artigos

O que a multa bilionária da Amazon pode te ensinar sobre a importância de adequar a sua empresa à LGPD

Publicados

em

Por Vinicius Bergamasco

O tão temido dia 01 de agosto de 2021 chegou e agora oficialmente as sanções previstas na Lei Geral de Proteção de Dados estão em pleno vigor

É certo que a ANPD (Autoridade Nacional de Proteção de Dados) ainda precisa fazer alguns ajustes para poder aplicar as sanções, mas esse fato não pode mais justificar o atraso das empresas, já que as Autoridades de Proteção de Dados da União Europeia estão passando uma mensagem clara… “Estamos de olho em vocês”

No dia 30/07/2021 a GDPR bateu mais um recorde de multa aplicada ao sancionar a Amazon em € 746 milhões (R$ 4,59 bilhões), multa essa aplicada pela Comissão de Proteção de Dados de Luxemburgo, onde se localiza a sede da Amazon.

 O valor da sanção representa 4% do faturamento anual da Amazon.

Sem poder dar maiores comentários, a Comissão de Luxemburgo confirmou que foram encontradas irregularidades no tratamento de dados pessoais pela Amazon, que precisam ser sanadas

A multa foi originada através de uma das denúncias realizadas pelo grupo ativista francês La Quadrature du Ne, que informou à Comissão de Proteção de Dados Francês, supostas irregularidades à GDPR, quanto ao tratamento de dados pessoais, envolvendo inclusive outras Big Techs como Google, Facebook, Apple e Microsoft.

Essa mesma denúncia, inclusive, foi a que originou a aplicação da segunda maior multa com fundamento na GDPR, que foi de € 50 milhões, aplicada ao Google, em 2019, que após ter sido realizada uma investigação pela Comissão de Proteção de Dados Francês, foram identificadas irregularidades quanto a transparência do propósito da coleta dos dados, período de armazenamento bem como, falta de fácil acessibilidade para interromper os anúncios dentro da plataforma.

Os valores sem sombra de dúvidas assustam, mas tem uma situação em especial que me chama mais atenção, especialmente no Brasil, que é a falta de adequação de grande parte das empresas à LGPD.

Adequar uma empresa à Lei Geral de Proteção de dados não é simplesmente ter um bom software de armazenamento de dados, um bom antivírus e uma política de privacidade, até mesmo porque, nenhuma dessas ferramentas serão capazes de impedir 100% um incidente de segurança como um vazamento de dados, por exemplo.

Adequar uma empresa à LGPD é criar uma cultura de privacidade e proteção de dados de acordo com os princípios da legislação, para que a sua empresa efetue o correto tratamento de dados pessoais, garantindo os direitos dos titulares e a segurança jurídica para o desenvolvimento do negócio.

A Amazon já disse em nota ao site de notícias Bloomberg que não ocorreu nenhum tipo de vazamento dos dados dos seus consumidores e muito menos exposição para terceiros que possam justificar a sansão aplicada, afirmando ainda que irá recorrer da decisão.

Não concordar com uma decisão e ter meios de combater uma decisão que você não concorda são duas coisas bem diferentes, e no caso da Amazon, ela certamente terá meios para discutir essa multa, tentando mostrar através dos seus processos internos, que ela busca da melhor forma possível, cumprir com a GDPR.

Como a Amazon poderia recorrer de uma multa de 4% do seu faturamento se não tivesse mecanismos para tentar demonstrar que ela cumpre com os princípios da GDPR?

Agora coloque o seu empreendimento no lugar da Amazon, e vamos supor que o seu empreendimento estivesse sendo “injustiçado”.

Como é que você iria demonstrar que a sua empresa tem uma cultura de proteção de dados sendo que ela sequer está adequada à legislação?

Para resolver esse problema o seu empreendimento vai precisar seguir os 10 princípios da Lei Geral de Proteção de Dados Pessoais, sendo que o décimo princípio será a carta na manga que a Amazon deverá utilizar:

Princípio da finalidade: Aqui, todas as vezes que a sua empresa colher um dado pessoal, ou mesmo os dados pessoais que já estejam no seu banco de dados, responda a seguinte pergunta:

·     Por qual motivo a minha empresa precisa desse dado?

Aqui a sua pergunta pode ser respondida das mais variadas formas como por exemplo: Eu tenho o endereço do meu cliente para poder mandar a mercadoria comprada. Eu tenho o CPF dele para que eu possa identificar o meu cliente e emitir a minha nota fiscal, etc.

