No dia 28 de janeiro, comemorou-se o Dia Internacional da Proteção de Dados. A data, instituída pelo Conselho Europeu em 2006, foi escolhida para celebrar a assinatura da Convenção para a Proteção de Indivíduos com Relação ao Processamento Automático de Dados Pessoais, também conhecida como “Convenção 108”.
Em homenagem a este dia, a equipe de Proteção de Dados do Madrona Fialho Advogado preparou um breve texto. Ele chama atenção para o fato de que a adoção de medidas focadas em privacidade e proteção de dados pessoais pode gerar impactos positivos que vão muito além de reduzir riscos diretamente relacionados ao descumprimento da legislação aplicável.
Proteção de dados: para além de uma obrigação legal
O tema “proteção de dados” vem ganhando considerável relevância nos últimos anos, seja pelo surgimento de leis voltadas ao tema em diversas jurisdições, incluindo o Brasil, com a Lei Geral de Proteção de Dados (LGPD), seja pela multiplicação de modelos de negócios intensivos na coleta e no tratamento de dados pessoais. A crescente “digitalização” da economia deu origem a um perfil de consumidor mais preocupado com sua privacidade e interessado em saber como seus dados pessoais são utilizados.
Nesse contexto, a proteção de dados emerge não apenas como uma obrigação legal, mas também como um poderoso mecanismo para a geração de valor e de diferencial competitivo para negócios. Temas como privacidade e segurança da informação passaram a marcar presença em ações de marketing de empresas nos mais diversos segmentos de mercado. Afinal, o valor de mercado de uma empresa está diretamente ligado à confiança que ela inspira, e a proteção de dados tornou-se um fator imprescindível nesse processo.
De acordo com o relatório “Cost of a Data Breach Report”, elaborado pela IBM, o custo médio decorrente de um incidente de dados atingiu o maior valor de todos os tempos em 2023: US$ 4,45 milhões. Isso representa um aumento de 2,3% em relação ao custo médio apurado em 2022, de US$ 4,35 milhões, e de 15,3% em relação aos US$ 3,86 milhões do relatório de 2020.
Além dos custos financeiros, a reputação da organização também pode ser sofrer sérias consequências. De acordo com o “UK Data Privacy: What the Consumer Really Thinks”, de 2022, mesmo diante de uma queda em relação a índices de anos anteriores, 69% dos consumidores ainda demonstraram níveis elevados de preocupação com sua privacidade on-line, percentual idêntico ao encontrado na mesma pesquisa realizada nos EUA. Além disso, 79% dos consumidores no Reino Unido indicaram que a transparência sobre como seus dados são coletados e usados é considerada um fator relevante ao compartilhar dados com determinada empresa.
Os efeitos positivos são sinalizados pelo interessante estudo “Business Benefits of Investing in Data Privacy Management Programs”. Entre os participantes, mais da metade percebeu benefícios de pelo menos US$ 1 milhão em decorrência de investimentos em privacidade ao longo de 2022, e 28% dos participantes mediram benefícios superiores a US$ 10 milhões.
É importante compreender, portanto, que medidas voltadas a assegurar conformidade com as normas sobre proteção de dados transcendem a prevenção de riscos de multas e outras sanções. Essas medidas podem e devem ser vistas como investimento no negócio, com potenciais efetivos como ganhos reputacionais e de confiança dos clientes, competitividade, valorização da marca, oportunidades para inovação, atratividade para investidores e incremento de receitas.
Medidas importantes para assegurar o cumprimento da LGPD
A estruturação de um programa que assegure níveis apropriados de conformidade com a LGPD envolve um conjunto de ações coordenadas e que devem ser pensadas considerando a realidade de cada agente de tratamento.
Resumimos a seguir as medidas que mais frequentemente são adotadas em um programa de conformidade em privacidade e proteção de dados sujeito à LGPD.
- Mapeamento de Atividades de Tratamento: Identificar processos que envolvam tratamento de dados pessoais, documentando, entre outros aspectos, que dados são tratados, como ocorre o tratamento, as finalidades do tratamento e as bases legais aplicáveis.
- Mecanismos de Transparência: Preparar e disponibilizar materiais que expliquem aos titulares como seus dados pessoais são tratados e quais os seus direitos.
- Nomeação de um Encarregado de Proteção de Dados: Designar um responsável pelo tratamento de dados pessoais, que irá fazer o contato entre o Controlador, a Autoridade Nacional de Proteção de Dados (ANPD) e o Titular de Dados.
- Direitos dos Titulares dos Dados: Estabelecer procedimentos que permitam aos titulares dos dados exercerem seus direitos (acesso, correção, exclusão, etc.).
- Arranjos Contratuais: Avaliar e ajustar contratos com terceiros (fornecedores, clientes e outros parceiros), estabelecendo regras sobre o tratamento de dados pessoais e alocando riscos de forma adequada entre os envolvidos.
- Segurança da Informação: Adotar medidas técnicas e administrativas para proteger os dados pessoais de incidentes como perdas de dados e acessos não autorizados.
- Gestão de Incidentes: Implementar um plano apropriado de resposta a incidentes de segurança que afetem dados pessoais.
- Relatório de Impacto à Proteção de Dados: Elaborar relatórios que documentem riscos e medidas adotadas para reduzi-los, notadamente com relação a atividades de tratamento que envolvam níveis mais elevados de riscos.
- Treinamento e Conscientização: Promover treinamentos regulares para conscientizar empregados e outros colaboradores sobre a importância da proteção de dados e as práticas recomendadas.
- Verificações Periódicas: Conduzir auditorias periódicas para verificar o cumprimento contínuo da LGPD e identificar necessidades de melhorias.
Essas e outras ações devem ser consideradas como parte de um processo contínuo. É fundamental monitorar de perto as frequentes mudanças em procedimentos internos e acompanhar atentamente a evolução de normas e de decisões sobre o tema, assegurando um aprimoramento constante, potencializando os inúmeros benefícios que um bom programa de privacidade e proteção de dados pode proporcionar.
Para mais informações sobre como essas e outras medidas podem ser implementadas, conheça a prática de Proteção de Dados do Madrona Fialho Advogados.