Desde que o pix, o sistema instantâneo de pagamentos, foi lançado no Brasil em novembro de 2020, já foram registrados oito vazamentos de chaves pix. O episódio mais recente, no primeiro semestre de 2024, envolveu o Banco do Estado do Pará S.A. (Banpará), com um total de 3.020 chaves pix de clientes expostas, segundo o comunicado do Banco Central (BC). As notícias envolvendo incidentes como esse vêm aumentando a cada ano, evidenciando a importância da Lei Geral de Proteção de Dados (LGPD) — Lei n.º 13.709/2018 —, que está em vigor desde setembro de 2020, e a urgência de empresas e instituições se adequarem à legislação.
A advogada Vanessa Naunapper, especialista em Direito Empresarial no Escritório Vanzin & Penteado Advogados, explica que a Lei Geral de Proteção de Dados (LGPD) representa um marco significativo para a regulamentação da proteção de dados no Brasil. Inspirada pelo Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a legislação tem como principal objetivo garantir a privacidade e a proteção dos dados pessoais dos cidadãos, estabelecendo regras claras sobre como esses dados devem ser coletados, armazenados, tratados e compartilhados. “Isso implica na adequação de todas as organizações que tenham acesso aos dados pessoais de clientes, fornecedores ou colaboradores”, comenta.
PROTEÇÃO DE DADOS
Com a rápida evolução das novas tecnologias e com o aumento exponencial do volume de dados manipulados, a proteção de dados tornou-se uma necessidade crescente no mundo empresarial e exige um gerenciamento responsável destas informações. Além disso, o Brasil está entre os países com maior incidência de vazamentos de dados, reforçando a necessidade urgente de implementar medidas de segurança eficazes.
Segundo Vanessa Naunapper, a não-conformidade com a legislação de proteção de dados pode resultar em penalidades severas, que vão desde multas e sanções administrativas, como suspensão da atividade, até impactos negativos na reputação da empresa. As multas podem atingir até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração — ou ainda serem aplicadas de forma diária, também limitada a R$ 50 milhões, até que a irregularidade seja sanada.
“Incidentes envolvendo dados pessoais não comprometem apenas a privacidade dos indivíduos, mas também expõem a empresa a riscos significativos, incluindo perdas financeiras, danos à reputação e a perda de confiança dos clientes. Em muitos casos, isso pode levar à ruptura de parcerias e à redução das oportunidades de negócios”, pontua a advogada.
Ela também destaca que a falta de conformidade com a LGPD pode dificultar ou até mesmo inviabilizar a formação de parcerias com empresas que exigem altos padrões de proteção de dados. “O mercado internacional e as grandes corporações estão cada vez mais exigentes quanto à conformidade com as legislações de proteção de dados. Empresas que não se adequam a essas normas enfrentam dificuldades para estabelecer parcerias e participar de negociações estratégicas, considerando que em muitos casos, a conformidade é vista como um pré-requisito essencial”, observa.
Neste processo de implementação da LGPD, é crucial compreender o papel de cada um dos agentes de tratamento de dados. Vanessa explica que a LGPD atribui responsabilidades específicas ao controlador e ao operador de dados, delimitando claramente os papeis e as obrigações de cada um no tratamento das informações pessoais.
O controlador é responsável por decidir sobre o tratamento de dados pessoais, adotar medidas de segurança e garantir o cumprimento dos direitos dos titulares, como acesso, correção e exclusão de dados. O operador, por sua vez, realiza o tratamento de dados em nome do controlador, seguindo suas instruções e assegurando a proteção dos dados.
Outro ponto crucial para a conformidade é a manutenção de um registro detalhado das atividades de processamento de dados. “As empresas devem manter um registro detalhado das atividades, conforme exigido na lei. Esse registro é fundamental para monitorar e documentar todas as operações de tratamento de dados realizadas”, orienta.
