Você não tem permissão para ver essa notícia

Edição 45

LGPD: uma oportunidade de negócios para as empresas - Edição 45

31 de janeiro de 2019
Imagem mostra prédios com as luzes acesas vistos do alto em uma cidade. No topo dos prédios, uma linha azul sai e vai pulando de prédio em prédio.

Muito tem-se falado sobre a Lei Geral de Proteção de Dados (LGPD), ou em outros termos, a versão brasileira da Lei Geral que regulou na União Europeia o tratamento de dados pessoais. Aqui no Brasil, ela foi promulgada em 14 de agosto do ano passado e passará a ter eficácia dois anos depois, ou seja, em agosto do ano que vem. Nesse período concedido pelo legislador para que os entes obrigados se preparem para cumpri-la, e possível esperar não somente muito trabalho de departamentos jurídicos e de segurança de informação, mas também muitas dúvidas e desconfiança das áreas de negócio.

Há, via de regra, duas formas de lidar com a implementação de estratégias para cumprimento da LGPD: a primeira é justamente achar que trata-se de mais uma burocracia brasileira para inglês ver. Como se fosse esse apenas mais um custo ou mais uma imposição da setor jurídico da empresa para estourar os orçamentos de projetos. Já a segunda é entender tal custo de adequação como um verdadeiro investimento e como uma oportunidade da empresa nesse penedo de vacatio legis, ou seja, prazo que a Lei tem, após a publicação, para entrar em vigor.

Vivemos na era do Big Data — é inegável. E nesse contexto, a LGPD no Brasil ou o General Data Protection Regulation, da União Europeia, vêm tanto para proteger dados pessoais quanto para garantir a livre circulação deles, o que é inclusive principio norteador da legislação. Devemos partir do principio que as empresas, independentemente do nicho de atuação, continuarão coletando dados, traçando perfis e comercializando informações pessoais (o que sim deve ser incentivado), mas que essas atividades sejam, essencialmente, comunicadas às pessoas físicas titulares de dados e protegidas por tecno-lógicos e inovadores programas e softwares ou técnicas de criptografia e anonimização.

Tanto é verdade que a LGPD não tem por objetivo frear ou fechar os olhos para o tratamento de dados pessoais, que o artigo T da referida lei abrange dez diferentes possibilidades jurídicas de justificar essa atividade. Não é necessário sair correndo atrás de consentimentos de clientes antes de esmiuçar as nove outras escusas legais que permitem que as empresas continuem exercendo o tratamento de dados e que esses circulem livremente.

Regulamentar essa atividade é fomentá-la, e não ir na contramão da lei. E é assim que o empresariado deve enxergar nela uma oportunidade de negócio que está a sua frente. O objetivo da LGPD é somente que uma dessas justificativas legais seja explicitada, de modo que os dados coletados com base nesses fundamentos sejam tratados com segurança. Vale ressaltar que segurança é confiança, um ativo que, literalmente, não há dinheiro no mundo que compre.

De tal modo, as empresas que entenderam esse recado já saíram na frente na corrida para ganhar a confiança dos clientes e do mercado. Não é ã toa, portanto, que há cada vez mais blogs, índices e portais dedicados a elencar o nível de confiança do consumidor em determinada marca como controle de qualidade.

Atualmente, já há empresas nos Estados Unidos e na União Europeia que optaram por levantar a bandeira da Lei de Proteção de Dados para enaltecer os princípios mais primordiais de privacidade e segurança que utilizam. A Apple, por sua vez, não perdeu tempo em publicar uma carta na revista Time

Nesse sentido, podemos pensar que o cliente de um banco, antes de abrir uma conta, leva em consideração o fato de essa instituição ter sido hackeada em algum momento e ter tido os dados expostos ao público. Por que, então, um consumidor não levará em consideração o mesmo principio de confiabilidade ao hospedar-se em um hotel? Ou fazer cadastro e realizar compras em determinado supermercado ou farmácia em detrimento dos demais? Não só a questão da privacidade que está em jogo quando dados pessoais não são devidamente tratados e acabam expostos.

Quando criminosos tem acesso a dados pessoais, a integridade física e a segurança dos cidadães ficam em xeque
Leandro Augusto, sócio líder de cyber security da KPMG Brasil

Quando criminosos têm acesso aos dados pessoais fidedignos, a própria integridade física e a segurança dos cidadãos estão em xeque. Colocar-se como pioneiro em expor as melhores práticas ao público e demonstrar que a empresa está de acordo com a LGPD não somente atenuam eventuais condenações em caso de vazamento de dados como também inspiram valores intangíveis em consumidores.
Acima de tudo, as empresas que iniciarem esse processo, puxando o barco dos mercados em que estão inseridas, além de receberem o selo de pioneiras, estarão contribuindo para garantir uma sociedade em que direitos e garantias individuais, tal como a privacidade, sejam perseguidos, exigidos e resguardados por todos.

