MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Impactos da lei geral de proteção de dados pessoais na governança corporativa

Impactos da lei geral de proteção de dados pessoais na governança corporativa

Caso as empresas não adotem as medidas de segurança adequadas à proteção de dados pessoais coletados, além do abalo de confiança de seus clientes, estarão sujeitas às penalidades legais, colocando em risco o cargo de seus administradores que negligenciarem as novas obrigações impostas e ignorarem a fragilidade de seus bancos de dados.

quarta-feira, 17 de outubro de 2018

Atualizado em 25 de setembro de 2019 16:00

É fato que hoje, todas as empresas, seja de pequeno, médio ou grande porte, realizam diariamente a coleta e o tratamento de dados pessoais de seus clientes, funcionários e fornecedores, para o desenvolvimento de suas atividades, seja no ramo do comércio, prestação de serviços, indústria ou até no agronegócio.

Tais dados podem ser recolhidos por meio de cadastros e documentos recebidos pela empresa, mas em sua maioria são obtidos pela internet, por meio de sites, e-mails e redes sociais, e permanecem nos bancos de dados das empresas que os recolheram.

No entanto, tais dados são de extrema valia para criminosos digitais e estão sujeitos aos chamados cyber crimes. Recentemente, o facebook foi alvo de mais um cyber attack, por meio do qual os dados pessoais de mais de 50 milhões de usuários foram vazados por uma brecha na segurança da plataforma.

Não apenas as redes sociais estão sujeitas aos hackers: grandes companhias como a uber e a netshoes já tiveram os dados de seus clientes vazados. Além disso, casos em que pequenas empresas têm seus dados vazados ou bloqueados por criminosos têm se tornado cada vez mais comuns. Em caso de bloqueio, os criminosos extorquem grandes quantias - pagas em dinheiro ou até mesmo em Bitcoins - para a liberação dos dados sequestrados.

Segundo o Breach Level Index1, ao longo de 2017, 55 dados pessoais foram perdidos ou roubados por segundo, somando o total de 4,7 milhões de dados perdidos ou roubados por dia.

Esta insegurança na coleta e tratamento de dados pessoais por meio da Internet fez com que diversos países adotassem novas legislações para prever medidas de proteção dos dados pessoais e evitar vazamentos que possam gerar dano aos seus titulares.

A União Europeia adotou o General Data Protection Regulation, por meio do qual foram estabelecidas diversas regras com relação à coleta e ao tratamento de dados pessoais de titulares europeus. O regulamento já está em vigor desde 25/05/18 e atinge não só as empresas europeias, como também pessoas físicas ou jurídicas situadas no Brasil que, de alguma forma, utilizem dados pessoais de europeus para o desenvolvimento de suas atividades econômicas.

Seguindo a mesma linha, o Brasil adotou a lei geral de proteção de dados pessoais2, que entrará em vigor em fevereiro de 2020 e que prevê os direitos dos titulares de dados pessoais, os deveres das empresas que os coletam e as penalidades em caso de descumprimento da lei.

A principal mudança trazida pela nova lei é a necessidade de solicitar o consentimento do titular dos dados pessoais para todo e qualquer tipo de tratamento. Ou seja, o titular deverá consentir com a coleta de seus dados, ter conhecimento sobre a finalidade para a qual seus dados são coletados e tratados e, também, para que seja permitido o compartilhamento de dados com terceiros.

Para a empresa que detém os dados, o principal impacto da lei está na adoção de medidas de proteção aos seus bancos de dados, a fim de evitar ao máximo que invasores externos tenham acesso a tais dados, e, também, que seus próprios funcionários usem ou compartilhem os dados com um propósito diferente do que foi proposto pela empresa.

Em caso de descumprimento da lei, que pode ocorrer, por exemplo, com a falta de consentimento do titular com relação ao tratamento de seus dados e com o vazamento de dados capaz de causar dano ao titular, a empresa estará sujeita à advertência, multa simples equivalente a até 2% do faturamento apurado no último exercício (limitada a R$50.000.000,00), multa diária (também limitada a R$50.000.000,00), ter a infração informada ao público, como, também, ter os dados pessoais aos quais se referiu a infração bloqueados ou excluídos de seu banco de dados.

Tendo em vista que as penalidades previstas na lei geral de proteção de dados pessoais podem acarretar em grande prejuízo às empresas em caso de eventual infração, é imprescindível que seus administradores adotem medidas capazes de mitigar os riscos envolvidos na coleta, tratamento e compartilhamento de dados.

Diversos foram os casos de vazamento de dados que vieram a público e que culminaram com a demissão de lideranças executivas pelos sócios e acionistas das empresas, a fim de mitigar os danos e evitar abalo de confiança de seus clientes, uma vez que tais empresas não possuíam um programa de governança de dados implementado. Em 2013, a empresa Target Corporation, segunda maior loja de departamento dos Estados Unidos, sofreu um grande vazamento de dados, que impactou 40 milhões de clientes e resultou na queda de 46% dos lucros. Tal cyber attack resultou na demissão da diretora de tecnologia de informação e também do diretor presidente.

Com a promulgação da legislação citada no presente artigo, caso as empresas não adotem as medidas de segurança adequadas à proteção de dados pessoais coletados, além do abalo de confiança de seus clientes, estarão sujeitas às penalidades legais, colocando em risco o cargo de seus administradores que negligenciarem as novas obrigações impostas e ignorarem a fragilidade de seus bancos de dados.

Por essa razão, é altamente recomendado que as empresas brasileiras passem a adotar políticas de tratamento de dados pessoais adequados, principalmente aquelas que estão sujeitas ao regulamento da União Europeia, já em vigor.

As boas práticas de governança corporativa e compliance visam alinhar os interesses dos sócios ou acionistas, seus administradores e outras partes interessadas, criando um conjunto eficiente de mecanismos de gestão, visando estreitar a relação entre os colaboradores das empresas e minimizar eventuais conflitos ou erros que podem vir a ocasionar prejuízo para os envolvidos.

Especificamente no caso da proteção de dados pessoais, a política de governança e compliance deve prever as medidas de segurança que deverão ser adotadas pela empresa para mitigar os riscos inerentes ao tratamento de dados pessoais.

Várias são as medidas possíveis: a política poderá prever a adoção de tecnologias capazes de evitar o risco de vazamento de dados, como, por exemplo, a inclusão de senha de acesso ao banco de dados; estabelecer regras que deverão ser observadas pelos funcionários na circulação de dados pessoais dentro da empresa; criar um canal de comunicação entre a empresa e o titular de dados pessoais para facilitar a transparência sobre a finalidade do uso dos dados pessoais, dentre outras medidas, a depender da estrutura e da atividade desenvolvida pela empresa.

 

__________

1 Site que reúne informações e indicadores sobre o estado global de segurança de dados.

2 Lei 13.709, de 15 de agosto de 2018.

__________

*Melissa Rodrigues Adukas é advogada do escritório Salles, Franco de Campos e Bruschini Advogados - SFCB Advogados.

 

 

 

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca