A hora da mudança chegou

“Informação é poder”, já dizia Steve Jobs, fundador da Apple. Quando uma empresa, um partido político ou uma rede social conhece os dados, os gostos e os hábitos de uma pessoa, fica mais fácil convencê-la a fazer quase qualquer coisa. Pode parecer exagero, mas não é! Hoje, existem pessoas e empresas especializadas em coletar e comercializar dados ou bases de clientes, sem sequer pedir a autorização deles. Quem nunca recebeu aquelas chatíssimas ligações de telemarketing com uma oferta imperdível?

A boa notícia é que essa prática está com os dias contados, graças à entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), em 18 de setembro. A má é que empresas, cooperativas e organizações que coletavam dados pessoais para melhorar processos, ampliar redes de relacionamento ou fidelizar clientes terão de rever todas essas práticas, sob o risco de pagarem multas, que podem chegar a R$ 50 milhões por infração.

A LGPD propõe medidas de segurança jurídica que transcendem as relações firmadas no ambiente virtual. Por isso, é de suma importância que as cooperativas estejam atentas aos procedimentos que devem ser adotados, especialmente por se tratar de um modelo de sociedade formado, em muitos casos, por pessoas físicas, a quem a legislação buscou dar proteção”, explica Ana Paula Rodrigues, assessora jurídica da Organização das Cooperativas Brasileiras (OCB).

Ainda segundo ela, os cuidados na coleta de dados devem ser redobrados, de modo a evitar que sejam perdidos, vazados, transmitidos para pessoas erradas ou tenham sua utilização desvirtuada, sob pena de gerar danos às cooperativas e também às pessoas envolvidas. “Será fundamental solicitar apenas os dados pessoais necessários ao cumprimento das finalidades da organização e dar clareza ao seu quadro social quanto à utilização dessas informações”, afirma.

O consultor em proteção de dados (DPO) Sanclé Landim Albuquerque concorda: as cooperativas, de fato, têm uma sensibilidade maior às regras da LGPD, por conta de suas características de filiação. “Nesses empreendimentos, o cooperado é, ao mesmo tempo, sócio, fornecedor e cliente. Além disso, em alguns casos, há repasse de informação para outras organizações, como as cooperativas de crédito, por exemplo, que podem estar encarregadas da gestão dos recursos da cooperativa, da distribuição dos resultados, e precisarão responder ao Banco Central. Isso exige minimalismo e a definição de finalidades claras para os dados coletados, principalmente os considerados sensíveis, que abrangem questões de gênero, raça, religião, posicionamento político, entre outros”, alerta.

MULTAS APLICADAS

Ainda que a data para o início da aplicação das sanções previstas para quem desrespeitar as regras seja 1º de agosto de 2021, o início da vigência da lei afeta de forma imediata os negócios das cooperativas, empresas públicas e privadas, e demais organizações. Isso porque as disposições exigidas podem ser fiscalizadas pelos órgãos competentes e até mesmo utilizadas como fundamentação em eventuais discussões no âmbito judicial.

Sanclé Albuquerque cita como exemplo uma multa de R$ 60 mil aplicada pela Secretaria Nacional do Consumidor (Senacom) a uma grande marca de roupas por ter utilizado tecnologias de reconhecimento facial em sua loja no Shopping Morumbi, em São Paulo. Segundo o Instituto de Defesa do Consumidor (Idec), responsável pela denúncia, a empresa conseguia captar as reações dos consumidores e traçar um perfil de seus visitantes sem informação clara e adequada, e sem o devido consentimento de seus clientes.

A prática foi considerada abusiva, utilizando como referência o Marco Civil da Internet e a LGPD, e a empresa foi multada nos termos do Código de Defesa do Consumidor (CDC). Esse caso deixa clara a importância da finalidade e do consentimento explícitos para a coleta e uso dos dados pessoais”, destaca o consultor.

Uma das maiores empresas do ramo imobiliário no Brasil também foi penalizada sob os termos da LGPD no mês de outubro, acusada de compartilhar dados pessoais e de contato de seus clientes com parceiros que ofereciam mobília planejada e afins. Pela decisão, a companhia terá que pagar uma multa indenizatória de R$ 10 mil, com um adicional de R$ 300 para cada contato que venha a ser compartilhado novamente no futuro.

Vale destacar: a legislação prevê punições que vão desde advertências até multas, que podem chegar a 2% do faturamento da empresa ou organização, sob o limite de até R$ 50 milhões por evento. “Poucos se atentaram para o fato de que o limite da penalidade é por evento, ou seja, uma empresa pode ser penalizada por mais de um ao mesmo tempo e a multa não se limitará aos R$ 50 milhões. Significa dizer que desrespeitar as regras da LGPD pode gerar custos que inviabilizem a manutenção do negócio”, acrescenta Sanclé Albuquerque.

IMPLEMENTAÇÃO

Precisar o tempo médio necessário para a adequação das cooperativas à LGPD ou os custos a serem dispendidos nessa adaptação não é tarefa fácil. De acordo com Ana Paula Rodrigues, as estimativas dependem não apenas do porte da cooperativa, mas do nível de complexidade de suas operações e de procedimentos internos que envolvam coleta e uso de dados pessoais e do nível de organização dessas informações nos bancos de dados.

