6 Insights do Fórum da Lei de Proteção de Dados e GDPR

A nova lei de proteção de dados pessoais brasileira vai ter um mega impacto nas empresas. Apesar da legislação só entrar em vigência em 2020, é precisar começar a se preparar ontem (!) para chegar lá em conformidade.

Reunimos aqui na Live para compartilhar experiências e debater os aspectos polêmicos da lei representantes de empresas multinacionais que já estão aplicando um conceito muito parecido, já que a União Européia tem uma lei de proteção de dados recentemente em vigência, a famosa GDPR.

Do compartilhamento de experiências, cases e dicas faladas no evento, selecionamos 7 insights para você que está se preparando para aplicar a lei brasileira na sua empresa. É bom lembrar que ela entra em vigência em fevereiro de 2020! Não deixe de se preparar porque muitos detalhes podem passarem despercebidos. Confira com a gente!

          1. Alto risco jurídico pela interpretação da lei

Os advogados são praticamente unânimes em apontar que teremos muitos problemas frutos da abertura da lei para interpretações no judiciário. Há algumas janelas na legislação que permitem o tratamento do dado sem consentimento, como o "legítimo interesse". Mas o que é será aceito como legítimo interesse? Fica a questão.

Zonas cinzentas como essa são preocupantes, principalmente porque as multas serão definidas em julgamentos de primeira instância, onde os juízes naturalmente terão um curva de aprendizado sobre o novo tema. E mesmo que você recorra a instâncias superiores, o valor da multa precisará ficar provisionado no seu balanço.

         2. O consentimento do titular dos dados pode ser retirado a qualquer momento

Por mais que o seu cliente ou usuário tenha consentido inicialmente em fornecer os dados, você precisa estar preparado para o cenário em que essa concessão não seja mais para sempre. Em caso de disputa jurídica, o ônus da prova de que o consentimento foi legal cabe ainda ao controlador do dado, ou seja, a empresa.

Além disso, há outra via importante que o usuário pode reclamar. Ele agora terá o poder de contestar os critérios pelos quais os dados dele foram discriminados, como reclamar do score gerado pelo Serasa, por exemplo. Com a nova lei, as empresas serão obrigadas a explicar que critérios foram usados para se chegar ao perfil do usuário.

          3. A lei vai mesmo "pegar", até para médias e pequenas

No painel que reuniu 5 executivos, entre T.I, advogados e consultores, todos concordaram que a lei deve mesmo "pegar" no Brasil. A primeira razão é porque se trata de uma mudança de visão no mundo todo. A luta pela privacidade no mundo digital só tem crescido, colocando gigantes como Facebook e Google na berlinda. O Brasil não deve ficar fora dessa onda.

O head de marketing da SAP Ariba, Marcelo Fernandes, levantou que o impacto em pequenas empresas já acontece entre os seus fornecedores de publicidade. Ele conta que a empresa já está deixando de contratar agências menores porque elas não tem condições de assinar a chamada "cláusula de responsabilidade". Em caso de vazamento de dados por um fornecedor, a lei prevê que as duas empresas respondem na justiça em solidariedade.

          4. Bastidores de Brasília: MP está pronta e vetos podem cair

O Mauro Falsetti, sócio do BFA advogados, um dos escritórios que esteve próximo a articulação da lei no Congresso, deu duas notícias sobre o próximos passos em Brasília. Segundo ele, a Medida Provisória prometida pelo presidente Michel Temer para criar a agência reguladora de proteção aos dados estaria pronta, mas não tem tido prioridade na equipe de transição. Logo, a equipe atual não está segura para publicar a MP.

Ele relatou ainda que há um movimento crescente no Congresso para derrubar o veto de Temer a vários artigos, includindo o que criava a agência reguladora.

          5. Ainda há desafios tecnológicos básicos para cumprir a lei

O gerente de GRC (Governança, Riscos e Compliance) da Proxis Contact Center, Olympio Neto, destacou que ainda não há soluções tecnológicas satisfatórias para duas previsões da lei: a preservação da informação em backups e a deleção da informação.

Segundo ele, a maioria dos back-ups recuperam somente até uma semana anterior, além de serem muito difíceis de se manter preservados, como aqueles em fita, por exemplo.

Já na deleção, o problema é que os sistemas não permitem um apagamento físico dos dados, apenas um apagamento lógico, que pode vir a ser recuperado por invasores.

          6. Já existe uma diretriz da ABNT para classificação de dados

Muita gente não sabe, mas existe uma diretriz da ABNT de 2013 (!) para classificação de dados. É uma bom caminho para começar. É a resolução NBR 16167:2013.

Você pode acompanhar os nossos conteúdos e as novidades da Live University pela nossa página no Linkedin. Temos um calendário extenso de capacitações, workshops e fóruns de discussão ao longo do ano. Clique aqui e siga a gente por lá! Até mais.