Desde o dia primeiro de agosto, as empresas que não se adequarem à Lei Geral de Proteção de Dados (LGPD), já podem ser punidas com multas e sanções administrativas
A Federação das Empresas de Transporte de Passageiros do Estado de São Paulo (FETPESP) estabeleceu parceria com a Palqee Technologies, empresa inglesa de tecnologia de privacidade e proteção de dados, a fim de iniciar com seus associados o processo de adequação da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD). A nova legislação, regida pela Autoridade Nacional de Proteção de Dados (ANPD) regulamenta o uso de dados pessoais do cidadão e assegura proteção à sua privacidade. Um dos principais benefícios da aplicação da LGPD nas organizações é criar uma cultura de privacidade de forma sustentável, o que gera confiança, respeito e credibilidade à imagem da marca.
Por ser recente, muitas empresas brasileiras desconhecem o que precisa ser feito para se adequarem à nova legislação e não serem autuadas. Além disso, os advogados e profissionais das áreas de TI e de Negócios, que trabalham com o tema, também estão aprendendo a lidar com essa lei. Há ainda a questão do capital para a implantação. Este é o cenário que o consultor brasileiro da Palqee, André Quintanilha, que atua no Reino Unido, encontrou no Brasil e vai auxiliar a FETPESP, tendo como base a experiência adquirida internacionalmente em regulamentações similares como o General Data Protection Regulation (GDPR) da Europa.
De acordo com as explicações de Quintanilha, a Palqee aplicará uma pesquisa com os associados da Federação para entender o que já foi feito e dará o suporte apropriado, mostrando de que modo a LGPD pode afetar o setor.
O RELACIONAMENTO COM O PASSAGEIRO VAI MUDAR
No caso das empresas de transporte coletivo, o passageiro quando adquire um bilhete – seja no guichê da companhia, às vezes com a presença de câmeras, ou por meios digitais – tem que fornecer vários dados pessoais para cadastro (nome, RG, CPF, CNH endereço etc.) ou dados sensíveis, caso seja solicitado (biometria, leitura facial, tipo sanguíneo, informações de saúde etc.). O que muda, a partir de agora, é que, antes de coletar os dados, as organizações precisam comunicar ao consumidor onde e como armazenam essas informações, qual a finalidade, se compartilham ou transferem para outros, por quanto tempo são guardadas etc. Dessa forma, se o usuário questionar, a empresa estará preparada para respondê-lo.
Um dos principais problemas que ocorrem nesse contexto é o vazamento de dados. E então surge a dúvida: como antecipar e remediar essa situação para não comprometer a imagem corporativa, com a perda de clientes, de receita, e da confiança do titular dos dados? Por isso é importante criar um plano de ação e colocá-lo em prática, por meio de uma comunicação transparente para mitigar os riscos. Por exemplo, informar no site da empresa a sua política de privacidade, com o link de acesso aos seus dados pessoais, ou colocar cartazes nos ônibus com o contato do encarregado do setor responsável pela área de proteção de dados, e, assim, se antecipar às autoridades para evitar multas. As punições imputadas em caso de descumprimento da lei incluem bloqueios, advertências e multas. “É uma nova mentalidade na qual é fundamental a transparência na comunicação”, argumenta André Quintanilha.
De acordo com o consultor, na maioria das vezes, o vazamento de dados acontece por falha humana. Para ilustrar, citou uma pesquisa realizada no Reino Unido, em 2019, onde se detectou que 90% dos vazamentos de dados ocorreram por erro humano: documentos descartados incorretamente ou abandonados em locais de acesso público, e-mails enviados para pessoas indevidas, fichas de clientes sobre a mesa do colaborador são alguns exemplos que mostram a fragilidade do sistema e que deve ser combatida com treinamento e monitoramento constantes.
A IMPLEMENTAÇÃO DA LGPD NA PRÁTICA
O primeiro passo para iniciar a implementação da LGPD é fazer o mapeamento de dados e alocar recursos para investir em softwares, treinamentos e contratação de especialistas que dominem o assunto e as ferramentas, para auxiliar nessa operação, considerada de grande magnitude, pois se trata de uma lei com 65 artigos e, dependendo do tamanho da empresa, pode levar de três meses a um ano aproximadamente para ser implantada. Para essa finalidade, a Palqee mantém uma rede de parceiros no Brasil, incluindo conceituados escritórios de advocacia e consultores de TI.
Quintanilha esclarece que existem alguns perfis-chaves na evolução da cultura de privacidade, dentre eles destacam-se os advogados, para revisar contratos; consultores de negócios, para analisar as eficiências operacionais; e consultores de TI, para implementar novas tecnologias e sistemas. “É um trabalho de equipe, envolvendo colaboradores, executivos e fornecedores. É muito importante que os fornecedores também estejam adequados à nova lei”, afirma o consultor. O objetivo dessa interação multifuncional é resultar em uma adequação eficiente do ponto de vista prático, financeiro e fundamentada juridicamente.
Nesse novo desenho, surge a figura do Encarregado de Proteção de Dados (DPO), responsável por garantir o direito dos titulares dentro da organização. Essa pessoa que atua com o foco no consumidor pode ser um colaborador ou um terceirizado. “O importante para exercer essa função é que a pessoa assuma 100% esse papel. Não pode haver conflito de interesses internos”, orienta Quintanilha. Ou seja, se a empresa decidir optar por alguém de seu quadro de funcionários para ser o DPO, esse colaborador precisa se desligar totalmente do cargo anterior para se dedicar exclusivamente às novas funções. “Criar uma cultura de Privacidade de Dados exige confiar que seus colaboradores tomarão a decisão certa, na hora certa, resultando na criação da confiança de seus clientes na sua empresa.” Essa definição, segundo Quintanilha, resume o verdadeiro sentido de desenvolver uma cultura de privacidade nas organizações, sem necessidade de controle, sustentada na confiança, educação e responsabilidade.