Isabella Becker, gerente da área de Cyber Security da KPMG Brasil.
Pessoa digitando no seu notebook

Esqueça o tempo em que inglês fluente, MBA e experiência profissional eram os principais pontos a serem analisados em um currículo. De onde veio esse currículo? Como o dono do documento fará para atualizar os dados quando necessário? Por quanto tempo — e onde —eles serão armazenados?

A Lei Geral de Proteção de Dados (LGPD), sancionada no ano passado e que entrará em vigor em agosto de 2020, trouxe, além do necessário panorama de privacidade no contexto brasileiro, uma nova perspectiva sobre a relação das empresas com os dados das pessoas físicas a que elas têm acesso.

Engana-se quem pensa que os dados pessoais tratados pelas empresas são apenas aqueles referentes aos clientes. Uma das fontes de coleta de dados pessoais de quase toda organização é justamente o recebimento de currículos de candidatos. Nome, endereço, e-mail e telefone são alguns exemplos de dados pessoais (conforme definição do artigo 5°, inciso I da LGPD) possíveis de se encontrar nesse tipo de documento. Receber currículos, portanto, é tratar conteúdo privado, ou seja, é incumbir-se do dever de fornecer uma abordagem jurídica e de segurança da informação adequadas.

Em linhas gerais, a LGPD exige que todas as atividades que envolvam dados de pessoas físicas (coleta, produção, utilização, transmissão e outros) recebam dois tipos de atenção: o primeiro diz respeito à segurança da informação. Esses dados deverão trafegar por ambientes seguros, ser acessados apenas por colaboradores autorizados e ter um fluxo validado por profissionais de tecnologia ou segurança da informação. Em segundo lugar, os fluxos que envolvem o tratamento de dados de pessoas físicas deverão ter uma justificativa legal — baseada nas dez possibilidades elencadas pelo artigo 7 da Lei n° 13.709.

Assim, sob o aspecto jurídico, espera-se que os Departamentos de Recursos Humanos entendam que o recebimento de currículos é uma coleta de dados pessoais sujeita à regulação e que informem sobre esse procedimento aos candidatos que desejem candidatar-se às vagas disponíveis. Em linhas gerais, no momento da recepção de um currículo, independentemente da escolha pelo enquadramento legal, é importante

que sejam destacados os seguintes pontos aos candidatos (e, portanto, titulares de dados pessoais): em primeiro lugar, com relação aos princípios da LGPD, é preciso informar aos candidatos o propósito específico da coleta, ou seja, se o currículo será simplesmente salvo e consultado para fins de recrutamento ou se outras áreas da empresa (ex. marketing) também farão uso das informações lá dispostas. Em segundo, sobre o fluxo do tratamento, ou seja, por quanto tempo o currículo será salvo no banco de talentos. Nesse caso, ser transparente com o titular de dados pessoais, além de ser uma obrigação legal, é também um valor com o qual muitas empresas querem construir um posicionamento. Já sobre os direitos do usuário, o 18° artigo da LGPD confere ao titular de dados pessoais nove diferentes direitos. Assim, vale informar aos candidatos o que e como será preservado; por exemplo, o direito dele de acesso, correção e exclusão de informações. Por fim, sobre as transferências de dados para terceiros, o mais importante é se eles serão enviados para fora do Brasil (ponto especial de atenção para empresas multinacionais). Caso positivo, também é interessante chamar a atenção do candidato para essas questões.

Uma forma relevante de agregar todos os pontos acima pode ser o envio pela empresa (ou departamento) recrutadora de uma mensagem de confirmação, após o recebimento do currículo de um candidato, que explique como ele deve agir para retificar e atualizar os dados, como fazer caso queira que o currículo seja apagado do Banco de Talentos e que também aponte, de forma simples e didática, o fim específico da coleta, se os dados serão transferidos a terceiros e demais pontos acima elencados.

Por fim, vale lembrar que a LGPD é uma oportunidade para as empresas fazerem uma grande faxina nos dados que tratam. Arquivar currículos que não estão atualizados não é apenas ineficiente como também apresenta um alto risco de exposição e de sanções pela Autoridade Nacional de Proteção de Dados. Lembre-se de que o princípio de minimizaçáo significa coletar a menor quantidade de dados possíveis para um fim específico, mas também pode evocar a necessidade de armazenar, igualmente, o menor volume de informações necessárias.

Nenhum ()

Este site utiliza cookies para proporcionar a funcionalidade necessária e aprimorar sua experiência de navegação. Ao continuar a navegar pelo site, você concorda com a utilização de cookies conforme descrito na declaração de privacidade on-line da KPMG. Você tem o direito de acessar seus dados pessoais para que sejam modificados, corrigidos ou excluídos. Para isso, você deve entrar em contato com privacidade@kpmg.com.br.