Medidas para conformidade com a LGPD
Após entender a importância da proteção de dados e os passos essenciais para a adequação à LGPD, é fundamental conhecer os principais instrumentos e medidas que assegurem a conformidade das empresas com a legislação. Vanessa Naunapper elenca os elementos e ações essenciais neste processo de adequação às exigências da lei de proteção de dados:
- Políticas de Privacidade: documento que informa aos titulares dos dados como a empresa coleta, utiliza, armazena e protege suas informações pessoais;
- Acordo de Processamento de Dados: Contrato estabelecido entre controladores e operadores para definir responsabilidades e garantir a proteção dos dados;
- Revisão de Contratos com Cláusulas de Proteção de Dados: Revisão dos contratos da empresa para fazer a inclusão de cláusulas específicas de proteção de dados, garantindo a conformidade em todas as operações;
- Acordo de Confidencialidade: Protege informações confidenciais, especialmente em setores que lidam com dados sensíveis;
- Termos de Consentimento: Garantem que o tratamento de dados seja realizado de maneira legítima e transparente, com consentimento livre, informado e inequívoco dos titulares;
- Mecanismos de Coleta: São os métodos recomendados para a coleta de consentimento, como caixas de seleção em sites, formulários digitais ou físicos, entre outras interfaces interativas que garantam que o consentimento seja um ato voluntário e consciente;
- Registro e Armazenamento de Consentimentos: Procedimentos e sistemas que uma organização deve implementar para documentar e guardar as autorizações dadas pelos titulares de dados pessoais para fins de auditoria e como prova de conformidade em casos de disputa ou inspeção regulatória. É um protocolo essencial para demonstrar conformidade com a lei.
Assessoria jurídica
A especialista do Escritório Vanzin & Penteado Advogados enfatiza que o processo de adequação à LGPD não envolve apenas a implementação de protocolos e sistemas para tratamento dos dados pessoais. Envolve, principalmente, a capacitação e a conscientização dos colaboradores sobre as obrigações e as políticas de proteção de dados da empresa, por meio de treinamentos regulares e materiais de referência.
“De nada adianta adotar sistemas modernos e não treinar os profissionais que trabalham com os dados pessoais. A maioria dos vazamentos envolve falha humana, como algum colaborador que deixou de seguir algum protocolo de segurança. Muitas vezes isso ocorre de forma não-intencional, por falta de preparo das equipes”, comenta.
Vanessa salienta que a conformidade com a LGPD exige uma mudança significativa na cultura organizacional, onde a proteção de dados precisa ser vista como uma prioridade por todos os níveis da organização.
De acordo com ela, as empresas precisam adotar medidas técnicas de segurança, como criptografia e controle de acesso, além de políticas claras de segurança de dados. Além disso, é necessário estabelecer procedimentos para resposta rápida a incidentes de violação de dados, incluindo notificações aos titulares e autoridades, caso da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por zelar pela proteção de dados pessoais no Brasil e garantir a aplicação da LGPD.
A advogada também alerta que, paralelamente aos ajustes internos aos processos já existentes, é fundamental a adesão ao conceito de “privacy by design” — ou seja, a “privacidade desde a concepção”. “As empresas precisam incorporar as medidas de proteção de dados desde o início do desenvolvimento de novos produtos, serviços ou processos. É uma forma de antecipar-se aos problemas, considerando os riscos envolvidos em todas as fases do ciclo de vida dos dados pessoais, desde a coleta até o descarte”, explica.
Além disso, ela ressalta que a adequação à legislação deve ser vista como um investimento e precisa ser feita por uma equipe especializada para evitar problemas futuros. Isso porque, além dos valores das multas, a organização pode receber sanções administrativas severas que podem chegar à suspensão parcial do funcionamento do banco de dados ou até mesmo a proibição parcial, ou total do exercício de atividades relacionadas a tratamento de dados, o que pode inviabilizar sua existência.
“É essencial que todo esse trabalho seja acompanhado por profissionais que conhecem profundamente a legislação para oferecer segurança não somente aos titulares dos dados pessoais, mas para toda a organização”, reforça a advogada.
