SUA EMPRESA ESTÁ PREPARADA PARA A LEI DE PROTEÇÃO EM RELAÇÃO AOS DADOS?

Transcrição

1 SUA EMPRESA ESTÁ PREPARADA PARA A LEI DE PROTEÇÃO EM RELAÇÃO AOS DADOS?

2 Com direitos e obrigações para pessoas físicas e jurídicas, a nova Lei Geral de Proteção de Dados Pessoais (LGPD) coloca o Brasil entre os países com legislação mais avançada na área. 02

3 03 PARTE I FIQUE POR DENTRO DA LEI SUMÁRIO O que é a Lei / O que diz a lei Principais pilares Transferência internacional de dados Toda regra tem exceção Penalidades PARTE II HORA DE COLOCAR A CASA EM ORDEM O que vale para todas as empresas PARTE III ATENÇÃO REDOBRADA Varejo Finanças Marketing Telecomunicações

4 04 PARTE I FIQUE POR DENTRO DA LEI O QUE É A LEI /2018 A Era da Informação deu origem a um fenômeno recente de produção e intercâmbio de dados em dimensão nunca vista na história da humanidade. Muitas empresas criaram novos modelos de negócios com escala global com base nesses ativos. Conhecer mais a fundo cada cliente, conversar com cada consumidor de forma mais personalizada e traçar campanhas mais individualizadas se tornou regra, demandando cada vez mais o acúmulo de informações. A nova realidade assustou e deixou clara a necessidade de proteger os dados pessoais contra seu uso indevido e não autorizado. O Brasil não ficou de fora. Depois de muitas revisões, o presidente Temer vetou a criação da Autoridade Nacional de Proteção de Dados (ANPD), que seria o órgão independente responsável pela fiscalização. Ou seja, essa definição ainda está pendente e a intervenção para a aplicação da lei continua dependendo dela. O marco regulatório determina como as informações dos cidadãos podem ser coletadas e tratadas, prevendo as punições para as transgressões. Até a publicação no Diário Oficial da LGPD, que entrará em vigor em 18 meses a partir da data de sanção, ou seja, em fevereiro de 2020, o Brasil dispunha de cerca de 40 normas relativas à privacidade. A Lei /18 é soberana em relações demais, incluindo o Marco Civil da Internet, que desde 2014 regula o ambiente on-line. A nova legislação tem impacto direto no modo de operação de todas as empresas brasileiras, independentemente do porte ou da área de atuação. Trata-se de uma verdadeira revolução para as companhias, que terão até fevereiro de 2020 para se adaptar à nova realidade. Foi criada uma série de obrigações para as empresas no que diz respeito a coleta, uso e garantia de integridade dos dados pessoais, a serem observadas, sob pena de duras sanções, que podem mesmo ser diárias. A Lei /18 atribuiu direitos aos titulares dos dados pessoais, que podem ser exercidos contra quaisquer empresas ou órgãos públicos que detenham tais informações. Assim, se os dados pessoais ao longo dos anos se transformaram em um precioso ativo, por outro podem dar origem, quando mal administrados, a um pesado passivo para quem os detém.

5 05 O QUE DIZ A LEI Organizações públicas e privadas só poderão coletar dados pessoais se tiverem o consentimento do titular. A solicitação deverá ser feita de maneira clara para que o cidadão saiba exatamente o que está sendo coletado e para quais fins, e se haverá ou não compartilhamento; No caso de menores de idade, os dados só poderão ser tratados com consentimento dos pais ou responsáveis legais; Se houver mudança de finalidade ou repasse de dados a terceiros, um novo consentimento deverá ser solicitado; O usuário poderá, sempre que desejar, revogar sua autorização, bem como pedir acesso, exclusão, portabilidade, complementação ou correção de dados. O que são dados pessoais O conceito adotado pela nova lei é amplo. Pode ser qualquer informação que identifique uma pessoa ou que, se cruzada com outro dado, permita identificação de um indivíduo. Os dados mais comuns são: nome, apelido, endereço residencial, endereço de , endereço de IP, fotos próprias, formulários cadastrais e números de documentos. O que são dados sensíveis São aqueles que dizem respeito a informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual. Seu uso é mais restritivo e nenhuma organização, pública ou privada, pode utilizá-los para fins discriminatórios.

