Renã Santos e Ana Luísa Hieaux, do Carrefour: reorganização interna (Germano Lüders/Exame)
Gigantes de tecnologia, como Facebook e Google, entraram na rotina diária de milhões de pessoas em todo o mundo de uma forma quase simbiótica. Enquanto avançam na capacidade de monitorar cada passo de seus usuários no mundo real ou virtual, essas empresas ajudaram a elevar a discussão sobre privacidade de dados a um dos temas mais críticos da atualidade.
É notável que, desde janeiro, a primeira lei americana dedicada a garantir o sigilo de dados de consumidores tenha entrado em vigor na Califórnia, berço de algumas das principais companhias de tecnologia do mundo. Desde o primeiro dia do ano, passou a valer o California Consumer Privacy Act, legislação estadual que regulamenta a coleta e o uso de dados pessoais de consumidores californianos pelas empresas instaladas na região.
As multas por vazamento de dados podem variar de 2.500 a 7.500 dólares por informação vazada — valor considerável quando a empresa lida com um grande volume de dados. A lei chega pouco mais de um ano depois do Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês), legislação que segue a mesma linha rigorosa implementada em 2018 pela União Europeia. No Brasil, o tratamento de dados caminha na mesma direção com a criação da Lei Geral de Proteção de Dados (LGPD), que, sancionada em 2018, passará a valer em agosto.
Um ponto comum une as novas regras nos Estados Unidos, na Europa e no Brasil: o grau de rigor não apenas em relação às exigências mas também às punições previstas. Assim como na lei europeia, as sanções administrativas no Brasil poderão chegar a 2% do faturamento da empresa no ano anterior, com o limite de 50 milhões de reais por infração. O trabalho de fiscalização ficaria a cargo de uma nova agência, a Autoridade Nacional de Proteção de Dados, ainda sem data para sair do papel. “Desde as discussões sobre o Marco Civil da Internet em 2007, já havia, no Brasil, a intenção de regulamentar o tratamento de dados”, diz a advogada Marcela de Oliveira Santos, do escritório Duarte Garcia, que colaborou na elaboração da LGPD.
“O sistema de responsabilização ficou muito mais sofisticado, e isso demandará trabalho intenso e multidisciplinar dentro das empresas.” Há indícios de que boa parte dessa preparação só começou. Uma pesquisa concluída em novembro de 2019 pela consultoria de compliance ICTS Protiviti mostra que 84% das companhias no país admitiam não estar preparadas para atender a todas as novas exigências.
Se até agora as empresas se concentravam em acumular dados sobre os consumidores, daqui para a frente o foco também estará voltado para organização, monitoramento e uso responsável dessas informações. Não é uma mudança trivial. Parte das alterações exige uma adaptação mais simples, como na rotina de cadastramento dos clientes. Hoje as empresas têm liberdade para propor cadastros extensos. A partir de agosto, cada dado pedido deverá ser justificado. Pode não fazer sentido, por exemplo, perguntar o estado civil do cliente para realizar um cadastro antes de uma simples compra.
Existe, também, uma classificação de dados pessoais sensíveis, que envolvem informações sobre origem étnica, convicções religiosas, opiniões políticas e questões de saúde, entre outras. Para a captação desses dados, será necessário consentimento prévio e claro do titular, algo que não ocorre na obtenção de dados comuns. Outras novidades da lei demandam uma reorganização mais complexa. Numa medida comum às leis europeia e californiana, por exemplo, qualquer pessoa poderá solicitar a exclusão de todas as suas informações registradas na base de dados de uma companhia. “Do início de 2018 em diante, a Europa viu uma correria frenética das empresas para se adaptar à nova lei”, diz Geert Aalbers, sócio da consultoria Control Risks, especializada em análise de riscos. “Um dos grandes desafios foi o mapeamento de dados: eles estavam tão dispersos que as empresas nem sequer sabiam onde eram armazenados. Essa é uma dificuldade que as empresas brasileiras também devem enfrentar.”
Mapear os caminhos percorridos pelos dados após sua captação é o primeiro movimento de adaptação das organizações. Especialmente influenciado pelas regras europeias, o braço do supermercadista francês Carrefour no Brasil finaliza o mapeamento nas empresas do grupo e acerta os detalhes do plano de ação. “Enviamos formulários a pessoas-chave da organização e fizemos entrevistas para entender como os dados circulam”, diz Ana Luísa Hieaux, diretora jurídica do Carrefour. “Agora, estamos prestes a formalizar a estrutura da área de proteção de dados, com foco em e-commerce, varejo, banco Carrefour e Atacadão.” Segundo ela, a empresa prevê a instauração de um comitê de privacidade para deliberar sobre os temas relacionados à LGPD e à criação de um cargo de liderança em cada unidade da rede de lojas, que deverá responder ao encarregado de dados — cargo compulsório dentro da nova legislação (veja reportagem ao lado), ainda a ser nomeado. O processo de adaptação à lei está sendo feito a quatro mãos: ao lado de Ana Luísa está o diretor de segurança da informação, Renã Santos, responsável pela parte técnica.
A situação é mais complexa quando as empresas têm o intermédio de terceiros na relação com os clientes. É o caso da construtora mineira MRV, cujo processo de vendas é mediado por corretores terceirizados que precisam de acesso aos dados para abordar os clientes. “O compartilhamento de informações deve continuar, mas os corretores terão acesso apenas ao que é necessário para o contato”, diz Guilherme Freitas, diretor jurídico da MRV. Lá, os movimentos para a adaptação começaram quando a lei foi publicada. A empresa montou um time de sete pessoas das áreas jurídica, de tecnologia, de auditoria e de compliance para cuidar do processo. O grupo faz relatórios mensais a um comitê, que reúne diretores das quatro áreas.