O cooperativismo é diverso e possibilita que qualquer tipo de atividade seja desempenhada por meio desse tipo de sociedade. Assim, cada caso exige um mapeamento específico para diagnosticar a estrutura existente, o tempo de adequação e os investimentos necessários para a adequação. Além disso, existem outros fatores que podem influenciar no custo, como a necessidade de apoio técnico especializado, de contratação de colaboradores específicos ou de investimentos em suporte e ferramentas de TI, que podem aumentar os valores necessários”, explica.

Sanclé Albuquerque acrescenta que, em uma estimativa realista, o prazo pode variar de seis meses a um ano e meio, dependendo do tamanho e das complexidades envolvidas no negócio. Já os custos dependerão da realidade de cada empresa. “Importante salientar que se trata de um processo contínuo, que vai exigir aprimoramentos constantes para garantir a segurança e a privacidade dos dados, bem como a manutenção dos sistemas, ou seja, não se limita apenas a atender os princípios básicos da legislação.”

O consultor lembra ainda que programas de conformidade (compliance) e de atendimento às normas Isso – especialmente a ISO 27701 – contribuem para a adequação à LGPD. “Essa ISO traz especificações sobre práticas de privacidade da informação em nível mundial e já em sintonia com a lei que inspirou a nossa LGPD — o Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês), legislação aprovada pela União Europeia para o tratamento das informações pessoais, em vigência desde maio de 2018”, destaca.

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

PASSO A PASSO PARA A ADEQUAÇÃO DAS COOPERATIVAS À LGPD

PASSO 1 – DIAGNÓSTICO (estratégico)

Nesta etapa, realiza-se o mapeamento dos bancos de dados e sistemas onde estão armazenados quaisquer tipos de dados pessoais coletados pela organização, a fim de identificar como é realizado o tratamento <abre hiperlink> desses dados. Aqui, é importante identificar:

QUAIS SÃO AS DIFERENTES FONTES DE ORIGEM DOS DADOS ARMAZENADOS?

O QUE É REALMENTE NECESSÁRIO COLETAR E MANTER?

Ícone de regador — COMO É FEITO O TRATAMENTO? QUAIS PRÁTICAS SÃO PERMITIDAS DENTRO DA LGPD?

PASSO 2 — PLANO DE AÇÃO (tático)

Planejamento da adequação de procedimentos, normativas, contratos e políticas de privacidade da cooperativa, bem como para a revisão da estrutura de tecnologia e armazenamento das informações. Aqui, é importante zelar pela TRANSPARÊNCIA com o cooperado. Ele precisa entender os motivos da coleta dos dados considerados essenciais para o seu negócio e concordar expressamente com a coleta deles.

PASSO 3 — VALIDAÇÃO DAS MUDANÇAS (operacional)

O objetivo, agora, é efetivar o plano de ação proposto com testes para a verificação da adequação e da efetividade das medidas implementadas, confirmando se foram atendidas todas as exigências previstas na lei.

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ÁREAS ENVOLVIDAS NO PROJETO DE ADAPTAÇÃO

O trabalho de adaptação de uma cooperativa à LGPD é multidisciplinar, ou seja, envolve diferentes áreas, incluindo diretorias, gerências, jurídico, tecnologia de informação, recursos humanos e marketing. Cada uma tem diferentes responsabilidades, que vão desde a análise da finalidade de negócio até a implementação de todo o programa e a resposta a possíveis incidentes.

PROFISSIONAIS NECESSÁRIOS APÓS A ADAPTAÇÃO

De acordo com a LGPD, para o funcionamento do sistema de proteção de dados, será necessária a atuação de três agentes importantes, denominados como controlador, operador e encarregado. Entenda o papel de cada um deles:

CONTROLADOR — agente de tratamento de dados pessoais que deve manter registro das operações realizadas. Ao controlador, cabe: decidir o porquê da coleta de dados do titular; lidar com a base legal para fazer a coleta; definir a finalidade ou os propósitos para os quais os dados serão usados, para quem pretende divulgar, compartilhar ou transferir os dados, bem como por quanto tempo reterá as informações. Ele é responsável ainda por elaborar relatórios de impacto, quando necessário.

OPERADOR — realiza o tratamento dos dados pessoais em nome do controlador. Ele deve seguir as diretrizes determinadas e tratar os dados de acordo com as políticas de privacidade e o ordenamento jurídico. O operador e o controlador também respondem pelos danos patrimoniais, morais, individuais ou coletivos, a exemplo de violações da legislação e que exijam algum tipo de reparação.

ENCARREGADO — pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). A identidade e as informações de contato do encarregado devem ser públicas, claras e objetivas. Ele deve aceitar reclamações e comunicações dos titulares dos dados; prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da organização sobre as práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (art. 41, § 2º).

---

Esta matéria foi escrita por Raquel Sacheto e está publicada na Edição 31 da revista Saber Cooperar. Baixe aqui a íntegra da publicação

---