6 06 PRINCIPAIS PILARES A Lei Geral de Proteção de Dados Pessoais tem por base dois pilares: consentimento e interesse legítimo para captura de dados pessoais. O que isso significa? Que qualquer informação pessoal, antes de ser coletada e armazenada, precisa de autorização do titular uma manifestação livre, informada e inequívoca, pela qual este concorda com o tratamento de seus dados para a finalidade determinada. O consentimento precisa ser explícito e, quando solicitado no meio de um contrato que reúna outros elementos, deve constar de uma cláusula separada. O interesse para a captura dos dados também deve ser objetivo e bem definido. É necessário que o consentimento do cidadão e o interesse legítimo da empresa estejam em sintonia. Assim, do ponto de vista dos usuários on-line e off-line, a maior mudança é o acesso às informações sobre os dados: quais estão sendo coletados e para que serão usados. A partir de fevereiro de 2020, qualquer pessoa poderá saber como empresas públicas e privadas tratam as informações pessoais, como e por que as coletam, como as armazenam, por quanto tempo as guardam e com quem as compartilham.

7 07 Os usuários terão direito a: Acesso a dados incompletos, incorretos e desatualizados, podendo modificá-los; Anomização (identificação sem nome da pessoa ou de forma indireta) de dados, bloqueio ou eliminação de informações desnecessárias, excessivas ou tratadas em desconformidade com a lei; Portabilidade dos dados para outros fornecedores de serviço ou produto (bancos ou seguradoras, por exemplo); Eliminação dos dados pessoais; Revogação do consentimento de uso das informações. Do lado das empresas, o trabalho será fornecer as informações sobre coleta, armazenamento e uso de dados de forma clara, inteligível e simples. É importante ressaltar que cada empresa ou órgão que responda juridicamente pela coleta de dados pessoais deve ter um profissional controlador, ou seja, uma pessoa jurídica ou grupo natural que decidirá como e por que os dados serão processados, para que fins e quais serão os meios de processamento. Ele estará encarregado de aceitar as reclamações dos titulares, prestar esclarecimentos, adotar providências, dialogar com as autoridades nacionais, orientar os funcionários, entre outras atribuições. Além disso, toda empresa sujeita à LGPD deverá ter um responsável de proteção de dados (data protection officer DPO), que será uma pessoa jurídica ou natural indicada pelo controlador para atuar como canal de comunicação entre este último e os titulares e a autoridade nacional.

8 08 Pontos importantes a serem observados no tratamento dos dados Objetivo claro e único: os dados devem ser tratados para os fins específicos informados ao titular. Necessidade real: devem ser coletados apenas dados pertinentes, relevantes, na medida certa e não em excesso em relação às finalidades desejadas. Acesso livre: os titulares dos dados devem poder consultar gratuitamente a forma e a duração do tratamento deles. Segurança: os agentes de tratamento das informações devem adotar medidas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Prestação de contas: os agentes de tratamento dos dados devem tornar possível a adoção de medidas eficientes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais. Quatro funções essenciais do controlador Notificação à autoridade competente, em prazo razoável, de qualquer incidente de segurança de informação, bem como eventual notificação aos titulares e ampla divulgação do incidente para o público, conforme a gravidade de sua natureza; Indicação de um responsável que servirá de canal de comunicação entre ele e os titulares de dados e o controlador, bem como responder, pela supervisão e fiscalização do cumprimento das regras de proteção de dados pessoais; Adoção de padrões de segurança a serem definidos pela autoridade competente no processo de tratamento dos dados, bem como de práticas de proteção de dados pessoais desde a concepção de produtos e serviços até a sua efetiva execução, de modo a garantir o maior nível de proteção desses dados; Registro de todas as atividades de tratamento realizadas, incluindo o tipo de dado, o prazo de tratamento e a fundamentação para o tratamento, elaboração de relatórios de impacto à proteção de dados pessoais em relação a tratamentos que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, medidas, salvaguardas e mecanismos de mitigação.

9 Quatro tarefas a serem colocadas em prática pelas organizações Indicação de um responsável para servir como canal de comunicação com o público e supervisionar o tratamento de dados; Implementação de padrões de segurança e mecanismos de proteção de dados pessoais desde a concepção de produtos e serviços; Exigência de maior controle dos processos de tratamento de dados pessoais, incluindo a manutenção de registros e a elaboração de relatórios; Obrigação de apresentar transparência em relação aos usos e finalidades empregados para o tratamento de dados pessoais. 09

10 10 TRANSFERÊNCIA INTERNACIONAL DE DADOS A Lei Geral de Proteção de Dados Pessoais vale para operações de tratamento de dados realizadas no Brasil ou em outro país, desde que a coleta de dados seja feita em território brasileiro. Diz a norma que as empresas poderão, se necessário, transferir dados para uma filial ou sede internacional, desde que o país de destino também tenha leis abrangentes de proteção de dados ou possa garantir mecanismos de tratamento equivalentes aos que são exigidos no Brasil. Em caso de ausência de legislação, a autoridade poderá direcionar para contratos específicos. Mais de 100 países contam com alguma regulamentação de proteção de dados e privacidade. O Regulamento Geral de Proteção de Dados da União Europeia (GDPR) é um dos mais rigorosos e entrou em vigor em 25 de maio de Nos Estados Unidos, vigora o California Consumer Privacy Act, implementado em âmbito estadual, na Califórnia, onde foi aprovado em 28 de junho de Na América Latina, seis países destacam-se por ter uma lei considerada do mesmo nível do GDPR europeu: Chile, Colômbia, Costa Rica, Peru, Uruguai e Argentina.

