O que a multa bilionária da Amazon pode te ensinar sobre a importância de adequar a sua empresa à LGPD
O tão temido dia 01 de agosto de 2021 chegou e agora oficialmente as sanções previstas na Lei Geral de Proteção de Dados estão em pleno vigor
| ||
O tão temido dia 01 de agosto de 2021 chegou e agora oficialmente as sanções previstas na Lei Geral de Proteção de Dados estão em pleno vigor | ||
É certo que a ANPD (Autoridade Nacional de Proteção de Dados) ainda precisa fazer alguns ajustes para poder aplicar as sanções, mas esse fato não pode mais justificar o atraso das empresas, já que as Autoridades de Proteção de Dados da União Europeia estão passando uma mensagem clara... “Estamos de olho em vocês” | ||
No dia 30/07/2021 a GDPR bateu mais um recorde de multa aplicada ao sancionar a Amazon em € 746 milhões, multa essa aplicada pela Comissão de Proteção de Dados de Luxemburgo, onde se localiza a sede da Amazon. | ||
O valor da sanção representa 4% do faturamento anual da Amazon. | ||
Sem poder dar maiores comentários, a Comissão de Luxemburgo confirmou que foram encontradas irregularidades no tratamento de dados pessoais pela Amazon, que precisam ser sanadas | ||
A multa foi originada através de uma das denúncias realizadas pelo grupo ativista francês La Quadrature du Ne, que informou à Comissão de Proteção de Dados Francês, supostas irregularidades à GDPR, quanto ao tratamento de dados pessoais, envolvendo inclusive outras Big Techs como Google, Facebook, Apple e Microsoft. | ||
Essa mesma denúncia, inclusive, foi a que originou a aplicação da segunda maior multa com fundamento na GDPR, que foi de € 50 milhões, aplicada ao Google, em 2019, que após ter sido realizada uma investigação pela Comissão de Proteção de Dados Francês, foram identificadas irregularidades quanto a transparência do propósito da coleta dos dados, período de armazenamento bem como, falta de fácil acessibilidade para interromper os anúncios dentro da plataforma. | ||
Os valores sem sombra de dúvidas assustam, mas tem uma situação em especial que me chama mais atenção, especialmente no Brasil, que é a falta de adequação de grande parte das empresas à LGPD. | ||
Adequar uma empresa à Lei Geral de Proteção de dados não é simplesmente ter um bom software de armazenamento de dados, um bom antivírus e uma política de privacidade, até mesmo porque, nenhuma dessas ferramentas serão capazes de impedir 100% um incidente de segurança como um vazamento de dados, por exemplo. | ||
Adequar uma empresa à LGPD é criar uma cultura de privacidade e proteção de dados de acordo com os princípios da legislação, para que a sua empresa efetue o correto tratamento de dados pessoais, garantindo os direitos dos titulares e a segurança jurídica para o desenvolvimento do negócio. | ||
A Amazon já disse em nota ao site de notícias Bloomberg que não ocorreu nenhum tipo de vazamento dos dados dos seus consumidores e muito menos exposição para terceiros que possam justificar a sansão aplicada, afirmando ainda que irá recorrer da decisão. | ||
Não concordar com uma decisão e ter meios de combater uma decisão que você não concorda são duas coisas bem diferentes, e no caso da Amazon, ela certamente terá meios para discutir essa multa, tentando mostrar através dos seus processos internos, que ela busca da melhor forma possível, cumprir com a GDPR. | ||
Como a Amazon poderia recorrer de uma multa de 4% do seu faturamento se não tivesse mecanismos para tentar demonstrar que ela cumpre com os princípios da GDPR? | ||
Agora coloque o seu empreendimento no lugar da Amazon, e vamos supor que o seu empreendimento estivesse sendo “injustiçado”. | ||
Como é que você iria demostrar que a sua empresa tem uma cultura de proteção de dados sendo que ela sequer está adequada à legislação? | ||
Para resolver esse problema o seu empreendimento vai precisar seguir os 10 princípios da Lei Geral de Proteção de Dados Pessoais, sendo que o décimo princípio será a carta na mangá que a Amazon deverá utilizar: | ||
Princípio da finalidade: Aqui, todas as vezes que a sua empresa colher um dado pessoal, ou mesmo os dados pessoais que já estejam no seu banco de dados, responda a seguinte pergunta: | ||
· Por qual motivo a minha empresa precisa desse dado? | ||
Aqui a sua pergunta pode ser respondida das mais variadas formas como por exemplo: Eu tenho o endereço do meu cliente para poder mandar a mercadoria comprada. Eu tenho o CPF dele para que eu possa identificar o meu cliente e emitir a minha nota fiscal, etc. | ||
O que não pode é colher um dado pessoal sem qualquer finalidade, ou, colher um dado com uma determinada finalidade, como por exemplo, cadastro, e usar esse mesmo dado para outra finalidade, como por exemplo, compartilhar com parceiros comerciais, caso não seja autorizado pelo titular. | ||
Inclusive, a falta de clareza da finalidade dos dados coletados foi um dos fundamentos da denuncia contra o Google. | ||
Princípio da necessidade: Esse princípio ensina que a sua empresa precisa ter os dados necessários para cumprir com a sua proposta, nem mais, nem menos. | ||
Por exemplo, será mesmo que você precisa do endereço da residência de um cliente pra poder fazer um cadastro na sua loja? Um e-mail não bastaria? | ||
Será que eu preciso da biometria do meu cliente para dar um desconto pra ele, sendo que o CPF já bastaria? | ||
Ter uma quantidade massiva de dados na sua empresa sem uma finalidade e uma necessidade bem definida, além de não trazer nenhuma eficiência, pode aumentar o risco do seu empreendimento, já que se eventualmente acontecer algum tipo de vazamento de dados, a exposição do seu cliente será ainda maior. | ||
Princípio da adequação: Os dados coletados pela sua empresa precisam ser adequados com o seu negócio. Por exemplo, não faz nenhum sentido você ser dono de uma academia e solicitar a informação sobre a orientação sexual do aluno que está sendo matriculado. Esse dado em nada influencia na atividade comercial da academia. | ||
Por outro lado, se você for uma empresa de segurança armada, faz todo o sentido você solicitar dos seus funcionários a informação do antecedente criminal, já que pela atividade da empresa, por mexer com armas, é de extrema importância a empresa ter o conhecimento dos antecedentes criminais para o exercício dessa atividade. | ||
Princípio do livre acesso: Esse princípio determina que a sua empresa seja capaz de responder as perguntas abaixo, para qualquer pessoa que solicite, especialmente os seus clientes: | ||
· Quais dados meus você possui? | ||
· Por que você utiliza esses dados? | ||
· Com quem e por que os meus dados são compartilhados? | ||
· Por quanto tempo meus dados ficarão armazenados aqui? | ||
Importante mencionar que os titulares têm o direito apenas de saber as suas informações pessoais, de modo que os seus segredos comerciais estão plenamente protegidos. | ||
Princípio da qualidade: Esse princípio garante que os dados pessoais devem sempre estar atualizados de acordo com a realidade, devendo ser possibilitado, de forma fácil e gratuita, que o titular, ao observar uma inconsistência dos seus dados, corrija a informação. | ||
Um exemplo clássico é quando você já quitou uma dívida, mas o seu nome ainda permanece negativado no SPC e no Serasa. É importantíssimo manter esse controle, já que uma situação dessa gera dano moral. | ||
Princípio da transparência: O princípio da transparência é uma das melhores comunicações realizadas entre a empresa e os titulares, já que ele nos ensina que todos os tratamentos de dados realizados pelo seu empreendimento devem ser claramente informados. | ||
Portanto devem ser informados: os dados que são coletados; por quais motivos; por quanto tempo; com quem são compartilhados; quem será o responsável por controlar e operar esses dados; se a sua empresa possui segurança da informação. | ||
Tudo deve ser publicizado de forma clara e acessível para os titulares. | ||
Princípio da segurança: Esse princípio dispõe sobre a necessidade de buscar meios seguros de proteger os dados que são tratados, ou seja, evitar de toda forma a ocorrência de um incidente de segurança que gere dano ao titular dos dados pessoais. | ||
É importante que seja esclarecido que nem todo o incidente de segurança acontece por uma falha técnica de um determinado sistema. Na grande maioria das vezes ocorre através de falha humana. | ||
Por isso, é extremamente necessário treinar bem a sua equipe para a utilização de sistemas e auxiliar na gestão dos dados pessoais da sua empresa. | ||
Princípio da prevenção: Aqui a LGPD deixa claro que é melhor prevenir do que remediar, e esse princípio veio justamente pelo fato de que o legislador está bem ciente de que assim como a tecnologia evolui para o bem, ela também evolui para o mal, no entanto, ter previamente os mecanismos de segurança que estejam ao seu alcance, para evitar ao máximo possível um vazamento de dados, é o que será observado pela ANPD. | ||
Princípio da não-discriminação: O tratamento de dados pessoais em hipótese alguma pode ser realizado com o fim de promover qualquer tipo de discriminação. Esse princípio de modo geral, está ligado com os dados sensíveis de opção sexual, raça, religião, afiliação partidária, filosófica, dentre outros. | ||
Princípio da prestação de contas: O décimo e último princípio é a prestação de contas. Todo o seu processo de adequação deverá ser documentado para que a sua empresa seja capaz de comprovar que todos os princípios da legislação são plenamente cumpridos, além disso, a documentação é necessária para que o seu empreendimento seja capaz de atender os direitos dos titulares, e de comprovar que foram atendidos os direitos dos titulares quando solicitados. | ||
É esse princípio que a Amazon deverá utilizar no caso da multa, para tentar comprovar que ela segue todos os princípios que sustentam a GDPR, que são muito parecidos com os princípios da LGPD, para conseguir derrubar a multa bilionária. | ||
Como visto, a cultura de proteção de dados é formada pelos princípios da LGPD, que podem ser vistos como verdadeiros alicerces para tornar a sua empresa adequada à legislação. | ||
Ter esses princípios bem alinhados no seu empreendimento além de dar maior segurança jurídica para o seu negócio, dará maior segurança e confiabilidade aos seus consumidores, melhorando a sua imagem no mercado. | ||
Importante mencionar que apenas conhecer os princípios não torna a sua empresa adequada à LGPD, mas já é um bom começo. | ||
Vinicius Bergamasco, Advogado, Consultor em privacidade e proteção de dados. Instagram: @adv.digital_, LinkedIN: Vinicius Bergamasco | ||
