Tag: segurança digital

Por Rodrigo Salerno

A lei de proteção de dados só entra em vigor em 2020, mas já movimenta o empresariado brasileiro, que corre para fazer as adaptações. Todas as companhias que, de alguma forma, armazenam informações dos clientes, estão precisando investir em melhorias. Para grandes empresas, é mais um gasto. Para as pequenas, é um peso financeiro que pode, em alguns casos mais extremos, até inviabilizar o negócio.

Autoridades e especialistas do mundo inteiro discutem há anos formas de proteger as informações que os clientes fornecem às empresas. Números de documentos de identidade, cartão de crédito, telefone e e-mail, histórico de compras. Com a internet chegaram o e-commerce e as redes sociais, tornando mais perigosa a falta de legislação sobre o controle destas informações.

Em 25 de maio de 2018, entrou em vigor a lei de proteção de dados da União Europeia (GDPR, na sigla em inglês). Empresas de 28 países passaram a ser fiscalizadas. Um pouco depois, em 10 de julho, o Senado brasileiro aprovou o Projeto de Lei da Câmara 53/2008, ou Lei Geral de Proteção de Dados Pessoais, sancionada pelo presidente Michel Temer em 14 de agosto. E o relógio começou a correr para comerciantes, industriais e prestadores de serviços brasileiros.

Por que a lei de proteção de dados preocupa as pequenas empresas?

A lei brasileira entrará em vigor a partir de fevereiro de 2020. As grandes companhias já possuem equipes especializadas em segurança da informação. Os pequenos negócios ainda terão que organizar toda esta estrutura. Por exemplo: farmácias que pedem o CPF dos clientes na hora da compra, empresas de telemarketing, pequenas lojas virtuais que armazenam informações dos consumidores, qualquer site comercial que tenha um formulário de contato recebendo telefone e e-mail de interessados nos produtos e serviços.

Quais são as mudanças trazidas pela lei?

A lei de proteção de dados proíbe que as informações coletadas sejam utilizadas para fins que não foram informados e permitidos pelos clientes. Por exemplo: muitas lojas lucram vendendo nome, telefone e e-mail dos seus consumidores para empresas de telemarketing. Agora, isso só poderá ser feito se o cliente permitir. A medida vale até em casos em que não existe ganho financeiro, como quando uma escola infantil repassa as informações dos pais dos alunos para parceiros, como confecções de uniformes. A partir de fevereiro de 2020, se não houver permissão, será crime!

A lei impacta diretamente as pequenas empresas porque criar mecanismos para tornar estas práticas legais custa dinheiro. Outro investimento pesado é garantir a proteção destes dados contra hackers e sequestradores digitais. É preciso blindar o servidor, a rede de computadores, o backup na nuvem e qualquer outro meio que a empresa utilize para armazenar arquivos. Se houver vazamento de dados, os clientes precisam ser notificados rapidamente.

A lei também criou uma categoria chamada “dados sensíveis”, composta por informações como origem racial ou étnica, vida sexual, saúde, convicções políticas e religiosas. Estes registros, obrigatoriamente, devem ter grau maior de proteção, para que não sejam utilizados com fins discriminatórios, ilícitos ou abusivos.

Qual é a multa para infratores?

A multa vai ser aplicada de acordo com o nível de gravidade da infração, o tipo de informações que foram repassadas ou roubadas, e as consequências resultantes do descuido da empresa. Seja lá qual for o valor, será alto. De 2% do faturamento da empresa até um teto de R$ 50 milhões.

Uma pequena gráfica que fatura R$ 1 milhão por ano perderá, numa condenação de 2%, R$ 20 mil. É um montante que paga o salário de um designer por 4 ou 5 meses. E 2% é a sentença mínima. Se o juiz determinar uma multa de 30%, por exemplo, serão R$ 300 mil indo para o ralo. Um prejuízo capaz de levá-la à falência.

O que as pequenas empresas devem fazer?

No SAZ Advogados, temos especialistas em compliance e em direito empresarial. Profissionais habilitados para detectar os pontos frágeis da companhia, no que diz respeito à segurança jurídica frente à lei de proteção de dados.

Nossa recomendação inicial é que as empresas criem mecanismos para identificar seus gargalos no armazenamento de informações dos consumidores. Os gestores nem sempre sabem exatamente quando os dados são solicitados e para onde vão.

Por exemplo: quando alguém chega no prédio e fornece o RG ou CPF e tira uma fotografia para acessar as dependências internas, algo comum em qualquer empresa. Isso é armazenar dados.

Eles estão 100% protegidos? Ao fim do dia, vão para um sistema blindado contra hackers? São apagados depois de algum tempo ou destinados para outro setor da companhia? É uma terceirizada que fornece o sistema onde os dados são colocados e, por isso, remotamente, até para dar suporte, os funcionários dela também enxergam o CPF, o nome e a foto de cada cliente?

Dei um exemplo de uma cena rotineira que acontece milhares de vezes todos os dias, em qualquer cidade brasileira. Existem inúmeras outras situações menos óbvias, que precisam ser checadas com uma lente de aumento para detectar se a empresa acabará infringindo a lei, quando ela passar a vigorar, e o que deve mudar para se proteger.

Ficou com alguma dúvida? Então fale com nossos especialistas! Ainda restam 16 meses para a lei de proteção de dados começar a valer. Parece muito tempo, mas passa rápido. Quem deixar para se preocupar em cima da hora, tenha certeza, correrá um gigantesco risco financeiro.