LGPD – O QUE É FATO E O QUE É LENDA?

Junho de 2023, em dois meses, a LGPD faz 3 anos de efetividade e até agora pouco ou nada de fato se sabe da Lei. Empresas, órgãos públicos e até as pessoas, as mais interessadas na existência da Lei, ainda não fazem real ideia do que se trata.

Primeiro é importante esclarecer o que a LGPD não é. Ela não é uma Diretriz que protege a empresa de ataques cibernéticos per si, nem tampouco, caso a empresa atinja plena conformidade, a habilita a não ter permanentes cuidados com Segurança e constante preocupação com a possibilidade de vazamento de dados, ou seja, não é um Projeto, pois tem início e meio, mas jamais um fim. Ao concluir o projeto de implantação, sua manutenção é constante, portanto, torna-se um Processo.

A LGPD é uma Lei que protege a privacidade das informações de quem detém o consentimento para tê-la em seu poder, o que por si só é subjetivo, pois como falamos sobre Segurança da Informação a muito tempo, “a informação faz sentido mesmo é na cabeça das pessoas”. Não é possível, ainda, colocar na cabeça das pessoas tecnologias que a impeçam de “abrir a boca e falar demais”, principalmente quando estão emocionalmente envolvidas ou alteradas pelo uso de drogas e álcool.

Ademais, a privacidade das informações é algo importante e muitos perguntam: - O que é isso? Bem, é simples, mas não “intuitivo”, já que somos latinos e todos no Brasil sabem da vida dos vizinhos, companheiros de trabalho, amigos e familiares. Essas coisas da vida das pessoas nem sempre é dita ou escrita por elas mesmas e é aí que mora o perigo. Diz um amigo meu que a LGPD “veio para eliminar a fofoca”, ao que eu contradigo, “eliminar não, controlar” … exatamente porque somos permissivos demais com informações que não deveriam ser públicas. Agora veja, o que a própria pessoa fala dela mesmo em uma reunião informal, numa roda de samba ou show de rock, não dá o direito a outra pessoa repetir, contar para alguém ou publicar numa rede social. É disso que a LGPD se trata.

Quando levada ao uso pelas empresas, deve ser tratada com mais cuidado e esmero pois a quantidade de informações coletadas por essas empresas para prestar serviços aos seus clientes é muito grande. O incrível é que as pessoas não se dão conta disso. Ao usar qualquer serviço nos dias de hoje, o que você mais propaga é a informação. Se vai a um restaurante e pede sempre o mesmo prato ou bebida, você diz sem querer dizer ao garçom ou gerente as suas preferências. Do mesmo modo, quando pega “carros por aplicativo” (Uber, 99, ou Taxi), você compartilha uma rota e um caminho que pode ou não estar armazenada no Google Maps, mas que permite que se saiba de você algo que você não quis dizer.

Veja, o que antes era gentileza ou presteza de quem te servia e atendia, hoje pode ser usado para perseguição, suborno e constrangimento.

Como diz aquela música do Capital Inicial “o que você faz quando ninguém te vê fazendo, ou o que você iria fazer se ninguém pudesse te ver” é o que você guarda pra você, no que se preconiza dizer “foro íntimo” ou “intimidade”, que é a sua “privacidade”. É isso que a LGPD pretende proteger.

Você é um ser humano, que atua em diferentes “papéis” na vida. Você é Pai, Filho, Marido, Esposa, Amigo, Trabalhador (em qualquer nível), e gosta de futebol, esqui, basquete ou motocross. Você também tem restrições alimentares e doenças que trata e não quer que ninguém saiba. E se você não quer, não é pra ninguém que você contou divulgue isso.

As empresas, por diversas situações, precisam ter essas informações até pra salvar a sua vida. O restaurante da empresa em que você trabalha precisa saber que você é alérgico a camarão para que não lhe sirva um risoto delicioso que pode asfixia-lo até a morte. O Hospital onde será atendido precisa saber que você é alérgico à Dipirona, Penicilina ou outra droga para não lhe injetar, à guisa de salvá-lo de uma doença, podendo também o levar à morte. Esses são exemplos básicos que você deve entender pra falarmos mais de “privacidade”.

A questão do consentimento

Note que o consentimento (ou permissão) é o que valida o uso de dados pessoais (Nome, CPF, RG, e-mail, telefones e endereços) e de dados pessoais sensíveis (preferências de qualquer tipo, nível escolar, filiação, afiliação, etc.), de quem os detém para outrem.

O consentimento também não é automático. Ele deve ser pedido com finalidade e propósito claro ao fim que se destina. Além disso, como será tratada a informação, após a coleta ora em curso, como será armazenada, transmitida e descartada e por quanto tempo. Os dados fornecidos são seus e não podem ficar por aí, vagando de um lugar ao outro sem que você saiba. Isso fez com que as administradoras de redes sociais tenham sido condenadas na Europa e Estados Unidos a multas milionárias… por que compartilharam informações e dados sem o devido consentimento para tanto. Elas podem coletar e pedem o seu consentimento, mas apenas para a sua própria tratativa na plataforma. Outra plataforma não pode usar essas informações de modo inadvertido, ou seja, não é porque você acessou diversas páginas de moda no facebook que uma boutique pode lhe mandar promoções inadvertidamente pois você não pediu isso.

Isso não é legitimo interesse, isso é abuso do uso de informações privativas e é crime, desde o advento da LGPD no Brasil.

