Respeito à LGPD agrega valor à empresa 

As empresas da construção precisam conhecer e aplicar as disposições da LGPD (Lei Geral de Proteção de Dados) no que se refere à proteção dos dados de seus clientes e fornecedores. Isso não somente evitará processos e multas, como agregará valor em termos de seriedade, idoneidade e segurança à imagem das construtoras que adotarem as boas práticas determinadas pela legislação.

Esta foi a principal mensagem transmitida pelo ciclo de palestras sobre a LGPD, realizada pela Regional São José do Rio Preto do SindusCon-SP, em 3 de novembro, e que contou com um público de 280 pessoas.

Abrindo o evento, Odair Senra, presidente da entidade, afirmou que a LGPD merece toda a atenção, sendo muito pesadas as multas por seu descumprimento. Ele relatou que, recentemente, a Justiça condenou uma grande incorporadora ao pagamento de multa por não ter protegido os dados de um cliente. O processo se encontra em fase de recurso. “Precisamos rever todos os procedimentos já adotados e tomar as providências que ainda se fizerem necessárias”, completou, parabenizando o diretor da Regional, Germano Hernandes, pela organização do ciclo de palestras.

Mediando o evento, a advogada Natália Brotto, integrante do Grupo de Trabalho LGPD do Conselho Jurídico do SindusCon-SP, reafirmou a necessidade de as empresas reverem todos os processos internos de coleta de dados para prevenir eventuais descumprimentos e consequentes punições. Ela observou que a ausência de regulações por parte da Autoridade Nacional de Proteção de Dados (ANPD), só recentemente instalada, é motivo de insegurança jurídica em relação a determinados aspectos da lei. E sugeriu que, na dúvida, se observem as boas práticas adotadas pela União Europeia na matéria.

Cuidados com os dados 

Abrindo as palestras, o professor Demi Getschko, conselheiro do Comitê Gestor da Internet Brasileira e diretor-presidente do Núcleo de Informação e Comunicação do ponto br, recomendou às empresas a observância da chamada Lei de Jon Postel: sermos liberais nos dados que recebemos e conservadores naqueles que enviamos. Depois de historiar a trajetória de 51 anos da internet, ele explicou como os aperfeiçoamentos tecnológicos levaram ao atual estágio em que a troca de dados entre equipamentos permite vazamentos e, consequentemente, abusos. Para que as empresas tenham um embasamento ético a respeito, ele lembrou do Decálogo de Princípios estabelecido pelo Comitê Gestor da Internet no Brasil.

Na sequência, o professor da Unesp Adriano Cansian mostrou que, com a pandemia, também cresceram ataques a redes e vazamentos de dados. Citou levantamento da IBM de 2020, que mostra um custo mundial de recuperação dos danos causados por ataques e vazamentos de dados de US$ 3,6 bilhões, com um prazo de 280 dias em média para as empresas descobri-los. O Brasil é citado com um custo anual de U$ 1,6 milhão, e um prazo de 380 dias para a descoberta. As maiores ameaças vêm de softwares mal elaborados, peoplewares (falhas humanas de configuração, desatenção a políticas de controle dos dados e à adoção de procedimentos adequados) e legalwares (contratos mal feitos, políticas de privacidade equivocadas ou inexistentes).

Cansian previu quatro tendências para 2021: aproveitamento da IA (Inteligência Artificial) em produtos de segurança cibernética, e uso nefasto da mesma IA por atacantes; a privacidade dos dados passará a ser uma disciplina das organizações; as equipes de segurança próprias e terceirizadas serão integradas e supervisionarão a segurança dentro das empresas; e contratos e seguros cibernéticos se tornarão a última linha de defesa, protegendo a recuperação de incidentes.

Complementando, o professor da UFMG Fabricio Bertini Pasquot Polido, recomendou às empresas da construção a adequação de suas políticas de privacidade, para que demonstrem à ANPD que dispõem das melhores práticas e mecanismos de proteção a vazamentos, prevenindo danos reputacionais. Segundo ele, as empresas devem: verificar como os dados pessoais e comerciais de seu domínio são coletados, tratados e compartilhados; identificar quais parceiros contratuais poderiam eventualmente ser responsabilizados por más práticas; ter condições de se organizar para tanto; evitar desperdício de dados, mediante tecnologias digitais e analíticas, aproveitando-os para a melhoria dos negócios, e conhecer como as autoridades têm aplicado as legislações em outros países.

Consentimento inequívoco 

O dr. Newton De Lucca, desembargador do Tribunal Regional Federal da 3ª Região e professor da Faculdade de Direito da USP, frisou a importância de se conhecer a lei em detalhe. Exemplificando, mostrou que a LGPD determina que a manifestação de consentimento por parte do titular dos dados deve ser livre, informada e inequívoca, e não somente expressa, indo portanto além do que estabelece o Marco Civil da Internet.

De acordo com o desembargador, a lei é necessária para proteger o Estado, o cidadão e as organizações. As empresas que gerenciarem bem seus dados vão ganhar clientela e perderão clientes aquelas que não agirem em conformidade com o lei. Ainda haverá um tempo para que se adaptem e evitem multas e a ANPD precisará regular pontos da lei, por exemplo, o que vem a ser o legítimo interesse da empresa em ter este ou aquele dado. As empresas precisarão entender que o titular dos dados tem que ser protegido e pode excluir dados que não deseje compartilhar. E deverão desenvolver um caldo de cultura favorável à proteção de dados. Ele ainda salientou a importância de futuramente as empresas estrangeiras reconhecerem que o Brasil oferece um grau de segurança de dados equivalente ao da União Europeia, a exemplo do que já acontece com a Argentina e o Uruguai.

Boas práticas 

Ao final, a CEO da Resh Cyber Defense, Adriana Cansian, recomendou: adotar uma série de boas práticas de tratamento de dados pessoais: verificar se os softwares utilizados dão garantias em relação à sua segurança; checar como as empresa controla os funcionários envolvidos no fluxo de tratamento de dados (logins e senhas, se existe escalonamento de privilégios de acesso ou se todos têm o mesmo acesso); verificar se há uma política de revogação de senha quando o funcionário sai da empresa; conferir as orientações recebidas por escrito por quem trabalha em home office sobre a segurança nos seus equipamentos e o trato dos dados a que tem acesso; aferir se o sigilo dos dados está evidenciado maneira documental e técnica; checar se as garantias contratuais que os sistemas são seguros, como os dados estão sendo guardados de forma sigilosa, se houve teste de softwares onde se guardam as informações, sobretudo no que se relaciona aos dados pessoais sensíveis; conferir como as requisições dos titulares dos dados estão sendo atendidas; disponibilizar canal para que o titular entre em contato com a empresa, que alguém receba e responda, se há possibilidade de dados serem excluídos, se existe um registro dos pedidos recebidos dos titulares e das respostas dadas, sempre de maneira formal e por escrito, para se caracterizar o consentimento inequívoco; rever as obrigações dos operadores e do controlador; e elaborar contratos que prevejam obrigações entre operadores e clientes;

Segundo Adriana, as empresas devem ter a observância da LGPD como uma vantagem competitiva, trazendo benefícios para a empresa, e demonstrando para seus clientes que é segura no respeito pelos direitos dos seus fornecedores e clientes.