem um apagamento físico dos dados, apenas um apagamento lógico, que pode vir a ser recuperado por invasores.
Muita gente não sabe, mas existe uma diretriz da ABNT de 2013 (!) para classificação de dados. É uma bom caminho para começar. É a resolução NBR 16167:2013.
Você pode acompanhar os nossos conteúdos e as novidades da Live University pela nossa página no Linkedin. Temos um calendário extenso de capacitações, workshops e fóruns de discussão ao longo do ano. Clique aqui e siga a gente por lá! Até mais.