11 11 TODA REGRA TEM EXCEÇÃO O que pode acontecer As normas propostas pela Lei /2018 não valem para dados pessoais tratados para fins acadêmicos, artísticos ou jornalísticos, bem como para aqueles que envolvem segurança pública, defesa nacional, proteção da vida e políticas governamentais. Esses casos deverão ser objeto de leis específicas. Advertência com prazo para adoção de correções. PENALIDADES Publicação da infração. Não é porque a lei começará a vigorar a partir do início de 2020 que as empresas não devem se preparar desde já. Evitará exposição pública, pesadas multas e até aumento de gastos com processos judiciais. As penalidades dependerão da gravidade da situação. Se comprovada a infração, a empresa ou organização responsável poderá desde receber advertência com prazo de adoção de medidas corretivas até ter as atividades ligadas ao tratamento suspenso, responder judicialmente e, se for o caso, pagar multas de muitos milhões de reais. Multa simples e diárias, num valor equivalente a 2% do faturamento, respeitado o limite máximo de R$ 50 milhões. Bloqueio de dados pessoais relativos à infração até a devida regularização. Eliminação dos dados pessoais relativos à infração. Suspensão total ou parcial das atividades ligadas ao tratamento de dados.

12 12 PARTE II HORA DE COLOCAR A CASA EM ORDEM O QUE VALE PARA TODAS AS EMPRESAS A promoção de: Não adianta pensar que a sua empresa escapará das novas regras, porque isso não acontecerá. Todas, independentemente do porte, terão de se adaptar à nova lei. Para aquelas companhias que já tratam da segurança da informação como algo de importância estratégica, a jornada provavelmente será menos árdua, diz Antonio Cipriano, vice-presidente da Cosin. Já para as que pouco ou nada fizeram ou não enxergam o tema como algo relevante ou de impacto estratégico, a jornada pode ser menos suave. Mudança organizacional para nomeação dos responsáveis pela guarda dos dados; Mudanças culturais sobre a preocupação com a privacidade dos dados, permeando toda a companhia; Mudanças operacionais visando implementação de processos de auditoria.

13 13 10 TAREFAS PARA COMEÇAR AGORA 1. Garantir que todas as equipes envolvidas jurídico, compliance, 6. Envolver advogados para garantir que as interpretações sejam negócios, TI, risco e outras se comprometam a compartilhar a responsabilidade pelo plano de implementação e pela adequação à nova lei. pragmáticas e realistas. 7. Criar um caminho claro para comunicar e classificar incidentes, incluindo o departamento jurídico, TI e relações públicas. 2. Definir o escopo do programa LGPD e determinar com clareza o que deverá estar pronto até fevereiro de Eliminar os dados não utilizados pela empresa, mas que acabam 3. Começar a construir um registro de dados de cada atividade de circulando entre as áreas. Cuidado especial com as informações não estruturadas, guardadas em planilhas eletrônicas. processamento de dados pessoais na organização, para garantir conformidade e rastreabilidade. 9. Retirar do banco de dados as informações que identifiquem as 4. Identificar as principais lacunas para interpretar a LGPD. pessoas em suas particularidades, qualificando a informação apenas de maneira generalizada. 5. Adotar tecnologias que garantam maior segurança contra 10. Monitorar as respostas dos contratantes, isto é, dos titulares vazamento de dados. A criptografia e o controle de acesso são as mais indicadas. Em 2017, apenas 3% dos dados que vazaram em incidências divulgados eram criptografados adequadamente. que contratam um serviço ou compram um produto.

14 14 PARTE III ATENÇÃO REDOBRADA VAREJO O impacto da lei será forte, pois boa parte dos dados que o varejo capta manipulada entre sistemas diferentes e não integrados, o que dificulta o mapeamento. Exceção feita ao e-commerce, os varejistas ainda têm pouca informação pessoal sobre seus clientes, tratando-os em clusters. O primeiro passo, portanto, é criar uma única porta de entrada de dados, para garantir o cumprimento da lei e dar ao consumidor acesso a todas as informações que a empresa capta e armazena sobre ele. Mas não é só: Os programas nos quais se ativa o cliente frequentemente, a exemplo da fidelização, demandarão mais cautela. Os riscos estão mais no uso da informação do que na captura; As adequações nas relações feitas por e-commerce deverão ser menores, mas precisarão ser revistas e focadas nos processos de controle e transparência; Ser, preciso aperfeiçoar o tratamento dos dados, extraindo apenas as informações úteis e legais. Isso significa dar atenção ao uso de ferramenta de diferenciação e geração de novos negócios; A diferenciação de preços com base na localização, o registro de busca ou outras informações relacionadas ao consumidor deverão ser informados explicitamente ao cliente. A comunicação vale tanto para a existência da coleta de dados quanto para a sua finalidade.

