O presidente da república, Michel Temer, sancionou, em agosto de 2018, a Lei de Proteção de Dados. O objetivo da regulamentação é fazer com que as empresas sejam mais cautelosas ao lidar com dados sensíveis dos clientes. Com isso, diversas organizações serão impactadas. Afinal, muitas dependem das informações dos seus usuários para a continuidade dos negócios.
As empresas devem começar processos de auditoria para identificar os procedimentos que precisam ser tomados ou alterados até fevereiro de 2020, data em que a regulamentação entrará em vigor. Dessa forma poderão atender as normas da nova legislação e evitar danos. Entenda a origem dessa lei e quais os efeitos para as empresas.
Como os dados sensíveis dos usuários estão sendo tratados
A coleta e o armazenamento de dados dos usuários são práticas comuns no mercado há muitos anos. Principalmente, em empresas de tecnologia, as informações confidenciais, vêm sendo usadas com objetivo de proporcionar uma experiência melhor ao próprio usuário. O maior problema da prática é que nem sempre regras de privacidade são seguidas.
A forma de proteção mais comum é por meio de ferramentas de backup e replicação, armazenando em um único repositório ou ainda restaurando para ações específicas. Isso sem falar das empresas que fazem a captura e o armazenamento de informações que não precisam necessariamente.
A lógica usada é a de que as informações podem ser necessárias no futuro. Porém, mesmo que nenhum colaborador tenha contato ou os dados nunca sejam usados, o usuário é colocado em risco.
Em 2018, grandes corporações, como Facebook, ganharam destaque na mídia por terem seus nomes envolvidos em escândalos de segurança da informação. Dados sensíveis de seus usuários foram vazados por causa de uma brecha de segurança e expostos a crimes cibernéticos. De acordo com a rede social, cerca de 50 milhões de usuários foram afetados.
Em um cenário em que cada vez mais pessoas acessam a internet diariamente, um número muito maior de informações acabam expostas a riscos, ampliando a importância de uma regulamentação e controle de dados.
Como acontecem os vazamentos de dados
Quando informações confidenciais de consumidores, clientes ou usuários são expostas ou disponibilizados na internet sem autorização, acontece o chamado vazamento de dados. Outras formas de vazamento ocorrem quando há um roubo sistemático de informações por meio de ataques maliciosos. Os criminosos costumam agir de duas formas: usando ou vendendo as informações na deep web. O Brasil é o segundo país do mundo mais afetado com vazamento de dados na deep web.
As falhas de injeção SQL estão entre as causas mais comuns de vazamento de dados. O SQL é uma linguagem de programação usada para enviar comandos aos bancos de dados. A falha no código permite que um invasor envie os próprios comandos para o banco de dados e retire as informações que quiser.
As empresas são as responsáveis pela proteção dos dados que capturam, algumas soluções usadas no mercado são a criptografia e a limitação de acesso dos usuários. Assim, apenas quem realmente precisa terá contato com as informações. Apesar disso, os vazamentos não param de crescer. Com a Lei de Proteção de Dados (LPD), a tendência é que esses casos sejam evitados e as empresas punidas quando acontecerem.
O que muda com a Lei de Proteção de Dados
A Lei de Proteção de Dados exige a proteção e privacidade dos dados coletados e armazenados pelas empresas. A regulamentação abrange diversos tipos de dados e armazenamento. Desde aqueles capturados na web, até cadastros feito em lojas, bancos, escolas etc., e é aplicável também a empresas com sede no exterior, mas que o uso e tratamento dos dados são feitos dentro do país.
A LPD foi inspirada na Regulamentação Geral de Proteção de Dados (GDPR), a lei de proteção de dados da União Europeia, em vigor desde maio de 2018. A GDPR regulamenta a forma como as empresas do mundo todo lidam com os dados dos europeus. O que quer dizer que uma empresa brasileira pode ser afetada, se estiver lidando com dados de um cidadão europeu.
Assim como na lei europeia, a LPD tem como objetivo garantir mais controle dos brasileiros aos seus dados pessoais. O uso, a proteção e a transferência de dados terá que passar pelo consentimento declarado dos usuários. Além disso, as empresas terão que oferecer opções para que o público possa ver, corrigir e excluir as suas informações quando bem entender. Saiba mais sobre as implicações da lei:
Quais os dados são enquadrados na lei?
O conceito de dados, adotado pela lei, é amplo. Considerado como qualquer informação capaz de identificar um cidadão, ou ainda, que o cruzamento com outros dados identifiquem a pessoa. São eles:
- CPF;
- RG;
- Raça;
- Etnia;
- Religião;
- Sexualidade;
- Opinião pública.
Os documentos oficiais são capazes de identificar pessoas, enquanto que as demais informações podem ser usadas para discriminar um indivíduo e, por esse motivo, são considerados como sensíveis.
Dados usados com objetivos jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do estado ou qualquer outra atividade de investigação e para infrações penais não se enquadram na lei.
Consentimento no uso das informações
O consentimento no uso das informações determina que o dono deve fazer uma “manifestação livre, informada e inequívoca” de concordância com o uso e o tratamento dos seus dados para algo específico.
Isso quer dizer que o consumidor está ciente de que as suas informações serão capturadas e usadas pela empresa. O objetivo da coleta e do armazenamento devem estar bem claros para ele.
Interesses compartilhados e legítimos
Nesse ponto que está o maior problema para o interesse das empresas e o que coloca os dados em vulnerabilidade. Muitas empresas capturam os dados de seus clientes e depois compartilham com parceiros. A prática é muito comum em empresas de tecnologia, novos modelos de negócios ou empreendimentos com fins de publicidade.
A empresa que tem o poder sobre as informações do cliente, compartilha com uma empresa de venda de anúncios para que estratégias de marketing específicas sejam criadas. O problema é que a empresa de publicidade pode usar os mesmos dados em outras ações. Dessa forma, o cliente já não sabe mais quem tem acesso às suas informações e como está usando.
Os interesses da empresa e o consentimento do usuário devem estar de acordo. Para isso, modelos digitais baseados em publicidade terão que auditar seus interesses e o consentimento do cidadão.
Informações necessárias para operação
As empresas poderão coletar apenas os dados necessários para operar em suas áreas de negócios. No caso de instituições de ensino, por exemplo, será permitido exigir apenas os dados do responsável pelo pagamento das mensalidade, ou seja um dos familiares. Não será permitido exigir as informações do pai e da mãe. Da mesma forma no mercado imobiliário, uma transação de locação, poderá exigir apenas os dados do locador.
Empresas de tecnologia, que atuam de forma online, não poderão exigir informações sobre o endereço ou o telefone do cliente, a menos que sejam necessárias para realizar uma entrega. Logins e acesso às contas devem oferecer outras formas de conexão.
Como as empresas serão punidas
As empresas que descumprirem com a lei estarão sujeitas a sanções e multas, podendo ser aplicado:
- advertência;
- multa simples ou diária de até R$ 50 milhões por infração;
- divulgação da infração;
- bloqueio dos dados pessoais relativos a infração até sua regularização;
- eliminação dos dados, sem prejuízo das demais sanções cíveis, penais e administrativas previstas em legislação específica.
A criação da Lei de Proteção de Dados tem causado muitas dúvidas, questionamentos e até um certo medo nas empresas, que ainda não sabem como vão continuar lidando com os dados, sem causar danos ao usuário ou aos próprios negócios. Problemas maiores serão evitados por aquelas empresas que buscarem auxílio e acompanhamento profissional até estarem devidamente enquadradas na lei. Precisa de ajuda? Conte com os especialistas da MK Soluções Empresariais e acompanhe nosso blog para saber novidades sobre ambiente fiscal e tributário para as empresas de TI.