Denis tinha comprado seu primeiro carro. Trabalhou por anos para conseguir comprá-lo e, logo quando saiu da loja, já tratou de organizar a documentação, fazer alguns pequenos reparos, revisar a manutenção, entre outras melhorias. Depois de uma semana com o veículo, recebe ligação de uma empresa de seguros, oferecendo “oportunidade”. Um plano de seguros para que não corresse nenhum risco, agora que tinha seu carro. Surpreso com a ligação, Denis só conseguia se perguntar: “Mas como eles sabem que eu tenho um carro novo?”.
Histórias como essa não são novas. Muitas pessoas ainda são assediadas por ligações e e-mails, como esses, de empresas querendo vender seus produtos, sem que em nenhum momento o titular dos dados tenha autorizado o contato. E quase sempre nesses momentos você fica se perguntando: “Como conseguiram meu contato?”.
Em tempos como os nossos, trata-se de uma lei absolutamente necessária, afinal, ela tem como objetivo acabar com a festa que estavam fazendo com os dados de milhões de brasileiros. Mas ainda há muito o que melhorar.
Veja o que você, analista/cientista de dados, precisa saber para não ter problemas com a LGPD.
O que é a Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados (LGPD) foi promulgada em 14/08/18, entrou em vigor em setembro de 2020, com as sanções iniciando a partir do dia 01/08/21.
A LGPD regula e determina os limites de tratamento de dados pessoais no Brasil. Antes dela havia muitos abusos. Dados eram vendidos, trocados e administrados por empresas que entendiam essas informações como delas, quando, na verdade, os dados pessoais são de direito do titular – “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento” (art 5/ V).
Além do titular, existem dois atores importantes identificados pela lei no Art. 5º:
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Quem cuida da aplicação da lei no Brasil é a ANPD – Autoridade Nacional de Proteção de Dados. Segundo o Art. 55-J, compete à autoridade: zelar pela proteção dos dados pessoais; elaborar diretrizes para a política nacional de proteção de dados pessoais; fiscalizar e aplicar sanções; apreciar petições de titular contra controlador; estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais; dentre outras atribuições.
O responsável por facilitar a comunicação da ANPD com a empresa, bem como viabilizar o cumprimento às normas, é o encarregado.
Quem é o DPO e como ele pode ajudar a empresa?
É o Data Protection Officer, na lei brasileira ele é nomeado como encarregado pelo tratamento de dados pessoais. O Art. 41 da lei diz que o encarregado deverá ser indicado pelo controlador.
Segundo a lei, as atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Em resumo, pode-se dizer que na organização ele é responsável pelo cumprimento da lei.
Entre suas atribuições, ele tem como objetivo orientar os colaboradores e áreas a respeito da LGPD.
Considerando o tamanho de algumas empresas, para partilhar com todos os funcionários os aspectos básicos da lei, DPOs podem gravar vídeos e promover treinamentos para que os seus colegas no onboarding (ritual corporativo de boas-vindas) possam entender os cuidados que a empresa toma a respeito da lei.
Esse profissional também é responsável por ações como:
- Gestão do consentimento — isso significa poder guardar e armazenar o consentimento dos usuários. Por exemplo, você recebe o consentimento quando o usuário permite receber comunicações da empresa. Isso deve ser guardado pelo DPO para futuras consultas;
- Gestão dos pedidos de titulares — os titulares podem requerer informações sobre quais dados as organizações detêm. Aí é necessário existir um atendimento sobre isso;
- Ciclo de vida do dado — ele tem início e fim dentro da organização. Por exemplo, um dado pode entrar através de um formulário, ser armazenado em um sistema de CRM > ser extraído desse sistema para um software de e-mail marketing > enviado por e-mail para um analista > e outros processos. Todo esse caminho de utilização do dado deve ser entendido como um ponto importante que precisa ser acompanhado;
- Ele também vai lidar com comunicações de titulares e da autoridade nacional de dados.
Leis de privacidade em outros países
A LGPD no Brasil acabou sendo inspirada em algumas existentes em outros países.
