Prevista para entrar em vigor em agosto de 2020, a Lei Geral de Proteção de Dados (LGPD) já tem movimentado o mercado brasileiro. Ao regular o armazenamento, tratamento e compartilhamento de dados pessoais, a LGPD irá impor multas pesadas para aqueles que não cumprirem as regras, o que tem levado as empresas a buscarem adequação à nova lei.
Mas quais empresas precisam se atentar à regulamentação? E mais ainda: quais são as responsabilidades do provedor de serviços nesse novo cenário? Esse artigo traz algumas dessas respostas, além de um passo a passo que pode ajudar o ISP a se adequar à Lei Geral de Proteção de Dados. Vamos lá!
O que são dados pessoais? Um pouco da história da LGPD
As primeiras leis de proteção de dados datam dos anos 80 e 90 e regulavam o uso de informações pessoais em baixa escala para fins comerciais. Com a explosão da Internet nos anos 2000 – e consequentemente o aumento dos casos de vazamento -, a proteção dos dados pessoais se tornou um tema presente em todo o mundo. Já nos últimos anos, casos mais complexos como o de Edward Snowden e os Panamá Papers levaram a criação de leis mais amplas, como o Marco Civil da Internet (2013), o GDRP na Europa (2018) e a LGPD (2019).
Mas o que se entende por dados pessoais? São quaisquer tipos de informações relativas a uma pessoa viva, identificada ou identificável. Essas informações podem ser divididas ainda em dados pessoais (nome, endereço, CPF, RG, número de IP) e dados pessoais sensíveis (dados de saúde, informação genética, biométrica, racial ou étnica etc.). E quais empresas usam esses dados pessoais? Como muito do tráfego de Internet é composto por dados anonimizados, o provedor de serviços pode pensar que essa lei não se aplica a sua empresa. Será mesmo?
Essa lei não é para mim…
Na verdade, qualquer pessoa física ou jurídica que trate dados de pessoas físicas residentes no Brasil deve seguir a LGPD. Isso significa que um salão de beleza, uma padaria, uma academia que use dados pessoais de seus clientes, funcionários ou fornecedores, deve se adequar à lei. Ou seja, apesar dos dados trafegados por suas redes serem anônimos, os ISPs têm que se adequar à lei também, já que têm em seu poder dados pessoais de diversas fontes.
Ok, então o que acontece se minha empresa não seguir a regulamentação? Bom, em primeiro lugar, as empresas só poderão contratar fornecedores que sigam a lei e garantam a proteção de dados pessoais. Logo, se o provedor não se adequar, ele irá perder várias oportunidades de negócio. Em segundo lugar, a multa será de R$ 50 milhões por infração ou até 2% do faturamento, podendo incidir multiplicadores. Para uma grande provedora que tenha uma boa margem de lucro, isso pode até parecer pouco. Mas para uma pequena ISP que tenha margem de 3% ou 4%, uma multa desse tamanho pode quebrar o negócio. Por fim, a publicidade negativa advinda do caso pode ser a pá de cal definitiva em cima da empresa.
E o que fala a LGPD?
A lei define como atores no processo de proteção de dados o titular (pessoa residente no Brasil), o controlador (responsável pela coleta e uso dos dados dessa pessoa) e o operador (um terceiro que trabalha com ou tem acesso às informações). Do ponto de vista do titular, a LGPD garante a ele diversos direitos de saber como seus dados serão usados, a portabilidade destes e a restrição de seu uso e compartilhamento com terceiros. Do ponto de vista do controlador, a Lei estabelece alguns princípios, como a obtenção do consentimento do usuário, a transparência na finalidade da utilização e a adoção de controles Internos, procedimentos e políticas de segurança contra acesso, perdas acidentais ou danos.
E o que muda na prática para o provedor? Muita coisa muda, mas basicamente o provedor agora tem a obrigação de observar a real necessidade de uso dos dados pessoais de seus clientes, limitando o tratamento ao mínimo necessário para sua operação. Em segundo lugar, o provedor passa a responder legalmente pelos danos decorrentes da violação da segurança desses dados, caso a empresa deixe de adotar as medidas de segurança previstas no art. 46 da LGPD.
Além disso, a lei dispõe de outros pontos mais abrangentes que também devem ser observados pelo provedor, como a criação da Agência Nacional de Proteção de Dados (ANPD, responsável pela fiscalização e regulação da lei) e a figura Data Protection Officer (DPO), profissional serve como canal de comunicação entre o controlador, os titulares e as Autoridades.sa.
O que fazer para se adequar? Um pequeno passo a passo para o provedor
De forma resumida, podemos dividir a adequação à LGPD em 12 passos básicos:
1. Reunir equipes e mapear operações internas de tratamento de dados.
2. Levantar quais dados são de guarda obrigatória para um provedor de Internet.
3. Garantir os direitos assegurados ao titular dos dados com adequação dos sistemas.
4. Rever Políticas de Privacidade, Contratos e Termos de Uso, colocando em destaque
cláusulas de direitos do titular dos dados.
5. Rever contratos com terceiros que tenham acesso ou façam tratamento de dados.
6. Descrever os mecanismos de Segurança e documentar as técnicas utilizadas.
7. Estruturar uma equipe interna com agentes focados no tratamento de dados pessoais.
8. Verificar quais serão as providências tomadas para que o processo atenda a lei.
9. Desenvolver um relatório de impacto e regras de boas práticas e governança de dados.10. Realizar treinamentos periódicos para assegurar essas boas práticas.
11. Eliminar todos os dados que não sejam necessários: cópias duplicadas, backups inúteis.
12. Nomear um DPO como gestor de Proteção de Dados.
É claro que há muito mais a se fazer, mas esses 12 passos já dão uma ideia do caminho a percorrer até agosto de 2020, estabelecendo uma direção para o provedor seguir. Nesse sentido, vale lembrar que poder contar com uma rede como a da Eletronet já é uma vantagem. Ao contar com a confiabilidade e estabilidade de nossos serviços, você poderá focar no seu negócio e planejar de forma muito mais tranquila sua adequação à Lei Geral de Proteção de Dados.