Se você navega pela internet, já deve ter notado a quantidade de banners de cookies e pop-ups de consentimento de uso de dados que têm pulado na tela do seu computador.
Esse grande volume de avisos virtuais tem a ver com a LGPD, a Lei Geral de Proteção de Dados Pessoais, que, depois de muito vai-e-vem, entrou em vigor há um mês, no dia 18 de setembro.
Apesar de ter sido sancionada dois anos antes, em 2018, a legislação preocupa. Isso porque, boa parte das empresas deixou para tomar medidas neste ano, sem imaginar que haveria uma pandemia. Agora, além de pensar na sobrevivência dos negócios em meio ao caos imposto pela Covid-19, elas precisam correr contra o tempo para se adequar às novas regras, mitigando riscos de multas e de danos a reputação.
Na #16 live da Companhia de Estágios, que aconteceu na última segunda-feira (19), nós convidamos Rodrigo Romão, especialista em TI e membro da Associação Nacional dos Profissionais de Privacidade de Dados, para esclarecer dúvidas do RH sobre a LPGD e mostrar o que deve ser feito para não infringir a lei.
“É preciso entender que a palavra proteção abarca não só segurança, mas principalmente a privacidade dos dados. A LGPD vem para devolver a informação ao cidadão. Ela prevê que empresas e órgãos públicos mudem a maneira de coletar, armazenar, vender e compartilhar dados, permitindo que as pessoas passem a ter mais controle sobre as próprias informações”, explica Rodrigo.
Assista ao vídeo na íntegra:
De acordo com ele, o que muda na prática é o seguinte: de agora em diante as organizações serão obrigadas a ter autorizações explícitas dos consumidores para guardar e manipular dados considerado sensíveis, como e-mail, telefone, RG, CPF, entre outros.
O objetivo da LGPD é proteger o uso indevido e irresponsável de informações pessoais, permitindo que o usuário consulte os bancos de dados das companhias e solicite a retirada daquilo que considera crítico. E isso vale para a área de RH. “Da admissão à demissão, existem vários níveis em que a LGPD pode ser aplicada.”
Veja outras lives da Companhia de Estágios:
Reitor da USP fala com exclusividade sobre o futuro da educação
Tirando dúvidas do público, Rodrigo afirmou que as empresas podem pedir dados como CPF e endereço, desde que solicitem uma autorização para armazená-los e manipulá-los, com prazo para exclusão. “Também é necessário estar preparado para permitir que o profissional consulte essas informações se ele assim desejar.”
Sobre o uso de people analytics, uma ferramenta cada vez mais popular entre o RH, o especialista falou que a “anonimização” dos dados é essencial. Ou seja, qualquer organização que queira fazer uma análise dos colaboradores precisa impedir que a informação seja associada, direta ou indiretamente, aos seus titulares. Isso em pesquisas de clima organizacional, relatórios para embasar decisões e iniciativas afins.
Passo a passo
Pensando na adequação à LGPD, a primeira medida a ser tomada, de acordo com o especialista, é mapear o status dos dados no negócio: quais informações você capta dos clientes? De que maneira? Onde e como as armazena? Quantos bancos de dados você tem? “A principal diferença entre empresas grandes e pequenas é o nível de complexidade, ou seja, em quantos lugares diferentes os dados estão espalhados. Mapear, reunir e controlar isso é o maior desafio.”
A segunda ação a ser tomada é contratar um DPO, o Data Protection Officer, que será o responsável pelos dados e responderá às denúncias e advertências legais. Perguntado se esse profissional pode ser PJ, Rodrigo disse que esse não é o modelo de trabalho mais adequado para a função. “Esta pessoa vai ter poderes que não deveriam ser de um prestador de serviço, que pode ter o contrato cancelado a qualquer momento, arriscando a transição das atividades. Em geral, as empresas escolhem alguém que seja CLT ou até mesmo que pertença ao quadro societário.”
Não há uma exigência legal quanto à formação do DPO: pode ser alguém do jurídico com apoio de TI, por exemplo, ou alguém de TI com apoio do jurídico.
O terceiro e último passo é criar os mecanismos de autorização e revogação para uso de cookies e dados. “Se o usuário pedir para excluir informações, a companhia precisa ter condições de fazer isso no prazo que exige a lei”.
Bolso blindado
Embora as multas só vão ser cobradas em 2021, Rodrigo Romão diz que as empresas devem estar atentas, pois as punições já estão acontecendo. “Já tivemos a primeira multa aplicada a uma grande construtora aqui no Brasil. Foi um valor baixa por uso indevido de informação sensível, mas acreditamos que a tendência para os próximos meses será de mais e mais multas.”
Na Europa, cuja lei inspirou a brasileira, as penalizações por vazamentos de dados passaram de 1,8 bilhão de reais em 2019. Os setores que sofreram punição foram os mais variados: TI, aéreo, hospitalar.
Confira vagas abertas em nosso site
“O mais importante neste momento é saber onde está pisando: qual é a quantidade, o nível e os lugares nos quais os seus dados estão espalhados. Como proteger a privacidade dessas informações é algo pode ser feito com ajuda de consultorias jurídicas, com soluções prontas de mercado ou até mesmo com medidas desenhadas de casa. Vai sair mais caro tomar multas do que se adequar a LGPD.”