A implantação da LGPD (Lei Geral de Proteção de Dados) ocorreu no segundo semestre do ano de 2020 no Brasil e com ela muitas alterações nas regras de compartilhamento de dados e segurança foram evoluídas dentro das empresas. De qualquer forma, ainda existe um longo caminho a ser percorrido na maturidade de gestão de dados, tanto do lado das companhias, quanto no atendimento de seus direitos pelos consumidores.
Muitas empresas contratam serviços terceirizados para realizar os atendimentos telefônicos ou digitais de seus clientes em call centers e estes também necessitam estar 100% aderentes a legislação. Para nos aprofundarmos no assunto, convidamos a Dra. Patricia Punder – International Expert in Compliance, Governance, Data Privacy and ESG, para uma super entrevista.
Dra. Patricia Punder, fundadora do Punder Advogados, tem formação em Direito com especialização na Fordham University (NY, EUA) e na George Washington Law University (Washington, DC, EUA): certificação Equal Credit Opportunity Act (ECOA) e Certificação Profissional em Compliance Anticorrupção (CPC-A); e é professora da LEC, UFSCAR, Tecnológico de Monterrey (México) e Universidade do Panamá. Uma das autoras do Manual de Compliance/2019 e Compliance – Além do Manual/2020, ambos publicados pela LEC.
Confira a entrevista Dra. Patricia Punder:
“A LGPD entrou em vigor formalmente a pouco tempo e muitas empresas ainda estão em fase de adaptação. De uma forma resumida, o que significa efetivamente a LGPD?“
A lei entrou em vigor em 2018 e as empresas tinham 1 ano para realizarem as adaptações. Devido a pandemia, o prazo para a lei se tornar efetiva foi postergado em mais 6 meses. Em setembro de 2020, a lei tornou-se efetiva e as empresas tiveram 1 ano e meio para realizarem suas adaptações. Então, não podemos considerar como uma lei nova. A mesma já existe há quase 3 anos, mas muitas empresas deixaram para depois a preocupação e responsabilidade de cumprirem com os termos da mesma. LGPD basicamente trata da proteção de dados pessoais, que são todos os dados que podem identificar ou tornar “identificável” um ser humano.
Exige o compromisso das empresas de terem processos em relação a coleta, tratamento, armazenamento e deleção dos dados pessoais. Devemos entender que todos temos uma identidade de “como”, uma identidade além do documento, que são características próprias que nos tornam identificáveis. Entendendo o ponto que nós deixamos um “rastro” com nossa identidade por onde passamos e que nosso “jeito” é único, as empresas devem proteger estes dados pessoais.
“Muitas empresas ainda possuem dúvidas sobre a aplicação da nova legislação em suas centrais de atendimento ao cliente e contact centers. Quais os cuidados e recomendações sobre as centrais, onde muitos operadores possuem acesso a informações sensíveis dos consumidores?“
Os dados pessoais tornaram-se o novo “petróleo”. Quem tiver acesso a estes dados, seja no formato online ou físico, pode acessar informações pessoais de um ser humano e usar para fins comerciais abusivos e potencialmente ilícitos. A prática de comercializar dados não seria algo novo. Antes da internet, todos recebiam panfletos ou cartas, via correio, de empresas que nunca tiveram contato. Trata-se de um mercado poderoso e muito rentável. Vale a máxima: informação é poder! Contudo, o mundo ficou cansado dos excessos e a Europa tomou a frente na regulamentação de dados pessoais. Muitas empresas que tem centrais de atendimento ou contact centers tiveram que adaptar-se a nova regulamentação europeia. Outras resolveram “pagar para ver” e foram multadas. O mesmo ocorre aqui no Brasil, pois LGPD tem como influencia a legislação europeia de proteção de dados. Então, recomendo a implementação urgente de um Programa de Proteção de Dados nestas empresas, onde os princípios do respeito e transparência devem ser aplicados. Implementar processos e controles internos o mais rápido possível, envolvendo colaboradores (através de treinamentos de conscientização) e tecnologia (implementar ferramentas de segurança), além do bom e correto pedido de consentimento.
