28.01 - DIA INTERNACIONAL DA PROTEÇÃO DE DADOS PESSOAIS

Comitê PrivacyBR lança campanha para fortalecer proteção de dados pessoais

No dia 28 de janeiro é celebrado o Dia Internacional da Proteção de Dados Pessoais. Criada há 12 anos pelo Conselho Europeu e Comissão Europeia, a data foi instituída para favorecer a conscientização dos cidadãos sobre uso, coleta e processamento dos dados pessoais, e quais os direitos em relação a esse tratamento. Aproveitando a mobilização mundial, o Comitê PrivacyBR, que iniciou suas atividades em agosto de 2017, lança esta primeira campanha visando fomentar o conhecimento das pessoas sobre o tema da a proteção de dados pessoais visto que o Brasil ainda não tem uma lei específica o que o coloca em desvantagem competitiva com os seus vizinhos da América Latina e este assunto deve ser prioridade de pauta tanto de gestores públicos como privados. A campanha contará com uma série de conteúdos e ações que envolvem empresas de diversos segmentos e buscará o engajamento do cidadão usuário de mídias e serviços digitais. 

Organizado pelo escritório especializado em Direito Digital Patricia Peck Pinheiro Advogados, o Comitê iniciou sua agenda de trabalhos com objetivo de fomentar a discussão sobre a Privacidade e a Proteção de Dados no cenário brasileiro, diante das perspectivas legislativas norte-americana, europeia e brasileiras. Foram criados 3 subgrupos que devem realizar resultados bem pontuais a serem compartilhados não apenas com os participantes mas com toda a Sociedade. Na opinião da sócia-fundadora da banca, Dra. Patricia Peck Pinheiro, “esta é uma oportunidade para analisar mais profundamente as tendências regulatórias, identificar e apontar os impactos sócio-econômicos e os métodos para estar compliance com as novas regras. Como tudo exige um grande trabalho técnico e jurídico, o grupo é multidisciplinar, o que enriquece muito o debate e o material que é produzido e partilhado entre todos. Não é uma questão de apenas atualizar a Política de Privacidade, que logicamente será um dos itens necessários do check-list de conformidade, mas sim de ajustar toda a governança de dados, de como a empresa lida com a gestão da informação, como está a própria blindagem da propriedade intelectual deste ativo tão importante em uma era de Big Data e Machine Learning. Há necessidade de se aplicar um Privacy Risk Assessment para então mapear o fluxo atual de coleta de consentimento, que terá que ser ajustado para atender as exigências da GDPR, fazer a identificação dos tipos de tratamento e adequá-los a um novo road map de justificativas legais que legitimam o uso dos dados, além de em muitos casos, dependendo do enquadramento, precisar aplicar uma solução de anonimização ou pseudo-anonimzação. Logo, deve haver todo um novo alinhamento entre jurídico-TI-compliance e isso pode afetar valuation pode exigir investimentos e se não for feito pode significar aplicação de multa de 20 milhões de euros por infração além de gerar barreira comercial de negócios com a Europa aplicável não só a empresa mais ao grupo econômico que ela pertence. Este assunto não é para nível operacional, é uma pauta estratégica, chega no Presidente e no Conselho de Acionistas”.

“Um exemplo é a GDPR (General Data Protection Regulation), que entra em vigor em maio deste ano e atinge toda empresa ou organização que processa, controla, hospeda ou compartilha dados pessoais dos cidadãos da União Europeia. As companhias instaladas no Brasil que estejam de posse de dados de usuários europeus devem fazer uma análise de risco e conformidade de sua estrutura atual”, isso alcança a empresa e seus fornecedores e a responsabilidade é solidária. E envolve também expatriados que são os estrangeiros que trabalham no Brasil. Os que têm dupla cidadania que serão considerados, para todos os fins, europeus. Imagine uma empresa de gestão de condomínio, que coleta em SP biometria para acesso de um prédio. Se tiver coletando biometria de um cidadão europeu está sujeito a GDPR e é dado sensível, na categoria mais rigorosa do novo regulamento. Os hospitais que tratam pacientes estrangeiros que trabalham no Brasil, a mesma coisa. Os Bancos que possuem contas deles, empresas de cartão de crédito, programas de fidelidade de cias aéreas, de empresas hoteleiras. E o prazo é curto: a partir de 25 de maio já aplica as multas, e o fiscalizador já disse que vai atrás, alerta a advogada. 

Para contribuir com esse trabalho, o Comitê está lançando uma plataforma online (www.privacybr.com) com diversos conteúdos exclusivos que incluem vídeo explicativo sobre a GDPR, Guia de Direitos dos Usuários de Internet elaborado pelo Conselho Europeu, dentre outros. “A meta é informar e educar os usuários e gestores sobre seus direitos e deveres, e apoiar no processo de uma nova cultura no uso dos dados pessoais, visto que a Sociedade Digital precisa de informação, mas tem que ser de forma ética, legal e transparente, e há um aprendizado de todos os players dentro deste novo paradigma social e de negócios”, afirma a Dra. Patricia Peck. A partir dessa proposta, dentre os primeiros objetivos do PrivacyBR estão a criação de um checklist para conformidade mínima à GDPR, a análise dos 3 projetos de lei em andamento no Brasil (PL 4060/2012; PL 330/2013 e PL 5276/2016) para identificar os impactos de implementação das novas regras nas empresas brasileiras, e o acompanhamento da nova regulamentação brasileira para sugerir melhorias, elaborar o job description do CPO (Chief Privacy Officer), realizar pesquisa com as empresas sobre o cenário atual de gestão de bases de dados (industriais e pessoais), e elaborar um estudo sobre decisões judiciais relacionadas ao uso de dados pessoais por empresas (como tem sido decidido). O Comitê já conta com 40 empresas e 67 participantes que estão envolvidas nos projetos e na Campanha.