O que não pode é colher um dado pessoal sem qualquer finalidade, ou, colher um dado com uma determinada finalidade, como por exemplo, cadastro, e usar esse mesmo dado para outra finalidade, como por exemplo, compartilhar com parceiros comerciais, caso não seja autorizado pelo titular.

Inclusive, a falta de clareza da finalidade dos dados coletados foi um dos fundamentos da denúncia contra o Google.

Princípio da necessidade: Esse princípio ensina que a sua empresa precisa ter os dados necessários para cumprir com a sua proposta, nem mais, nem menos.

Por exemplo, será mesmo que você precisa do endereço da residência de um cliente pra poder fazer um cadastro na sua loja? Um e-mail não bastaria?

Será que eu preciso da biometria do meu cliente para dar um desconto pra ele, sendo que o CPF já bastaria?

Ter uma quantidade massiva de dados na sua empresa sem uma finalidade e uma necessidade bem definida, além de não trazer nenhuma eficiência, pode aumentar o risco do seu empreendimento, já que se eventualmente acontecer algum tipo de vazamento de dados, a exposição do seu cliente será ainda maior.

Princípio da adequação: Os dados coletados pela sua empresa precisam ser adequados com o seu negócio. Por exemplo, não faz nenhum sentido você ser dono de uma academia e solicitar a informação sobre a orientação sexual do aluno que está sendo matriculado. Esse dado em nada influencia na atividade comercial da academia.

Por outro lado, se você for uma empresa de segurança armada, faz todo o sentido você solicitar dos seus funcionários a informação do antecedente criminal, já que pela atividade da empresa, por mexer com armas, é de extrema importância a empresa ter o conhecimento dos antecedentes criminais para o exercício dessa atividade.

Princípio do livre acesso: Esse princípio determina que a sua empresa seja capaz de responder as perguntas abaixo, para qualquer pessoa que solicite, especialmente os seus clientes:

·      Quais dados meus você possui?

·       Por que você utiliza esses dados?

·       Com quem e por que os meus dados são compartilhados?

·       Por quanto tempo meus dados ficarão armazenados aqui?

Importante mencionar que os titulares têm o direito apenas de saber as suas informações pessoais, de modo que os seus segredos comerciais estão plenamente protegidos.

Princípio da qualidade: Esse princípio garante que os dados pessoais devem sempre estar atualizados de acordo com a realidade, devendo ser possibilitado, de forma fácil e gratuita, que o titular, ao observar uma inconsistência dos seus dados, corrija a informação.

Um exemplo clássico é quando você já quitou uma dívida, mas o seu nome ainda permanece negativado no SPC e no Serasa. É importantíssimo manter esse controle, já que uma situação dessa gera dano moral.

Princípio da transparência: O princípio da transparência é uma das melhores comunicações realizadas entre a empresa e os titulares, já que ele nos ensina que todos os tratamentos de dados realizados pelo seu empreendimento devem ser claramente informados.

Portanto, devem ser informados: os dados que são coletados; por quais motivos; por quanto tempo; com quem são compartilhados; quem será o responsável por controlar e operar esses dados; se a sua empresa possui segurança da informação.

Tudo deve ser publicizado de forma clara e acessível para os titulares.

Princípio da segurança: Esse princípio dispõe sobre a necessidade de buscar meios seguros de proteger os dados que são tratados, ou seja, evitar de toda forma a ocorrência de um incidente de segurança que gere dano ao titular dos dados pessoais.

É importante que seja esclarecido que nem todo incidente de segurança acontece por uma falha técnica de um determinado sistema. Na grande maioria das vezes ocorre através de falha humana.

Por isso, é extremamente necessário treinar bem a sua equipe para a utilização de sistemas e auxiliar na gestão dos dados pessoais da sua empresa.

Princípio da prevenção: Aqui a LGPD deixa claro que é melhor prevenir do que remediar, e esse princípio veio justamente pelo fato de que o legislador está bem ciente de que assim como a tecnologia evolui para o bem, ela também evolui para o mal, no entanto, ter previamente os mecanismos de segurança que estejam ao seu alcance, para evitar ao máximo possível um vazamento de dados, é o que será observado pela ANPD.

Princípio da não-discriminação: O tratamento de dados pessoais em hipótese alguma pode ser realizado com o fim de promover qualquer tipo de discriminação. Esse princípio de modo geral, está ligado com os dados sensíveis de opção sexual, raça, religião, filiação partidária, filosófica, dentre outros.

