PUBLICIDADE
Topo

Helton Simões Gomes

ANÁLISE

Texto baseado no relato de acontecimentos, mas contextualizado a partir do conhecimento do jornalista sobre o tema; pode incluir interpretações do jornalista sobre os fatos.

Com multa de até R$ 50 mi valendo, empresas terceirizam 'xerifão dos dados'

Ilustração fria Tilt: dados, privacidade online, privacidade na internet, segurança - Estúdio Rebimboca/UOL
Ilustração fria Tilt: dados, privacidade online, privacidade na internet, segurança Imagem: Estúdio Rebimboca/UOL
Conteúdo exclusivo para assinantes
Helton Simões Gomes

Jornalista com mais de 10 anos de experiencia na cobertura de ciência e tecnologia, com passagens por Folha, Band e TV Globo. Vencedor do prêmio CNI de Jornalismo de 2013.

Colunista do UOL

01/08/2021 04h00

Agora vai doer no bolso. As punições a empresas e entidades que não protegerem os dados pessoais que cidadãos brasileiros cederem a elas começam a poder ser aplicadas em agosto de 2021. As infratoras podem ter de pagar R$ 50 milhões se deixarem seu CPF vazar ou se insistirem em não atualizar em seus arquivos alguma informação sua, leitor.

Também podem ser multadas as companhias que não tiverem em seus quadros um novo tipo de profissional. É o "encarregado de dados" ou DPO, na sigla em inglês. Em resumo, se der ruim ou alguma coisa precisar ser definida, é com esse "xerifão dos dados" que você fala. Só que, por aqui, algumas empresas estão terceirizando a função. Por uma série de motivos.

Em vigor desde setembro de 2020, a LGPD (Lei Geral de Proteção de Dados Pessoais) entra a partir de 1º de agosto em sua fase mais aguda, já que:

  • Até agora, violações não eram penalizadas devido a uma decisão do presidente Jair Bolsonaro. A partir de agora...
  • ... Deslizes resultam em punição, como multas, que podem chegar a 2% do faturamento líquido no ano anterior de empresas, mas se limitarão a R$ 50 milhões, além de...
  • ... Levar ao bloqueio por seis meses do banco de dados problemáticos. Para muitos negócios, isso é uma sentença de morte. Acontece que...
  • ... Não são apenas grandes vazamentos de dados os alvos de punição. Também são infratoras as empresas que não tiverem um DPO definido.

Esse é o cara que:

  • Atende solicitações de titulares dos dados. Ou seja: se você quiser que uma farmácia retifique, exclua ou indisponibilize alguma informação sua, é ele que resolve. Também...
  • ... É o DPO que responde à ANPD (Agência Nacional de Proteção de Dados), a "xerife" nacional da aplicação da legislação no Brasil. Ele ainda...
  • ... Tem de se envolver em incidentes que envolvem dados pessoais e elaborar um relatório de impacto.

E o que fazer quando esse profissional não está no quadro de funcionários? O jeito, para algumas, foi buscar uma saída externa. É o caso da CNA, rede de idiomas com mais de 48 anos de vidas e 653 franquias em todo o Brasil.

Se não tivéssemos contratado o profissional externo, teríamos que contratar um DPO que ficaria encarregado pela criação do Programa de Governança em Privacidade no CNA. Esse profissional deveria ficar alocado na Diretoria de Compliance, haja vista a necessidade de autonomia para a tomada de decisão
Eloisa Crivellaro, Diretora Jurídico e Compliance da CNA

No caso da CNA, o DPO auxilia um comitê interno. Na Rede Santa Catarina, de ensino e saúde, ele atua sozinho mesmo.

Sem este profissional externo, teríamos que contratar uma pessoa qualificada para este fim e montar uma equipe multidisciplinar de apoio para esta pessoa. É praticamente impossível encontrar alguém que consiga dominar todos os assuntos relacionados a saúde, educação, jurídico, tecnologia da infromação, processos, etc. Montar o time todo traria um custo adicional
Ricardo Vanicelli de Sá, Head de Inovação e CyberSecurity na Rede Santa Catarina

Ainda que as punições pela LGPD não estivessem valendo até agora, os processinhos já começaram a chegar. Em um período de nove meses, cerca de 600 sentenças judiciais usaram determinações da legislação em todo o país, indica um levantamento feito pela empresa de pesquisas jurídicas Juit.

Na Europa, a ausência de DPOs está na origem da quarta maior razão para infrações punidas com multas.

A ANPD pode entender que não ter um DPO dificulta que os titulares façam valer seus direitos. E pode, sim, apresentar a aplicação de penalidades
Patricia Peck Pinheiro, advogada e head de Direito Digital do PG Advogados

O escritório dela é um dos que atua como esse "xerifão dos dados" terceirizado.

E aí? Você sabe quem é o DPO da última empresa para qual deu seu CPF?

** Este texto não reflete, necessariamente, a opinião do UOL