15 15 PARTE III ATENÇÃO REDOBRADA FINANÇAS É essencial deixar bem claro que a LGPD proíbe o tratamento de dados pessoais como prática de discriminação ilícita ou abusiva. Para o mercado financeiro, esse tipo de cenário pode acontecer quando o cruzamento de informações de uma pessoa específica ou de um grupo for usado para subsidiar decisões comerciais, a exemplo do perfil de consumo para divulgação da oferta de bens ou serviços. Por isso, vale prestar atenção ao seguinte: Será necessário fazer adaptações nos termos de contratos de prestação de serviços vigentes; A captação de novos clientes exigirá um investimento adicional, especialmente para os financiamentos diversos (simulações com necessidade de dados mínimos, descarte de dados não utilizados, entre outros); Sobretudo fintechs, bancos médios e pequenos deverão investir na segurança de dados e nos mecanismos de resposta a incidentes, incluindo a transparência da comunicação; O consumidor pode exigir do bureau de crédito, como Serasa ou Boa Vista SCPC, informações como a finalidade específica do tratamento, tipo de acesso aos dados utilizados, origem das informações, correção de dados incompletos, inexatos ou desatualizados, além do bloqueio ou eliminação de informações desnecessárias ou excessivas. A resposta tem de seguir em 15 dias, por escrito; Se o cálculo do score for realizado com base em tratamento automatizado de dados pessoais, o titular pode requerer a revisão. Caso não receba as informações claras sobre os critérios adotados, pode solicitar uma auditoria à autoridade competente.

16 Lei de Proteção proteçãode dedados dados Lei de 16 MARKETING Além de adaptar seus processos e sistemas, as agências de comunicação e marketing precisarão garantir que toda a cadeia de valor tenha o mesmo comportamento desde provedores de bases de dados e controladores de dados até operadores e anunciantes. O que fazer: Incentivar a disponibilização de dados pelo consumidor para a geração de campanhas por meio de uma contrapartida direta; Investir em ferramentas de TI para tratamento e segurança de dados, pois o segmento ainda é pouco instrumentalizado e maduro em relação à segurança da informação; Dar mais atenção à coleta, análise e conformidade dos dados a serem adotados na segmentação das campanhas; Atualizar as políticas de privacidade que envolvem as estratégias de marketing digital. Além de tornar o texto compreensível ao usuário médio, é preciso solicitar o consentimento de forma clara, específica e informada. No caso de inbound marketing, nas automações de marketing e nas técnicas de lead scoring, os conteúdos oferecidos devem ser interessantes o suficiente para o visitante e o lead concordarem em compartilhar seus dados.

17 TELECOMUNICAÇÕES O principal desafio está relacionado aos processos de aumento de base. Atualmente, o setor usa fontes externas para geração de campanhas. Nesse aspecto, haverá um esforço importante para garantir a adequação e a aderência de toda a cadeia de valor, especialmente os provedores de informação. Mas é preciso ir além: Adequar os processos de TI para guarda e tratamento correto dos dados, além de garantir resposta rápida e clara a possíveis incidentes; Realinhar e adaptar os termos de uso. A lei proíbe os textos longos, de difícil entendimento, com termos generalistas que permitem coletar todos os tipos de dado para fins de melhoria dos serviços e compartilhamento com terceiros. Assim sendo, a Pessoais já é realidade e precisa ser cumprida. Quem ainda não deu atenção ao assunto ou não procurou se adaptar às novas normas está atrasado. É preciso colocar a casa em ordem rapidamente, fevereiro de 2020 bate à porta e as multas serão pesadas. 17

18 A NICE (NASDAQ: NICE) é a fornecedora líder mundial em soluções de software, implementadas na nuvem ou in loco, que capacitam as organizações a tomar decisões mais inteligentes com base em análises avançadas de dados estruturados e não estruturados. A NICE ajuda organizações de todos os tamanhos a oferecer um melhor serviço de atendimento ao cliente, garantir a compliance, combater fraudes e proteger os cidadãos. Mais de organizações em cerca de 150 países, incluindo mais de 85 das 100 empresas listadas no índice Fortune 100, utilizam atualmente as soluções da NICE. 18 Com 14 anos de experiência no mercado, a Cantarino Brasileiro é uma empresa de consultoria em marketing e comunicação com grande conhecimento nos mercados financeiro e de meios de pagamento, tecnologia e inovação, cujo objetivo é promover a aproximação entre as empresas e seu público-alvo por meio de ações criativas e dinâmicas.

19 Patrocínio: Realização: