Blog Swipe - Leis de Proteção de Dados (GDPR & LGPD) e o Minimalismo de Dados

“O minimalismo é uma ferramenta para se livrar do excesso de vida, favorecendo o que é importante – para que você possa encontrar felicidade, realização e liberdade” – os minimalista.

Leis de Proteção Geral de Dados

Em meio às complexidades da sociedade, o consumidor moderno se torna mais consciente e exigente quanto sua segurança digital e uso de seus dados para fins comerciais. Para atender as necessidades de um contexto em que dados são ativos, novos designs e regulamentações são necessárias para garantir que a privacidade seja um valor das empresas.

Entramos na era do minimalismo de dados, onde o menos é mais. Quanto menos dados for necessário, melhor. Melhor para usabilidade dos clientes e para sua segurança digital. Para acelerar essa nova ética, Leis de Proteção de Dados estão sendo desenvolvidas em todo mundo.

Em maio de 2018, a União Europeia (UE) anunciou a implementação de sua General Data Protection Regulation . No Brasil, temos a Lei Geral de Proteção de Dados (LGPD). Ambas refenre-se à um conjunto de leis e regulamentações que visam aumentar a privacidade e segurança dos dados pessoais.

Empresas do setor financeiro ou envolvidas de alguma forma com dados bancários precisam estar duplamenta atentas. Primeiro por lidarem com informações delicadas, segundo por serem alvos mais atraentes para hackers. Segundo relatório do Boston Consulting Group (BCG), empresas do setor financeiro tem 300x mais chances de sofrerem ataques hackers do que outras empresas.

Devido a essa dupla fragilidade, é importante que o setor esteja preparado para se adequar rapidamente às leis de proteção de dados.

Inovações da Regulação Geral de Proteção de Dados (GDPR)

O GDPR tem como objetivo unificar as regras relativas à proteção de dados pessoais na União Europeia (UE), substituindo a antiga Diretiva 95/46 CE, de 1995. Selecionamos algumas das principais atualizações e modificações da GDPR.

Titulares de dados: a atenção da GDPR recai não apenas sobre as entidades que coletam os dados (dentro ou fora da UE), mas também aos titulares dos dados. Com a GDPR, os titulares tornam-se figuras ativas que precisam autorizar ou não a coleta de seus dados pessoais.

Autoridades fiscalizadoras (Data Protection Authorities – DPA’s): agentes responsáveis por aplicar sanções àqueles que realizarem coleta ou tratamentos inadequados aos dados dos usuários. O descomprimento das normas pode resultar em multas de até € 20 milhões, ou 4% do valor global da empresa.

Dados Sensíveis: criação de uma categoria especial para dados que não podem ser processados, como: origem racial ou étnica, opiniões políticas, crenças religiosas, filiação sindical, dados sobre saúde, orientação sexual, dados genéticos, dados biométricos e mais.

Princípio da limitação de finalidade e minimização de dados: esses princípios prevêem que os dados pessoas devem ser pertinentes e limitados em relação aos fins para os quais serão utilizando. Assim, a menor quantidade possível deve ser coletada.

Aplicação territorial: o GDPR é aplicado aos indivíduos – cidadãos europeus ou não- que residem na UE, mesmo quando não estiverem fisicamente na UE, bem como a indivíduos que não são nativos, mas se encontram no território da UE (turistas, etc). Ou seja, qualquer empresa privada ou pública que possuem relacionamento com clientes ou parceiros europeus, terão que adequar-se a GDPR.

Expansão da GDPR no Mundo

Devido à aplicação territorial, o conjunto de normas abrange toda e qualquer organização que ofereça bens ou serviços que coletem dados pessoais relacionados à UE. Por isso, vários países anunciaram suas iniciativas para aumentar e atualizar suas políticas de dados e privacidades em nível nacional. Abaixo, podemos ter uma ideia da evolução das regulamentação quanto a proteção de dados pessoais no mundo.