A questão do Legitimo Interesse

Muito controverso, por ser totalmente subjetivo, o Legitimo Interesse de uma empresa em relação à uma pessoa, seja ela empregado, colaborador, parceiro de negócio ou cliente, é bastante complexo e deve ser analisado com muito critério.

A Lei em si diz que o legítimo interesse se aplica à execução de suas atividades em relação ao usuário, para as quais o pedido de consentimento para o uso das informações não deve ser exacerbado, mas como colocar esse limite?

Se você pede sempre o mesmo delivery de pizza em uma pizzaria que usa um chatbot para se comunicar com você no WhatsApp, por exemplo, será natural que em um pedido que fuja da sua preferência regular, ele venha a te apontar o pedido de sempre perguntando se não deseja refazê-lo – Isto é legitimo interesse. Você não consentiu a coleta dessa informação, mas ela é usada para que a empresa em questão possa realizar melhor o seu trabalho para você.

O que não pode é a hamburgueria do bairro te procurar perguntando “já que você sempre come a pizza de hamburguer com queijo, prove o nosso cheeseburguer por um preço especial” - Isso abusa do “legitimo interesse” da pizzaria pois ela claramente vendeu a informação das suas preferências.

De modo similar, se você come em um restaurante da empresa que trabalha e sai de lá, indo para outra. Não pode o restaurante da nova empresa, ainda que seja outra unidade da mesma fornecedora de refeições, saber das suas restrições alimentares sem que você tenha dado o consentimento para esse tipo de troca de informação.

Pode ser, entretanto, que muitas empresas no futuro, ao serem denunciadas, discutirão essa questão e até que se forme jurisprudência suficiente, com certeza algumas injustiças serão cometidas, mas assim é a vida.

O desafio da obtenção da conformidade plena

Mudando o foco, caso você seja dono ou representante de uma Empresa e precisa se adequar à LGPD, você precisa saber de algumas coisas.

Ficar em conformidade com a LGPD é algo que dá bastante trabalho, mas não é uma lenda, como afirmamos no título deste artigo. É possível e basta que se tenha vontade em conquistar essa conformidade, procurar os atores corretos na obtenção das questões técnicas e de gestão e ter com você advogados que saibam quais medidas tem para que possa realizar sua defesa, quando você for denunciado ou quando uma ação na Justiça venha a lhe importunar.

Como eu já disse neste texto, a Lei não serve pra impedir que você sofra qualquer ataque cibernético e nem diz que você não pode sofrer um, mas afirma que, caso sofra, você deve ter todos os mecanismos para dar provimento à ação de defesa considerando o que precisará provar em termos de documentos, ações e atividades de segurança e privacidade de dados.

O primeiro passo é entender a realidade da sua empresa frente às exigências da LGPD, tanto para segurança como privacidade das informações. Pra isso a realização de uma Gap Analysis das ISOs 27002 e 27701 (Segurança da Informação e Privacidade de Dados) deve ser realizada. Daí segue a criação de um Plano de Ação.

Depois, identificadas as Gaps, deve ser desenvolvido o Mapeamento de Dados, onde as questões adequadas, frente aos requisitos da Lei, devem ser levantadas e mapeadas, registradas, para que se possa definir com clareza como a empresa identifica e trata (armazena, transmite e descarta suas informações)

Na sequência, entendidas as Gaps e desenvolvido o Plano de Ação necessário, é hora de escrever as políticas de segurança e privacidade das informações, incluindo a que deverá ser exposta no site da Empresa, afim de cumprir mais um requisito da Lei.

Também é hora de nomear o EPD (Encarregado da Proteção de Dados) que é obrigatório e precisa ser nomeado e divulgado para que quem desejar conversar com ele, possa, sem prejuízo de qualquer outra situação que venha acontecer.

Dai é necessário desenvolver o projeto de Classificação da Informação e rotular as informações da Empresa, afim de saber o que é confidencial e o que não é, de modo formalizado.

Deve-se também realizar as atividades técnicas no ambiente de computacional para se certificar o que precisa fazer para dar preservar as informações afim de cumprir o requisito de usar a melhor tecnologia e ação disponível à época da avaliação para dar segurança ao ambiente tecnológico. Essa ação deve ser feita lançando mão de atividades como Análises de Vulnerabilidade, de Risco e Teste de Invasão.

Em seguida é necessário definir o ROPA (Termo em inglês para Report of Privacy Activities), para registrar todas as suas atividades relacionadas ao tratamento das informações privativas.

Por fim, mas não menos importante, deve-se definir as cláusulas contratuais necessárias para os contratos que a Empresa define e realiza junto ao seu público e aos seus parceiros de negócio. Além disso, é necessário avaliar e executar a tratativa de cookies no site da Empresa, para controlar o que é permitido a todos aqueles que utilizam o site para qualquer necessidade que tenha.

Esse é um roteiro básico que pode ser avaliado caso a caso para a sua empresa. Se não souber “por onde começar” ou “como desenvolver o trabalho”, nos procure, somos a WA2, especializada em Segurança da Informação e LGPD. Estamos à sua disposição para atendê-lo. Nosso lema é “sua segurança em nossas mãos” e não é por acaso.

Nos procure em nosso site (www.wa2seguranca.com.br) ou redes sociais para nos conhecer melhor.

Desejo Bons e Contínuos ventos para todos!