“Como uma empresa de call center, que representa muitas vezes, empresas que contratam seus serviços terceirizados de atendimento ao cliente, devem se adequar a LGPD?“
A empresa de call center foi contratada para prover serviços e atender os clientes/consumidores da contratante. Então, ambas empresas – Contratante e Contratada – devem urgentemente adequar-se a LGPD. Não adianta somente publicar políticas de proteção de dados na intranet das empresas ou incluir cláusulas contratuais sobre LGPD nos contratos firmados entre as partes. Um programa de LGPD tem 2 fases, sendo a primeira de implementação e a segunda voltada para governança. Infelizmente, temos visto no mercado empresas vendendo serviços de implementação de programa de LGPD em 7 dias. Parece brincadeira, mas infelizmente não é! O que as empresas precisam compreender é que mediante a implementação da LGPD, isto terá impactos relevantes em diferentes áreas de negócios das empresas, afetando positivamente processos internos, colaboradores e tecnologia atualmente aplicada, visando impulsionar e incrementar o processo de transformação digital e tecnológico.
“Muitas empresas se relacionam com seus clientes por meio de ações digitais e tais táticas foram potencializadas devido ao cenário pandêmico e digitalização das empresas. Quais suas recomendações as empresas para as ações de marketing digital e e-mail marketing de forma a respeitar a LGPD?“
Recomendação mais importante seria: contrate urgentemente uma consultoria de qualidade para implementar o programa de LGPD. Não tente ser econômico neste momento, pois literalmente “o barato pode sair muito caro”. A alta liderança das empresas deve estar comprometidas com a proteção dos dados pessoais, seja de origem interna (colaboradores), seja de origem externa (consumidores).
Usar os dados pessoais de um ser humano para direcionar uma campanha publicitaria, pois um algoritmo definiu aquele consumidor como sendo um alto potencial para comercialização de produtos e serviços não pode mais acontecer. Existem regras a serem seguidas e a LGPD veio para ficar. Pena que muitas empresas de publicidade e plataformas de “entretenimento” (que na realidade são de comercialização) ainda não acreditam que devam cumprir a lei e que serão penalizadas se não se adequarem.
“Quais os passos os consumidores devem seguir caso desejem que uma determinada empresa retire das bases seus dados sensíveis?“
De acordo com a LGPD, todas as empresas, publicas ou privadas, devem postar em seu website o nome do Encarregado/DPO (Data Protection Officer) e um e-mail para contato. Transparência e respeito devem imperar se as empresas esperam estar aderentes com a LGPD.
Os consumidores têm direito de enviar um e-mail e solicitar a retirada de seus dados da base de dados. Se não for retirado, o consumidor pode procurar a Agência Nacional de Proteção de Dados (ANPD), Procon e o Judiciário. Agora se a empresa ainda não se adequou a LGPD, o consumidor não vai encontrar as mencionadas informações no website da empresa, então, usar instrumentos como o site “ReclameAqui”, acionar o Procon e Judiciário são boas medidas. Além de notificar a Agência Nacional de Proteção de Dados (ANPD).
“Diante o cenário atual brasileiro, como avalia a maturidade das empresas na adequação da LGPD e proteção dos dados dos consumidores?“
O nível de maturidade ainda está baixo. Claro que grandes multinacionais já estão preocupadas com o tema, devido a legislação europeia. Algumas empresas que estão na bolsa de valores tanto de Nova Iorque, como a de São Paulo, tem trabalhado no tema. Mas, a grande maioria das empresas ainda não acredita que o tema é sério e que serão penalizadas. Novamente, as empresas tiveram 1 ano e meio para se adequarem e fica a pergunta: por que nada fizeram até agora? Não é o momento de economizar com algo tão importante e relevante para a sociedade brasileira.
“Caso um consumidor identifique que seus dados foram divulgados indevidamente ou como popularmente falamos “vazaram na internet”, quais as precauções ele deverá realizar?“
Imediatamente deve procurar a empresa responsável pelo vazamento e fazer um boletim de ocorrência. Caso os dados pessoais sejam muito relevantes, que possam vir a causar prejuízos ou fraudes, buscar o Procon e Judiciário.
Comments