Fonte: https://www.serpro.gov.br/lgpd/menu/a-lgpd/mapa-da-protecao-de-dados-pessoais

leis-de-protec3a7c3a3o-de-dados — Fonte: https://www.serpro.gov.br/lgpd/menu/a-lgpd/mapa-da-protecao-de-dados-pessoais

A Lei de Proteção de Dados no Brasil (LGPD)

A partir de agosto de 2020, a Lei nº 13.709/18 (Lei de Proteção de Dados – LGPD) entrará em vigor no Brasil. Assim, todas as organizações públicas e privadas que coletam, guardam, processam e comercializam dados pessoais de brasileiros precisam se adequar a nova Lei.

Fonte: https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd

info-lgpd-giro-1.png?w=1024 — Fonte: https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd

A LGPD significa uma grande mudança para as empresas brasileiras. Em poucos meses, todos os dados, cujos titulares estejam no território nacional, ou a sua coleta se deu no país, ou que tenha por finalidade a oferta de produtos ou serviços no Brasil, precisam ser utilizados da forma correta.

A LGPD estabelece a necessidade de “consentimento” como condição fundamental para o acesso aos dados de um indivíduo. Em resumo, os usuários devem ter a sua disposição todas as informações acerca do tratamento que seus dados terão, isso inclui:

finalidade para a qual estão sendo coletados;
o meio de captura; o período de tempo em que ficarão armazenados;
a identificação do controlador com o respectivo contato;
se serão compartilhados com terceiros; quais as responsabilidades dos agentes que realizarão o tratamento.

As punições pelo descumprimento das regras da LGPD podem chegar a 2% do faturamento da empresa no ano anterior até 50 milhões de reais e até mesmo a proibição total da operação da empresa.

A nova Lei também estabelece que as empresas contratem um “Data Protection Officer – DPO”, um encarregado pela proteção dos dados e responsável pelo cumprimento da nova lei. O custo de adequação de algumas empresas pode ser extremamente alto, mas veremos o nascimento de designs baseado em proteção de dados.

A privacidade dos clientes estará no centro do desenho de novos produtos e serviços e não mais na tangente.

Open Banking e Proteção de Dados: os dois lados da autonomia dos usuários

A relação entre Open Banking, novo modelo de compartilhamento de dados e as Leis de Proteção de Dados merece atenção. No contexto dos debates de privacidade de dados, o sistema de compartilhamento de dados aberta precisa assegurar que os direitos dos titulares dos dados sejam devidamente respeitados.

No Open Banking, as instituições financeiras irão compartilhar informações como:

dados relativos aos produtos e serviços oferecidos pelas instituições participantes;
dados cadastrais dos clientes;
dados transacionais dos clientes;
serviços de pagamento, ressaltando que o compartilhamento dos dados cadastrais e transacionais dos clientes.

Com o Open Banking, se torna possível que diferentes empresas e serviços acessem os dados do clientes, sem que ele necessariamente precisem abrir uma conta na empresa. É como se uma pessoa pudesse motivar suas contas a partir de diferentes plataformas. Com o Open Banking, um usuário poderá autorizar uma fintech a realizar um pagamento ou transferência em seu novo em uma conta sua em outra instituição.

Tanto LGDP, quanto Open Banking, baseiam-se na premissa de que os dados são propriedades dos clientes e que esses só poderão ser compartilhados a partir do prévio consentimento do consumidor, conforme estabelecido pelo Artigo 5º, XII da LGPD. Mas o equilibro entre um sistema de compartilhamento de dados aberto e a privacidade e segurança dos dados compartilhados não é fácil.

O Open Banking está sendo implementado na Europa desde 13 de setembro de 2019, enquanto que a GDPR foi implementada mais de um ano antes, em maio de 2019. No Brasil, teremos uma vantagem cronológica: o LGPD deve ser implementado antes do Open Banking entrar em operação.