Erros de privacidade comuns em todas as empresas. Inclusive a sua

Views: 490
0 0
Read Time:4 Minute, 38 Second

Atuando diretamente no mercado, através de serviços de “Análise de Brechas” (Gap Analysis) das empresas em relação aos mecanismos de controle da LGPD, tenho encontrado algumas falhas de privacidade em várias delas, que até então eram tratadas como se não fosse nada demais.

Vamos começar de trás para frente, com a recente decisão (26/02/20) do STJ, calcada no CDC, sobre o compartilhamento de informações de bancos de dados utilizados por empresa, sem prévia comunicação ao Titular, sob pena de indenização.

No alt text provided for this image

Mais do que comum, já prestei serviço para um grupo corporativo constituído por 15 empresas, que simplesmente utilizavam a MESMA base de dados, consolidando a coleta para efeito de tornar o enriquecimento e o tratamento, mais eficiente e eficaz.

Ou seja, com esta sentença, mesmo ANTES da LGPD entar em vigor, fica claro que empresas não podem repassar informações de seus clientes, sem prévia anuência, sob pena de arcarem com as respectivas indenizações, mesmo que seja entre empresas do mesmo grupo.

Segunda falha mais comum: especialmente em segmentos onde o cliente solicita cotação prévia (planos dentários, de saúde, seguros, outros): armazenamento de dados privados informados para cotação, que são mantidos para posterior tratamento e contato comercial.

Como a LGPD especifica que toda coleta deve ter uma finalidade e que a finalidade de uma cotação é atendida com a resposta ao interessado, manter estes dados privados será uma não conformidade passivel de penalidade, especialmente se for constatada prática usual.

Terceira falha mais que comum: a coleta de informações de contato, para envio de mensagens promocionais ofertas de desconto ou informação de cunho comercial em geral, sem consentimento do titular.

Praticada por quase a totalidade das empresas de moda feminina atualmente, que simplemente pedem o número à cliente e inserem diretamente no celular da loja. Apesar de alguns acharem que a informação do celular pela cliente seria um consentimento, não há evidência que foi a cliente quem informou seu número. Ou seja: a partir de agosto, uma dessas clientes poderá, de má fé, ingressar com uma ação contra as lojas que ligam oferecendo descontos e promoções, pedindo indenização por quebra de privacidade.

E ainda vão usar a mensagem da empresa, como prova !

Outro fator de risco, muito comum em praticamente todas as empresas que oferecem Plano de Saúde extensivo aos familiares, especialmente os menores de idade: a LGPD exige a autorização expressa dos pais ou responsáveis para armazenamento de informações destas crianças.

Via de regra, atualmente as empresas que oferecem este benefício simplesmente cadastram o nome dos benefíciários, no mesmo contrato de adesão do pai ou mãe. Uma coisa é a adesão ao contrato. Outra é a autorização ou consentimento, dos pais ou responsável, para cadastramento dos dados de dependentes menores de idade.

São objetos distintos, com objetivos distintos. E na ausência da autorização, haverá cenário de não-conformidade com a LGPD.

A mesma situação se repete em relação aos Seguros de Vida, em que surge como beneficiário um dependente menor de idade. Apesar da finalidade estar atrelada a um contrato, a prestação do serviço é para o segurado, não para o beneficiário.

E na dúvida, prefiro “pecar pelo excesso”, do que pela falta.

Outra situação que tenho encontrado repetidamente é a ausência de autorização para coleta de biometria, para fins de controle de frequencia (“Ponto”), enquanto durar a relação trabalhista do funcionário.

De forma parecida, algumas pessoas podem alegar que existe uma finalidade na coleta. Porém, como se trata de informação sensível que será armazenada pela empregadora, é necessário que um documento indique como esta biometria será descartada em caso de desligamento do funcionário e como estará protegida, durante sua retenção.

Este artigo poderia se estender muito mais, porém o objetivo é mostrar que existem procedimentos simples que a grande maioria das empresas realiza atualmente, sem qualquer preocupação com a LGPD.

Como eu costumo dizer, “o grande problema do avestruz que esconde a cabeça, é o rabo que fica para cima”.

Em todos os casos acima citados, uma pessoa de má fé pode (e deverá) ingressar na justiça, alegando algo que a favoreça, com base na LGPD, para receber uma indenização.

As empresas devem acordar para o fato de que não haverá fiscais da ANPD verificando a conformidade de empresas, uma vez que a Lei penaliza em caso de vazamento. Porém, o RISCO jurídico das empresas vai aumentar exponencialmente, na medida em que já existem grupos, associações, empresas e pessoas, se preparando para ingressar com ações coletivas contra empresas que coletam grande quantidade de dados pessoais, para angariar indenizações.

Apesar de acreditar no bom senso dos Juízes, que deveriam declinar do julgamento de casos envolvendo privacidade antes da aparição de fato da ANPD, devemos nos preparar para o pior, apesar de esperar o melhor.

Tenham todos um excelente fim de semana !

Observação: a grande maioria dos advogados realiza o “Gap Analysis” comparando o ambiente das empresas, com os artigos da Lei. Utilizo um framework de implementação, focando a criação das evidências (mecanismos de controle) que atendem os requisitos da Lei. Essa diferença é tudo, na hora de abordar TODA a empresa e não apenas o aspecto Jurídico, permitindo identificar as situações citadas neste artigo.

Quer aprender uma metodologia para implementar na prática a conformidade da LGPD na sua empresa ? Quer se tornar diferenciado, sabendo COMO FAZER ? Assista a videoaula onde mostro o framework testado e aprovado por Projetos em diversas empresas onde implementei a conformidade à LGPD em www.os10mandamentosdalgpd.com.br.

AUTOR: Fernando Marinho, Consultor Senior: Segurança de Informação, Continuidade de Negócios (PCN). Gestão de Riscos e Crises. Privacidade e LGPD

FONTE: LINKEDIN

POSTS RELACIONADOS