Novas regras estabelecem padrões rígidos de transparência na gestão de informações de consumidores. Como isso afeta os negócios?
Por Pedro Hallack
O ex-presidente Michel Temer (MDB) sancionou no dia 14 de agosto de 2018 a Lei Geral de Proteção de Dados, que havia sido aprovada pelo Congresso Nacional um mês antes. Inspirada na legislação de países europeus, a LGPD, como foi chamada, regula o uso de informações pessoais por parte das empresas, que tinham liberdade para armazenar e até negociar esses dados. As novas regras, que entram em vigor a partir de agosto de 2020, estabelecem padrões rígidos de transparência na gestão dos bancos de dados, deixando as companhias sujeitas a multas pesadas em caso de irregularidades.
“Trata-se de uma lei conceitual, de extrema dificuldade de entendimento, que requer o socorro de profissionais da área para ser compreendida”, diz Sérgio Martins, presidente do Comitê Institucional da ABAAS e gerente jurídico do Atacadão.
O texto define que apenas informações necessárias para a prestação de serviços poderão ser coletadas e proíbe, sem autorização do cliente, o compartilhamento e a venda de dados como nome, e-mail, idade e sexo. Além disso, as informações deverão ser apagadas após o fim da relação entre empresa e consumidor. A multa pelo descumprimento das normas pode chegar a 2% do faturamento anual, contanto que não ultrapasse o teto de R$ 50 milhões estabelecido pela lei. “Trata-se de uma lei conceitual, de extrema dificuldade de entendimento, que requer o socorro de profissionais da área para ser compreendida”, diz Sérgio Martins, presidente do Comitê Institucional da ABAAS e gerente jurídico do Atacadão.
Belmiro Gomes (Assaí Atacadista), 1° diretor vice-presidente da Abaas, destaca que a LGPD muda a maneira como o mercado enxerga a questão. “As empresas encaravam os dados como ativos. Agora, a lei veio para deixar claro que eles pertencem aos clientes.”
Enquanto as novas regras não entram em vigor, o mundo corporativo se prepara para se adaptar ao novo marco legal e entender exatamente o que precisa ser feito. Estudo da Serasa Experian aponta que apenas 15,2% das empresas brasileiras estão preparadas para atender a todas as exigências da lei, enquanto 35% ainda vão levar mais de seis meses para se ajustar – 39,5% vão demorar até meio ano, enquanto 8,3% não estipulam uma data e 1,8% dizem que não vão se preparar.
O texto da lei proíbe, sem a autorização do cliente, o compartilhamento e a venda de informações como nome, e-mail e idade dos consumidores
O setor financeiro é o que se movimentou mais rapidamente, com 31,8% de suas empresas já adaptadas. No campo oposto, o segmento de saúde segura a lanterna do ranking, com apenas 8,7% das empresas estruturadas para seguir a lei.
Na área de comércio e varejo, 17,9% das companhias se dizem prontas.
Na opinião da diretora jurídica da Serasa Experian, Vanessa Butalla, o primeiro passo para se enquadrar às normas é entender quais tipos de informações são capturadas. “Além dos próprios dados dos clientes, um negócio guarda registros de seus funcionários, sócios e administradores. Depois de levantar tudo isso, é preciso entender a finalidade do uso dos dados e analisar se estão sendo captados além do necessário”, afirma. “A próxima etapa é criar mecanismos para que os titulares dos dados tenham acesso às informações em posse da empresa e saibam como exercer seus direitos nesse contexto.”
Vanessa pondera que o principal desafio do mercado é alocar recursos financeiros e capital humano nessa transição, que precisa de ajustes em sistemas e processos para ser bem-sucedida.
Presidente do Conselho do escritório FAS Advogados, Fernando Salvia também considera que a LGPD impõe uma série de desafios às companhias. “Vai dar trabalho. É um compliance novo, que era pouco visto, e agora se faz necessário. Algumas empresas guardam informações em diferentes departamentos, como tesouraria, recepção, jurídico e comercial”, analisa. “É preciso colocar tudo na mesma base e treinar equipes para manejá-los adequadamente.”
Apesar de reconhecer os obstáculos, Salvia vê o meio empresarial mobilizado para enfrentar a discussão. “Já fizemos cerca de 90 workshops com nossos clientes desde a promulgação da lei, explicando as novidades e preparando-os para o futuro. Assessoramos várias firmas nacionais e multinacionais, que estão montando verdadeiros grupos de estudo para cumprir o que é estipulado pela legislação.”
No entanto, agir com transparência e boa-fé pode não ser suficiente para fugir de eventuais punições. Além desses fatores, é fundamental investir em softwares e programas para aumentar a segurança no ambiente digital. Segundo levantamento da Symantec, especializada em cibersegurança, aproximadamente 4.800 e-commerces no mundo são afetados mensalmente pelos formjackings, ataques virtuais que utilizam códigos para roubar dados sigilosos de cartões de crédito.
Mesmo se a empresa não compactuar com esse tipo de prática, ela será punida caso os dados caiam na rede. Apesar de gigantes como a British Airways terem sido afetadas por ações como essa, os negócios de pequeno e médio porte são os mais vulneráveis. O cenário vai obrigar as empresas a desenvolverem mecanismos para identificar ameaças no meio digital, como simulações de invasões para testar a segurança do sistema. “O uso da tecnologia vai ser indispensável para o êxito do processo”, diz Fernando Salvia.
LEI AINDA É DESCONHECIDA
Pesquisa realizada pela Serasa Experian entre os dias 19 de fevereiro e 1º de março revelou que 75% dos brasileiros desconhecem ou sabem muito pouco sobre a Lei Geral de Proteção de Dados. Segundo o estudo, 50% dos entrevistados disseram que conhecem muito pouco a lei, enquanto 25% afirmaram que não sabem nada sobre o projeto. No mais, 21% consideram que conhecem a LGPD, mas não de maneira detalhada, enquanto os 4% restantes afirmam “conhecer muito a lei”.
Para efeito de comparação, estudo similar da Experian no Reino Unido mostrou uma realidade completamente diferente em solo britânico. Lá, seis em cada 10 pessoas afirmaram estar totalmente ou parcialmente cientes em relação à General Data Protection Regulation (GDPR), adotada pela União Europeia desde maio do ano passado.
No levantamento da Serasa Experian, 62% dos entrevistados relataram que nunca tiveram problemas relacionados ao vazamento de dados pessoais, contra 13% que revelaram ter sido vítimas da exposição indevida de informações – via sites hackeados e fraudes eletrônicas.
A pesquisa também mostra a predisposição de diferentes faixas etárias em fornecer seus dados. Os brasileiros mais jovens, entre 18 e 29 anos, se sentem menos vulneráveis na hora de compartilhar informações pessoais, tanto na internet quanto em lojas físicas. Apenas 18% desse nicho não fornecem dados em cadastros de sites, contra 24% no intervalo entre 30 e 49 anos e 30% a partir dos 50 anos. Em estabelecimentos físicos, 33% dos mais jovens se sentem seguros nesse contexto, 10 pontos percentuais acima das faixas mais velhas.
Fonte: Revista ABAAS nº 8 | Julho de 2019
Clique aqui para ver a edição completa.