Na Europa existe a GDPR (General Data Protection Regulation – Regulamento Geral sobre a Proteção de Dados). Podemos dizer que os princípios da lei brasileira são os mesmos, com as adaptações necessárias relacionadas as nossas particularidades.
Nos EUA existem algumas diferenças, pois lá cada Estado tem suas leis. A Califórnia, que é um dos estados com mais empresas de tecnologia, acaba tendo algumas das leis mais completas nesse sentido: a CCPA – California Consumer Privacy Act, ou Lei de Privacidade do Consumidor da Califórnia.
Por que toda a preocupação com os dados?
Casos como o que relatei no início eram muito comuns. Eu mesmo fui contatado várias vezes por empresas de cartão de crédito que conseguiam o meu telefone, mediante uma base de cadastro de outra empresa, e ficavam me ligando, oferecendo um “benefício”. Há diversas histórias assim, até de pessoas que recebiam anuidade de cartões de crédito sem nunca requererem esse serviço.
Antes da LGPD a coleta de dados era mais invasiva, não havia um limite para essa coleta. Além disso, muitas empresas que antes faziam uma coleta massiva, sem consentimento, tiveram problemas de vazamento, que acabaram por expor dados de milhões de brasileiros.
As organizações de maneira geral precisam de dados para encontrar clientes, desenvolver novos produtos, verificar tendências, elaborar esforços de marketing, entender e fazer estudos de mercado, entre outras diversas funções. Sendo assim, são ativos importantes, que contextualizados tornam-se informações de muito valor. Contudo, o valor dessa informação não pode exceder os limites morais e éticos que envolvem sua captação e tratamento.
Por que os analistas e cientistas de dados precisam se preocupar com isso?
Porque são os profissionais que processam e analisam os dados que estão na empresa e acabam sendo responsáveis também.
O que acontece é que a lei encara controlador e operador como solidários quando se trata da responsabilidade perante os dados.
Sendo assim, é importante que o cientista ou analista de dados tome alguns cuidados:
- Verificar como os dados foram captados, se a base de dados é legal. De longe, esse é um dos passos mais importantes, pois algumas empresas podem não ter ainda estabelecido as bases legais da LGPD, tendo dados não consentidos por titulares.
- Na grande maioria dos casos, não é relevante identificar o titular, uma vez que serão estudados comportamentos e fatos. Não consigo pensar no prejuízo de anonimização dos dados. Ao executar essa prática, tirando informações como nome, CPF, entre outros dados, que identifiquem o titular, você já tem base com as colunas que realmente precisa para o seu estudo. O ideal é que esses dados já venham anonimizados para o analista, respeitando o princípio de que ele tem somente os dados necessários para o seu trabalho.
- Conversar com o DPO para entender as regras de tratamento. Cada organização tem particularidades referentes à operação e aos dados que acaba processando, sendo assim, o analista precisa entender essas particularidades e regras para tratamento desses dados. Como algumas empresas estão no processo de transição em relação a lei, conversar com o DPO pode esclarecer em qual fase estão nesse processo, se estão adequados perante a lei, se haverá problema no tratamento, pois a base de dados pode não estar legal.
- Entender os limites de governança de dados. Nessa área temos um ciclo de vida de dados, desde o momento em que ele entra na organização (coleta) até a sua organização. Depois de utilizá-los, o que o analista deve fazer? Eliminar, arquivar? Pode ser necessário documentar a eliminação ou o processamento.
- Há limites éticos perante os dados? Como comentei, algumas organizações podem ter necessidades específicas de armazenamento e processamento de dados. Por exemplo, um instituto de pesquisas pode ter dados relacionados a estudos médicos, com dados sensíveis, dessa forma podem ser necessários tratamentos específicos e autorizações para o uso desses dados. Assim, antes de qualquer coisa, o cientista de dados precisa entender os limites éticos e os cuidados necessários com esses dados.
- Quais as regras de segurança? Não é um item direto da Lei Geral de Proteção de Dados, mas algo muito importante, pois o vazamento pode expor informações sigilosas e sensíveis, por isso, adotar os procedimentos de segurança recomendados pela organização é muito importante.