Há muito defendemos que as empresas devem se preocupar com a proteção de dados pessoais de seus variados grupos de interesse, sejam do público interno ou externo.
Fazemos isto bem antes da sanção da Lei Geral de Proteção de Dados, no tempo em que a proteção era basicamente lastreada no Código de Proteção ao Consumidor, direito à privacidade e em poucas leis esparsas.
Com a edição da LGPD e também a partir de sua vigência, nossos esforços redobraram. Participamos de seminários, fizemos cursos, estivemos em rodadas de conversas, palestramos, publicamos artigos, enfim, adotamos inúmeras estratégias para que grande parcela do empresariado de nossa base de atuação tomasse conhecimento de suas responsabilidades e do conteúdo normativo da lei.
O tema LGPD passou, assim, a ser objeto de discussão, inclusive em clubes de serviços.
Transversalmente, todo este esforço também se dirigiu ao titular de dados pessoais, uma vez que seus direitos se relacionam diretamente com as medidas de proteção de dados que devem ser adotadas pelos operadores de dados.
Neste contexto, sempre defendemos a adequação da empresa a um modelo de gestão de proteção de dados. Entretanto, não raras vezes, ouvimos que vazamentos de dados pessoais poderiam ser evitados com ações ligadas tão somente a tecnologia de informação e que o compliancelegal representava apenas um “custo” para a empresa. Ledo engano!
Vejam que na última semana fomos surpreendidos com a notícia de vazamento de dados pessoais, inclusive daqueles classificados como sensíveis, de mais de 223 milhões de pessoas (CPF, RG, score bancário, rendimentos salariais, números de telefones, IRPF etc.). No vazamento, mais de 40 milhões de dados de pessoas jurídicas também foram disponibilizados na internet aberta.
A empresa que opera a base de dados mosaic, apontada como responsável pelo evento, negou tal vazamento e, em total desrespeito aos direitos dos “donos dos dados”, não foi capaz de trazer evidências suficientes que ilidissem sua responsabilidade, mesmo porque, como é sabido, ela própria já comercializava os dados pessoais de sua base de armazenamento.
Pior ainda, os questionamentos dos “donos” dos dados vazados, dirigidos a empresa na forma permitida pela LGPD, foram (e ainda são) respondidos de forma lacônica e com a negativa simples de vazamento.
Depois de ser pressionada judicialmente, a responsável pela guarda dos dados (e pelo próprio vazamento) veio a público e informou que os “riscos advindos do vazamento podem ser minimizados pelos donos dos dados pessoais”. Ora, tal obrigação é da empresa que deveria ter um plano de contingência.
Diante dos fatos, a Autoridade Nacional de Proteção de Dados (ANPD), mesmo que tardiamente, interveio de maneira discreta na questão, de forma a apurar como os direitos pessoais de tantos cidadãos foram violados. Aguardamos, ansiosos, o resultado desta apuração!
Por outro lado, e se não bastasse a intervenção da ANPD, o vazamento já se tornou um “caso de polícia” que, no estado de São Paulo, terá a intervenção da Divisão de Crimes Cibernéticos da Polícia Civil. E, como esperado, o PROCON também já vem atuando no caso, haja vista que direitos consumeristas foram desrespeitados.
Não há dúvida de que a imagem da empresa será enormemente afetada pelo vazamento. Quem irá confiar nesta empresa? Esta é uma pergunta que o consumidor irá responder futuramente.
Além da diminuição de credibilidade, diante de tamanho vazamento, não resta qualquer dúvida de que a “responsável pelo vazamento” sofrerá inúmeras ações judiciais, pelo que se estima enorme redução em sua margem de lucro. Um prejuízo ainda inestimável!
Não deixe para depois! A proteção de dados envolve muito mais que as ações de tecnologia da informação (e estas, são muito necessárias). É preciso uma ação multidisciplinar e envolvimento de todos os colaborados, seja do nível estratégico, tático ou operacional. É preciso alterar procedimentos internos, estabelecer políticas de gestão e privacidade dos dados, estabelecer termos de confiabilidade e assim por diante.