Outra questão crítica está relacionada à segurança das informações. A maior multa aplicada na Europa com base na nova lei, no valor equivalente a 230 milhões de dólares, tem a ver justamente com um caso de fraude. Segundo o Escritório do Comissário de Informação, órgão que regula a proteção de dados no Reino Unido, uma brecha no site da companhia aérea British Airways levou usuários a uma página fraudulenta, por meio da qual foram captadas informações pessoais de cerca de 500 000 clientes, como número de cartão de crédito, nome e endereço. No Brasil, um dos casos mais recentes é o da operadora de telefonia Vivo, que admitiu uma brecha de segurança que expôs dados como nome, endereço, CPF e e-mails de um número não divulgado de clientes. Após o vazamento dos dados, a Vivo foi notificada pelo Procon e respondeu ao órgão, que analisa o caso. A expectativa é que a decisão sobre a autuação saia ainda no primeiro trimestre do ano, com possibilidade de recurso pela organização. A multa a ser aplicada poderá chegar a 10,3 milhões de reais, que é o teto de punições administrativas do órgão. A empresa está há mais de um ano mapeando processos e sistemas com o apoio de uma consultoria e de uma equipe interna. Além disso, já designou uma executiva da casa para assumir as funções de encarregada de dados.
O tamanho do trabalho decorrente da nova regulação pegou de surpresa os próprios reguladores europeus. Com receio das multas, as empresas preventivamente passaram a enviar a eles uma avalanche de notificações, antecipando qualquer movimento que pudesse ser considerado fora da curva. A Holanda liderou a lista de países em número de notificações: foram mais de 20 000 em 2019. Em alguns países, há a perspectiva de aumentar a equipe para analisar tantas informações. No Brasil, não há uma data estipulada para a criação da agência reguladora. Especialistas são unânimes em apontar que o novo órgão vai ditar o ritmo de adoção das novas regras na prática. Apesar dessa incógnita, não há dúvida de que viver sob o domínio de regras cada vez mais rígidas nessa seara é um caminho sem volta.
NOVAS REGRAS, NOVO CARGO
A lei brasileira obriga a criação de um cargo inédito: o executivo responsável pela proteção de dados de clientes | Murilo Bomfim
Para que o tratamento mais cauteloso de dados pessoais seja possível, a Lei Geral de Proteção de Dados destaca, em seu texto, três figuras responsáveis pelas informações captadas pelas empresas: o controlador, o operador e um responsável geral pelo tema, de interlocução direta com o comando da companhia, o encarregado de dados. Enquanto os dois primeiros já existem em algumas organizações, e são os profissionais que manipulam as informações dos clientes, a citação do último marca o início de um novo caminho profissional, com demanda em alta.
Algumas empresas já nomearam um DPO (data protection officer), que, segundo a lei, deve atuar como o principal responsável pela implementação da estratégia interna de proteção de dados. Além disso, esse profissional deverá ser o canal de comunicação entre a companhia, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, a ser criada. “Se antes a área de dados tinha uma ou duas pessoas e integrava um setor maior, o aumento da demanda e a sofisticação tecnológica trouxeram mais importância ao tema”, diz Ricardo Basaglia, diretor-geral da consultoria de contratação Michael Page. “Agora, além de técnicos, o tratamento de dados exige pessoas com habilidades em gestão e estratégia, principalmente quando existe impacto direto no modelo de negócios.” No Brasil, o cargo era praticamente inexistente — e começou a ganhar impulso dentro da contagem regressiva para que a nova lei entre em vigor. Segundo a Michael Page, a demanda teve aumento de 1 000% no último ano. “A tendência é que a procura aqueça ainda mais neste ano”, afirma Basaglia.
As empresas que têm seus modelos de negócios mais atrelados à gestão de dados estão em um estágio mais maduro em relação ao cargo de executivo de dados. É o caso da Marketdata, que usa informações de consumidores para oferecer serviços estratégicos de marketing e análise de dados. Em agosto de 2018, quando a lei foi sancionada, a empresa contratou o executivo Claudinei Vieira para implementar as mudanças necessárias. “Não existe forma de proteger totalmente uma empresa do risco de vazamento de dados”, diz Vieira, que foi executivo de compliance e segurança da informação por mais de 15 anos na consultoria PwC Brasil. “A organização sempre tem um grau de exposição ao risco e deve trazer essa exposição a um nível adequado ao direcionamento dos negócios e ao apetite de seus executivos ao risco.”
A operadora de telefonia Vivo optou por preparar uma executiva da casa para o cargo. Atualmente diretora de compliance, Andrea Mattos vai acumular a função de executiva de proteção de dados a partir de agosto, quando a lei começar a valer.
Segundo as consultorias contatadas por EXAME, a escassez de profissionais com as competências necessárias para a tarefa será um grande desafio nos primeiros anos. “O mercado deve levar tempo inclusive para entender o perfil ideal desse profissional, que pode variar de empresa para empresa”, diz Ana Carla Guimarães, gerente de recrutamento da consultoria Robert Half. “Sabe-se que o profissional deve ter noções de base jurídica e da parte tecnológica, mas as principais características só serão esclarecidas na prática.”