Regulação e Novas Tecnologias

Regulação e Novas Tecnologias

Na falta da ANPD, reclameaqui.com

Mais de 700 mil empresas no Brasil ainda precisam se adequar

trabalhista, modernização, EPI
Crédito: Pixabay

Grande parte das empresas brasileiras ainda não estão em compliance com a Lei Geral de Proteção de Dados Pessoais (LGPD), mesmo com a entrada em vigor da lei na última sexta-feira (18/09), segundo levantamento do IBGE[1], são mais de 700 mil empresas no Brasil que ainda precisam se adequar.

Contudo, já começamos a observar a busca pelo exercício dos direitos dos titulares por parte dos consumidores. Fato este que não é novidade, no artigo LGPD: compliance na prática, publicado em maio de 2019, mencionamos o movimento errôneo das corporações em focar apenas no data mapping e relatórios de riscos (DPIA, LIA, PIA).

Desse modo, deixando de lado a instituição de um canal de comunicação com os titulares, assim como, os processos para cumprimento das previsões dos artigos 17 a 22 da LGPD, que elencam os aludidos direitos, abrindo margem para uma possível responsabilização civil pela não adequação a esses requisitos legais.

Nesse sentido, analisando o contexto europeu e buscando aprender com a experiência internacional, o que se nota é que a resposta a solicitações dos titulares de dados não é algo trivial. Na Europa, mesmo depois de dois anos da entrada em vigor do GDPR, 58% das empresas não conseguem responder as solicitações dentro do prazo estabelecido pela lei[2].

Além disso, o custo para responder cada solicitação gira em torno de U$ 1.400 dólares[3], levando o tempo médio de duas a três semanas por pedido. Isso em grande parte devido a não estruturação de processos de respostas aos titulares, pois mais da metade das empresas implementaram procedimentos manuais para gerenciar e atender a estes direitos[4].

Consequentemente, tais condutas ensejaram em reclamações a autoridades de proteção de dados pessoais de cada uma das nações europeias, chegando a mais de 30 mil reclamações no Reino Unido, por exemplo. Fato este que demonstra o engajamento dos titulares de dados com a lei, como podemos observar no gráfico abaixo:

Fonte: Numbers and Statistics. Nº 3, 25 March 2019 Issue

No contexto brasileiro, tal engajamento não tem sido diferente. Com apenas poucos dias da entrada em vigor da LGPD, já existem reclamações abertas contra instituições que não estão disponibilizando os meios para exercícios dos direitos dos titulares ou não estão respondendo a solicitações de maneira correta. Na falta da Autoridade Nacional de Dados (ANPD), muitos dos titulares estão endereçando tais reclamações à plataforma www.reclameaqui.com.

O www.reclameaqui.com se tornou bastante popular nos últimos anos por auxiliar o consumidor a realizar queixas de empresas, em que teve problema com produtos ou serviços que estas disponibilizam. Permitindo-se, inclusive, uma autocomposição entre clientes e fornecedores. Nesse caso, são as equipes voltadas a atendimento e relacionamento com clientes que muitas vezes dão respostas ou feedbacks aos problemas enfrentados pelos consumidores.

Esse cenário demonstra a relação e semelhança, que muitos já haviam previsto, entre os impactos da LGPD e do Código de Defesa do Consumidor (CDC). Ademais, nos abre os olhos para o tão falado contencioso de dados, já que no Brasil existe uma cultura de judicialização, devido ao fácil acesso ao judiciário, principalmente por meio dos juizados especiais.

Não é de se espantar, então, caso os consumidores criem a rotina de questionar judicialmente a responsabilização civil das instituições pelo não cumprimento de seus direitos como titulares de dados pessoais, visando angariar indenizações de cunho moral e/ou material.

A fim de evitar que isso se concretize é necessário que as instituições disponibilizem, desde já e de forma facilitada, os meios para que os titulares exerçam os seus direitos. Somado a isso, também é preciso que seja nomeado um Encarregado pelos dados pessoais (DPO), figura responsável pela comunicação entre titular de dado – instituição – ANPD, que também necessita ter seus contatos informados, de maneira acessível e clara, ao público em geral.

Contudo, o procedimento para cumprimento dos direitos dos titulares não para por aí. Um dos grandes desafios impostos neste processo é a autenticação da identidade do solicitante no momento do fornecimento, exclusão, portabilidade e alteração das informações pessoais, por exemplo. Isso pois, a instituição deve garantir que não está cometendo um vazamento ou manipulação errônea de dados, por comando de um terceiro que não seja o próprio titular.

Outro ponto a ser considerado é a política de descarte das informações. Nem sempre a instituição que está tratando os dados pessoais deve excluir os mesmos, quando for demanda pelo titular. Isso porque, segundo o art. 16 da LGPD, fica autorizada a conservação dos dados pessoais para (i) cumprimento de obrigação legal ou regulatória pelo controlador, (ii) estudo por órgão de pesquisa, (iii) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na lei, ou (iv) para uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Dessa forma, o controlador e o operador de dados deve ter a visibilidade de qual o fluxo de resposta ao titular que deve adotar em cada situação e quando os dados podem ser excluídos, anonimizados ou mantidos dentro da companhia.

Por fim, dentro desse procedimento, não se pode esquecer dos relatórios e históricos que devem ser gerados a partir do cumprimento dos direitos. Visto que o ônus da prova na LGPD recai sobre quem está tratando os dados, as empresas devem “trackear” as informações sobre as respostas aos titulares de dados, respeitando, obviamente, o princípio da minimização. Para que, assim, seja possível provar em juízo ou em uma auditoria administrativa e/ou interna que os direitos foram atendidos corretamente e dentro dos prazos estabelecidos em lei.

Logo, em se tratando dos direitos dos titulares de dados pessoais, sugere-se a adesão de soluções tecnológicas com interfaces entre o titular de dados e o site das companhias, para que os pedidos sejam feitos por meio de um canal único e intuitivo. Desse jeito, é possível fazer a gestão e o controle das solicitações, ao mesmo tempo que abre margem para a automatização das respostas. Centralizando, assim, em um mesmo ambiente os deveres das empresas e prerrogativas do detentor dos dados, além de armazenar as informações sobre a gestão e controle de dados em um mesmo local.


Se você gosta do JOTA INFO, conheça agora o JOTA PRO. São informações que podem valer milhões de reais para a sua empresa, a um clique de distância. Experimente o JOTA PRO Tributos: https://bit.ly/32Xhkxz


[1] Disponível em: <https://veja.abril.com.br/blog/radar-economico/mais-de-700-mil-empresas-precisam-se-adequar-a-lei-de-protecao-de-dados/ >. Acesso em: 25 de setembro de 2020.

[2] Disponível em: <https://www.ciodive.com/news/58-of-companies-fail-to-meet-gdprs-data-request-deadlines/568416/>. Acesso em 25 de setembro de 2020.

[3] Disponível em: <https://www.itproportal.com/features/preparing-for-the-upcoming-subject-access-requests-pandemic/>. Acesso em: 25 de setembro de 2020.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito