O CUSTO DA PROTEÇÃO DE DADOS: Conhecendo a GDPR e a LGPD na prática

Marcella Paola Moreno Borges da Silva

Acadêmico em Direito pelo Centro Universitário Curitiba – UNICURITIBA.

Integrante do Grupo de Estudos em Direito Autoral e Industrial – GEDAI/UFPR e

Direito e Tecnologia UNICURITIBA.

Osny Buzzo Junior

Acadêmico em Direito pelo Centro Universitário Curitiba – (UNICURITIBA).

Integrante do Grupo de Estudos em Direito Autoral e Industrial – GEDAI/UFPR e

Direito e Tecnologia UNICURITIBA.

Luciana Reusing

Professora de Ciências Jurídicas no IFPR e ISULPAR.

Doutoranda em Tecnologia e Sociedade pela Universidade Tecnológica Federal do Paraná-UTFPR. 

Doutoranda em Direito pela Universidade Federal do Paraná-UFPR.

Mestre em CTS pelo Instituto Federal do Paraná – IFPR.

Pesquisadora do Grupo de Pesquisa de Direito Autoral e Industrial – GEDAI/UFPR.

INTRODUÇÃO

Os dados pessoais, ora definidos como informações relacionadas à pessoa natural identificada ou identificável^[1], obtiveram notório destaque desde o surgimento da internet. Isto deve-se sobretudo à sua capacidade de prever e definir hábitos de consumo^[2], facilitando a atuação das empresas não só conhecer melhor do seu mercado e do seu público, mas apontar também para as melhores oportunidades e a evitar riscos.

No entanto a prática de coleta de dados, ganha maior relevância quando se instaura um cenário de vulnerabilidade na sua utilização indevida, cabendo ao poder público tutelar a proteção e a privacidade de tais dados, mediante legislações específicas, como o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia e a Lei Geral de Proteção de Dados (LGPD), no Brasil.

Neste âmbito de novas regulamentações, há que se falar do início de uma grande jornada para o setor público e privado, principalmente no que tange as exigências de gestão dos processos.

No presente artigo, caberá entender os custos da proteção de dados, mediante um estudo comparativo sobre a atuação do GDPR e da LGPD, no contexto das empresas que assumiram o dever de zelar pelas informações dos clientes e colaboradores, adequando todo o modo de coleta, tratamento e anonimização de dados conforme as novas determinações legais.

ADEQUAÇÃO EM FOCO — O QUE PRECISA SER MUDADO 

Inicialmente, para se obter uma estimativa dos custos que as medidas protetivas demandam, é necessário pontuar quais ações serão indispensáveis a fim de que as empresas cumpram com as novas obrigações legais.

Quanto a isso, a atuação do GDPR, vigente desde maio de 2018, traz exemplos concretos sobre como está sendo possível lidar com as novas demandas de segurança, seja com a lição que transmitem as empresas multadas ou com o aprendizado dos negócios que obtiveram uma conformação bem-sucedida.

Antes de mencionar as multas, convém entender as adaptações exigidas, bem como o dever de adequação em razão dos dados retidos pelas empresas, para que sejam organizados de modo que o mapeamento distribua o controle de acesso e facilite a comunicação com o titular.

Outras duas questões importantes de serem elencadas, é primeiramente a quem dar permissão de acesso aos dados, pois a permissão indiscriminada, sem diferenciar colaboradores e hierarquias pode gerar sanções^[3], e segundamente, o dever da transparência e a garantia de prestação de informações claras aos titulares, que estão manifestamente previstos no texto do GDPR e da LGPD, ora constituído como direito à informação.

De acordo com estudos recentes do “IAPP-EY Annual Privacy Governance Report 2019” a localização de informações é a tarefa mais difícil de se executar quando não há regular estruturação na sua base de dados:

Fonte: https://www.portaldaprivacidade.com.br/iapp-ey-annual-privacy-governance-report-2019/

Questão também não menos importante as já elencadas, é a política de privacidade, pois o cliente poderá requerer e obter informes detalhados sobre o tratamento de seus dados pessoais, e o encarregado deverá comprovar que a utilização destas informações, estão sempre aliadas à finalidade previamente estabelecida.

No que se refere ao tratamento de dados, a obrigatoriedade da intitulação de um encarregado está prevista nas duas legislações, donde este funcionário ou profissional irá desempenhar diversas obrigações, como por exemplo:

1. o desenvolvimento de um canal de comunicação com o titular,
2. a eliminação, suspensão, transferência e a anonimização de dados,

• e o envio de relatórios à Autoridade Nacional de Proteção de Dados (ANPD).

Todos os apontamentos inicialmente elencados, requer atenção e preocupação, pois de acordo com o Relatório Anual da Comissão de Proteção de Dados da Irlanda de 2019 demonstrou um grande aumento das reclamações que as empresas vêm recebendo anualmente desde 2018 data da implementação do GDPR^[4]:

Fonte: www.dataprotection.ie/sites/default/files/uploads/2020-02/DPC%20Annual%20Report%202019.pdf

Por fim, também é de suma importância destacar a necessidade de treinamento dos funcionários e colaboradores, dado que neste quesito, a preocupação com a privacidade é frequentemente negligenciada^[5], da qual a ausência de cautela entre os membros da equipe seja por falta de conhecimento ou motivação para agir com segurança pode gerar danos^[6], que atentam contra a própria empresa.

O PREÇO DO DIREITO À PRIVACIDADE E PROTEÇÃO DE DADOS

As práticas mencionadas anteriormente demandam de investimentos, que de acordo com pesquisas do site “Netsparker”, pelo menos um terço das empresas norte-americanas atingidas pelo GDPR contrataram em média 6 (seis) novos funcionários.

Na questão de medidas de segurança, a “Netsparker”, aponta que 60% dos negócios realizados gastaram quantia superior a 50 mil dólares, e 10%, mais de 1 milhão de dólares^[7], posterior a vigência da GDPR.

Ademais, o IAPP-EY Annual Privacy Governance Report 2019^[8] constatou que 72% das empresas americanas e europeias possuem um Data Protection Officer (DPO) — definido como encarregado pela LGPD, sendo que o custo desses profissionais alcança aproximadamente £4 mil ao mês^[9] (R$ 27.000,00) no Reino Unido e no Brasil, a média salarial atinge cerca de 18 mil ^[10].

Fonte: Perfil das empresas que participaram da pesquisa IAPP-EY Annual Privacy Governance Report 2019*

Apesar das grandes vantagens em contratar um DPO, a admissão de um funcionário com este nível de especialidade não será uma despesa necessária a todas as empresas, pois os maiores gastos deverão surgir entre os mais de um milhão de empreendimentos de médio e grande porte ^[11] que possuem volumosos bancos de dados.

Ainda assim, independente, do tamanho das empresas, todos aqueles que lidam com dados pessoais — principalmente dados pessoais sensíveis^[12] — precisarão adotar medidas de segurança.

Embora haja quem defenda que as autoridades não vão se dar ao trabalho de impor sanções aos pequenos negócios e outros a acreditar que essa categoria de empresas, serão alvos fáceis, por não possuírem grandes recursos para contratar advogados e lutar judicialmente^[13], a realidade aponta que todos, deverão agir e demonstrar comprometimento com a lei, independente, do método utilizado para o alcance da adequação.

INCIDENTES E REPUTAÇÃO

Além do impacto financeiro pelos investimentos realizados pelas empresas como já elencado, os incidentes relacionados ao uso de dados pessoais de modo indevido, repercutem diretamente na sua imagem e nos índices concorrenciais de mercado.

A condição incidental e a reputação se relaciona, no simples fato de que, assim como a posição protetiva se apresenta como uma vantagem diante da concorrência, a exposição de notícias negativas compromete consideravelmente o nível de confiabilidade e adesão de uma empresa.

Neste sentido, ao se adotar medidas de proteção de dados, os riscos por exemplo com vazamentos de informações são reduzidos em até 15%, e mesmo quando há incidentes de vazamento, a adoção de um padrão seguro resulta na redução de 62% dos dados afetados^[14].

Fonte: www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/dpbs-2019.pdf

Uma pesquisa feita pela “Varonis”, empresa de software de segurança, traz exemplos de situações de vazamento de dados, as quais atingiram sobremaneira a reputação dos negócios de determinadas empresas.

O primeiro exemplo, se dá com o registro de incidentes em 2013, pela Target, rede varejista, está apresentou uma queda de 54.6% na impressão dos seus consumidores, e que mesmo após 5 anos, já 2018, os níveis de confiança não voltaram ao patamar que ostentação em 2013^[15].

O segundo exemplo, algo muito parecido aconteceu com o aplicativo Uber, que em 2018 não alcançou o mesmo nível de avaliação dos consumidores existente até o ano de 2016, data em que ocorreram incidentes relacionados à vazamento de dados.

Por essa razão, cabe evidenciar e ressaltar o conteúdo do artigo 48 da LGPD, que estabelece a obrigação de informar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular de dados sobre qualquer incidente relativo a segurança dos dados fornecidos e armazenados pela empresa.

Importante acrescentar que, a depender da gravidade do incidente à ANPD pode determinar ao controlador a adoção de providências como a ampla divulgação do ocorrido através dos meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente, visando preservar os titulares.

SANÇÕES E MULTAS APLICADAS EM CASOS CONCRETOS

A contar da vigência do GDPR, houve a aplicação de 347 multas, as quais totalizam €175,944,866 ou aproximadamente 1.1 bilhão de reais.

A tabela abaixo expõe os cinco maiores valores fixados^[16]:

Fonte: www.privacyaffairs.com/gdpr-fines

Com referência as informações acima apresentadas, vale destacar que ao retirar as cinco maiores penalidades, ainda resta uma média de aproximadamente 140 (cento e quarenta mil euros) por multa.

Durante uma inspeção da Comissão Nacional de Proteção de Dados, constatou-se que um Hospital utilizava um Sistema Integrado de Informação Hospitalar encarregado de atribuir códigos divididos em grupos funcionais e grupo de atividade.

A partir da atuação desse sistema, foi observado que havia 985 usuários associados ao grupo funcional médico, e que nos registros do RH constavam apenas 296 profissionais registrados nessa área, ou seja, o sistema hospitalar permitiu 689 acessos indevidos, o que também ficou demonstrado que a criação dessas credenciais, não dependiam de qualquer homologação da administração do hospital.

Com tudo isso, restou evidente que o Hospital não tomou as medidas de proteção devidas, contrariando os deveres impostos pelo GDPR. Estas informações foram devidamente apuradas no Processo nº 9932/2018, e o infrator foi condenado a pagar multa no valor de €400.000,00 (quatrocentos mil euros).

Outro caso mais comum, foi discutido no Processo nº 10212/2018, em uma ação de fiscalização de um estabelecimento comercial. Constatou-se neste processo a existência de um sistema de câmeras de segurança (CCTV – Videovigilância) fixados em local com pouca visibilidade e sem qualquer aviso informativo sobre a existência de tais equipamentos.

Em razão disso, as autoridades entenderam que o comércio violou o direito de informação, e a multa por ausência de indicação e consentimento sobre a coleta de dados alcançou €2.000,00 (dois mil euros).

CONCLUSÃO

No contexto das empresas de maior porte, será inevitável investir em medidas mais complexas de adaptação, isto se deve à necessidade de montar equipes para gerir um grande banco de dados.

Estes custos, no Brasil, podem alcançar uma média de 700 (setecentos) mil reais ao ano, considerando-se o salário de DPO, a assinatura de softwares como o Varonis ou Tripwire, e outros funcionários, como advogados.

Em empresas de médio porte, consonante com a natureza do negócio, será necessário estabelecer uma equipe ou ao menos um funcionário especializado, deste modo o investimento anual pode atingir cerca de 300 (trezentos) mil reais, considerando o salário de um DPO ou a contratação de uma empresa terceirizada que cumprirá com as obrigações estabelecidas na lei.

Para os pequenos empreendimentos é mais difícil estimar um valor de investimento, pois dependerá do ramo e do fluxo de dados pessoais em tratamento. Neste nível, estima-se que o valor deverá comportar a assessoria de empresas terceirizadas, delegando a função de encarregado a um funcionário da companhia que compreenda o uso de tecnologias digitais.

Assim, pelo que se expôs brevemente, restou claro que há necessidade de mudanças sobre como as empresas brasileiras abordam a proteção de dados, tendo este empenho dentre outras intenções, a principal de evitar a aplicação das multas impostas pelas leis.

Portanto, o principal ensinamento consiste na criação de um novo comportamento sobre o uso, proteção e segurança de dados, bens extremamente importantes para a sociedade moderna.

REFERENCIAL BIBLIOGRÁFICO

[1] LGPD; LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Art. 5º, I. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm Acesso realizado: 14 de jan. 2021.

[2] ZANDONAI, Amanda; ARGILES, André. Incidente de segurança: o vazamento de dados de clientes do Banco Inter sob a perspectiva da Lei 13.709/2018. Justiça & Sociedade, v. 4, n. 1, 2019 Revista do Curso de Direito do Centro Universitário Metodista – IPA. Disponível em: www.metodista.br/revistas/revistas-ipa/index.php/direito/article/view/771 Acesso realizado: 14 de jan. 2021.

[3] COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS. Deliberação N.º 984/2018, Diponível em: www.cnpd.pt/home/decisoes/Delib/20_984_2018.pdf Acesso realizado: 14 de jan. 2021.

[4] DATA PROTECTION COMMISSION. Annual Report 2019. Disponível em: www.dataprotection.ie/sites/default/files/uploads/2020-02/DPC%20Annual%20Report%202019.pdf Acesso realizado: 14 de jan. 2021.

[5] GREENWALD, Glenn. Why Privacy Matters?. TEDGlobal 2014. Diponível em: www.ted.com/talks/glenn_greenwald_why_privacy_matters#t-92875 Acesso realizado: 14 de jan. 2021.

[6] 90% of UK Data Breaches Due to Human Error in 2019. Infosecurity Magazine. 2019. Disponível em: www.infosecurity-magazine.com/news/90-data-breaches-human-error Acesso realizado: 14 de jan. 2021.

[7] Netsparker Surveys US Based C-Levels on GDPR Compliance. Netsparker. 2018. Disponível em: www.netsparker.com/blog/web-security/gdpr-compliance-2018-survey-results/#RightSecureDirection Acesso realizado: 14 de jan. 2021 

[8] IAPP-EY Annual Governance Report 2019. International Association of Privacy Professionals. 2019. Disponível em: https://iapp.org/resources/article/iapp-ey-annual-governance-report-2019 Acesso realizado: 14 de jan. 2021.

[9] Salários de DPO em Reino Unido. Glassdoor. 2020. Disponível em: www.glassdoor.com.br/Sal%C3%A1rios/ukdposal%C3%A1rioSRCH_IL.0,2_IN2_KO3,6.htm?countryRedirect=true  Acesso realizado: 14 de jan. 2021.

[10] Salários de DPO no Brasil. Glassdoor. 2020. Disponível em: www.glassdoor.com.br/Sal%C3%A1rios/dpo-sal%C3%A1rio-SRCH_KO0,3.htm Acesso realizado: 14 de jan. 2021.

[11] Total de Empresas. SEBRAE. 2020. Disponível em: https://datasebrae.com.br/totaldeempresas Acesso realizado: 14 de jan. 2021.

[12] LGPD: O QUE É O DPO E POR QUE É IMPORTANTE. Click Compliance. 2019. Disponível em: https://clickcompliance.com/lgpd-dpo-porque-e-importante Acesso realizado: 14 de jan. 2021.

[13] Millions of small businesses aren’t GDPR compliant, our survey finds. GDPR.EU. 2019. Disponível em: https://gdpr.eu/2019-small-business-survey Acesso realizado: 14 de jan. 2021.

[14] Data Privacy Benchmark Study.  Cisco. 2019. Disponível em: www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/dpbs-2019.pdf Acesso realizado: 14 de jan. 2021.

[15] Analyzing Company Reputation After a Data Breach. Varonis Inside Out Security Blog. 2020. Disponível em: www.varonis.com/blog/company-reputation-after-a-data-breach Acesso realizado: 14 de jan. 2021.

[16] GDPR Fines Tracker & Statistics. Privacy Affairs. 2020. Disponível em: www.privacyaffairs.com/gdpr-fines

Acesso realizado: 14 de jan. 2021.