Princípio da prestação de contas: O décimo e último princípio é a prestação de contas. Todo o seu processo de adequação deverá ser documentado para que a sua empresa seja capaz de comprovar que todos os princípios da legislação são plenamente cumpridos, além disso, a documentação é necessária para que o seu empreendimento seja capaz de atender os direitos dos titulares, e de comprovar que foram atendidos os direitos dos titulares quando solicitados.

É esse princípio que a Amazon deverá utilizar no caso da multa, para tentar comprovar que ela segue todos os princípios que sustentam a GDPR, que são muito parecidos com os princípios da LGPD, para conseguir derrubar a multa bilionária.

Como visto, a cultura de proteção de dados é formada pelos princípios da LGPD, que podem ser vistos como verdadeiros alicerces para tornar a sua empresa adequada à legislação.

Ter esses princípios bem alinhados no seu empreendimento além de dar maior segurança jurídica para o seu negócio, dará maior segurança e confiabilidade aos seus consumidores, melhorando a sua imagem no mercado.

Importante mencionar que apenas conhecer os princípios não torna a sua empresa adequada à LGPD, mas já é um bom começo.

Vinicius Bergamasco é advogado, Consultor em privacidade e proteção de dados. Instagram: @adv.digital_, LinkedIN: Vinicius Bergamasco

 

Fontes: https://www.bloomberg.com/news/articles/2021-07-30/amazon-given-record-888-million-eu-fine-for-data-privacy-breach

https://g1.globo.com/economia/tecnologia/noticia/2021/07/30/amazon-recebe-multa-recorde-de-746-milhoes-de-euros-na-uniao-europeia-por-questoes-de-privacidade.ghtml

https://www.cnnbrasil.com.br/business/2021/07/30/uniao-europeia-multa-amazon-em-us-886-mi-em-caso-sobre-privacidade-de-dados

Comentários Facebook
Propaganda

artigos

Só defende o aborto quem não foi abortado

Publicados

em

Por Fellipe Corrêa

A manchete inicial era a juíza ter perguntado a uma criança de 11 anos se ela suportaria gestar o bebê por mais tempo. A magistrada foi julgada e condenada sumariamente nas redes sociais. Eis que hoje fico sabendo que o “estuprador” seria o filho de 13 anos do padrasto da menina… Como menores de 14 anos não podem consentir ato sexual, que por Lei se presume estupro de vulnerável, são duas vítimas de estupro presumido, mas não há nenhum estuprador – e apesar de ser juridicamente impossível, segundo as investigações foi com o consentimento de ambos.

Uma das hipóteses legais para o aborto é gravidez fruto de estupro; e a Lei dá a opção à vítima, não impõe. Mas, se a menina não tem condições legais sequer de consentir sexo, quanto mais de decidir abortar. Contudo, a negligência – no mínimo – dos responsáveis legais por ambas as vítimas é que resultou no estupro presumido. No lugar da juíza, você questionaria só a estes o que eles entendiam ser melhor pra menina, e julgaria sem a ouvir? Se enquadra nas hipóteses legais para o aborto, sim. Mas foi o melhor pro bem-estar emocional e psicológico da criança?

Como Glória Pires no Oscar, não sou capaz de opinar. Mas muitas das defesas convictas de que a menina deveria abortar não objetivaram o seu bem-estar: a sua tragédia foi apenas janela de oportunidade pra tantos (que defendem o aborto como se contraceptivo fosse) exercerem sua militância, mobilizando incontáveis incautos a reprovar em manada qualquer opinião diferente da que a única via humanitária era abortar o bebê – já de 7 meses, agora se sabe. Massificando informações parciais, exacerbaram a pergunta da juíza como se ela estivesse coagindo a gerar.

Verdade absoluta: só defende aborto, quem não foi abortado. Seja qual fosse o contexto social e familiar em que nascesse, todo bebê que não nasceu contrataria um advogado pra ter direito de viver. Questionem minha legitimidade pra falar por ser homem, mas aquela juíza é mulher. “Meu corpo, minhas regras” não se confunde com o outro corpo dentro, ser humano indefeso. Se o Estado tutela índios, animais e o meio ambiente para as futuras gerações que não podem se defender, é incoerente que esta mesma tutela não seja garantida a quem já está pra nascer.

Fellipe Corrêa é 2º suplente de vereador por Cuiabá pelo Cidadania – Redes sociais: @fellipecorreamt

Comentários Facebook
Continue lendo

Polícia

ENTRETENIMENTO

MATO GROSSO

Política Nacional

Mais Lidas da Semana