OPINIÃO

Um ano depois, GDPR mostra que adequação à LGPD é obrigatória

Por Luiza Sato *
03/05/2019 ... Convergência Digital

A nova Lei Geral de Proteção de Dados (LGPD) vem sendo calorosamente debatida e os especialistas no assunto insistem em alertar ao público de que as consequências da não adequação antes de sua entrada em vigor, em 2020, podem ser desastrosas para a imagem e as finanças da empresa.

Ainda assim, há muitos céticos e desavisados que seguem defendendo que a lei não vai pegar, ou que só empresas como Google e Facebook estariam na mira da autoridade supervisora, ou, ainda, que há tempo suficiente para adotar as medidas necessárias para a adequação.

Existem, por outro lado, aqueles que já entenderam tanto a importância como a complexidade do trabalho de conformidade à LGPD, que se encontram atordoados com o assunto e sem saber para onde direcionar energia, tempo e dinheiro. E aqui conseguimos constatar o lado bom de o Brasil estar na retaguarda dos países com legislação específica de proteção de dados.

Com outras leis estrangeiras anteriores abordando o mesmo assunto, podemos ter uma base para prever o possível cenário brasileiro quando da entrada da LGPD em vigor.  Prestes a completar, no dia 25 de maio, seu 1º ano de vigência, a General Data Protection Regulation da União Europeia (GDPR) já traz números que podem inspirar o mercado brasileiro, tanto no sentido de ajudar a focar esforços para o que parece ser mais urgente, como de conscientizar os tomadores de decisões dentro das empresas da necessidade de adequar as suas atividades de tratamento de dados pessoais.

Vale lembrar que a GDPR é hoje o standard mundial em matéria de proteção de dados e é o documento legal que embasou a nossa LGPD, sendo bastante útil entender os seus desdobramentos. No dia 26 de fevereiro foi publicado o relatório anual das atividades do European Data Protection Board (EDPB), que tem como principal função garantir que as decisões das autoridades supervisoras de proteção de dados dos países da União Europeia sejam uniformes.

Dos 206.326 casos tratados pelas autoridades supervisoras de maio de 2018 até janeiro de 2019, a maioria, 94.622, foram originados por reclamações de titulares de dados pessoais e 64.684 foram originados por notificações de incidentes de segurança da informação. O restante trata de outras atividades conduzidas pelas autoridades, como consultas gerais. Dos casos tratados pelas autoridades, 52% já foram solucionados e apenas 1% deles foram levados para o Judiciário.

As medidas de correção aplicadas foram avisos para controladores e operadores quando verificada uma possibilidade de violação à GDPR; advertências para controladores e operadores quando verificada uma efetiva violação à GDPR; ordem para que controladores e operadores cumpram com pedidos dos titulares de dados pessoais ou adequem suas operações de tratamento de dados; e multa (total de € 55.955.871).

Além do relatório do EDPB, trazem também números interessantes os relatórios das autoridades supervisoras já publicados da Holanda e da Irlanda. Pelo relatório holandês, que trata do período de 25 de maio a 25 de novembro de 2018, a autoridade recebeu 9.661 reclamações de titulares de dados pessoais, sendo:

32%

Violações a direitos de titulares, como direito de acesso e direito a eliminação de dados pessoais

15%

Dados coletados em excesso para determinada finalidade

12%

Compartilhamento indevido de dados pessoais (sem Informação, consentimento ou contra a vontade dos titulares)

9%

Marketing direto

7%

Vazamento de dados não notificado

6%

Uso abusivo/ indevido de câmeras de seguranças

Outros

Cookies, dados de crianças, dados sensíveis, etc.

Pelo relatório irlandês, que trata do período de 25 de maio a 31 de dezembro de 2018, a autoridade recebeu 2.864 reclamações de titulares de dados pessoais, sendo também a maioria a respeito de violação de direitos de acesso de titulares de dados pessoais. Tal relatório também descreve a natureza dos 3.687 incidentes de segurança da informação notificados:

3134

Revelação não autorizada

196

Papeis roubados ou perdidos

116

Hacking

107

Phishing

72

Equipamentos perdidos ou roubados

32

Malware

30

Uso inapropriado de papeis

Por fim, foi publicada uma decisão interessante da autoridade supervisora polonesa, que condenou uma empresa de marketing digital que não cumpriu com obrigações relacionadas ao atendimento dos direitos de titulares ao pagamento de multa no valor de € 220 mil e à incumbência de contatar por carta registrada os quase 6 milhões de titulares de dados pessoais afetados, a um custo estimado de € 8 milhões.

Assim sendo, os trabalhos para organização de dados pessoais para o pronto atendimento aos direitos de titulares previstos no art. 18 da LGPD (incluindo, dentre outros, acesso, correção, eliminação e portabilidade) deverão ser priorizados, assim como as medidas para evitar incidentes de segurança da informação. Com relação a esse último ponto, considerando que a maior parte dos incidentes ocorre por conta de revelações não autorizadas, é importantíssimo realizar treinamentos constantes de segurança da informação para a incorporação da cultura de proteção de dados nas empresas.

Dessa forma, com base nos relatórios europeus, conseguimos ter uma ideia de como o mercado brasileiro deverá comportar-se no início da vigência da LGPD. As empresas que não se adequarem, além dos efeitos imediatos de perda de contratos, abalos na reputação e desvantagem competitiva, estarão sujeitas às duras penalidades administrativas e judiciais.

* Luiza Sato, sócia conselheira do ASBZ Advogados, responsável pelas áreas de Proteção de Dados, Direito Digital e Propriedade Intelectual




  • Copyright © 2005-2019 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G