A LGPD NAS ADMINISTRADORAS DE CONSÓRCIO
Por Serge Birepinte
A Lei Geral de Proteção de Dados (LGPD), lei que dispõe sobre o tratamento de dados pessoais no Brasil, foi promulgada a 5 anos atrás, em agosto de 2018, entrou em vigor dois anos depois em agosto de 2020, e as sansões começaram a valer a partir de agosto de 2021 e hoje na opinião de muita gente, como se diz no jargão popular “ainda não pegou”, será mesmo?
A Autoridade Nacional de Proteção de Dados, a ANPD, órgão responsável pela fiscalização da lei, também teve um início complicado, foi criada pela medida provisória MP nº 869 de dezembro de 2018, confirmada pela lei 13.853 de julho de 2019 e instituída em novembro de 2020. Dada a complexidade da lei, em seus primeiros anos a ANPD trabalhou muito na base, publicou uma série de portarias para regulamentar temas internos, guias orientativos, fascículos educativos, fez uma série de acordos de cooperação técnica com outros órgãos além de deliberar novas resoluções que regulamentaram temas que ficaram em aberto na publicação da LGPD.
Apesar de todo esse trabalho de estruturação o mercado ainda estava “desconfiado” pois ainda faltava o principal, as autuações, que este ano começaram a aparecer. Em 2023 a ANPD aplicou três até o início de dezembro, uma para uma empresa privada com aplicação de multa e duas em empresas públicas com aplicações de sanções, além desses ainda tem vários outros processos sendo investigados e analisados. Outro fato interessante é que nessa esteira outros órgãos de vigilância, como por exemplo PROCON-MS, também já fizeram autuações com base na LGPD. Essa “parceria” pode ser reforçada enquanto a ANPD não consegue se estruturar contratando mais agentes de fiscalização.
E os consórcios como estão em relação a LGPD?
Com base na relação das Administradoras de Consórcio[1] em funcionamento no país, fizemos uma análise com 50% das empresas escolhidas de forma aleatória, a análise limitou-se a três questões analisadas nos sítios das empresas na internet:
- Política de privacidade: ela tem que expor ao titular a finalidade específica para o processamento de seus dados pessoais, a finalidade deve ser específica, explicita, legitima e declarada antes de qualquer dado ser processado;
- Publicação do Encarregado (DPO): conforme Art. 41 §1° da LGPD (Lei 13.709);
- Política de Cookies: com base no guia orientativo para cookies disponibilizado pela ANPD em outubro de 2022;
De acordo com nossa análise, considerando apenas os três itens acima, somente 17% das empresas está 100% aderente aos requisitos da lei, outros 20% ficam bem próximos, tem política de privacidade definida, possuem política de cookies e tem canal de comunicação com o encarregado, só faltando a divulgação de quem é o encarregado. Já do outro lado da balança estão 63% das administradoras, onde, 27% delas não têm nada e 36% têm alguns controles, porém não adequados as exigências da lei, ou seja, atualmente, aproximadamente 87 das administradoras de consórcio do Brasil não estão adequadas aos requisitos da LGPD.
E o que isso significa para os consórcios? Multas da ANPD?
Obviamente que o não cumprimento da lei traz uma maior probabilidade de vazamentos de dados e com ele vem o risco de autuações e multas pela ANPD, porém, muitas vezes pior que uma multa da ANPD pode ser um ataque hacker, um sequestro de dados, a paralisação do negócio por vários dias, titulares de dados que não conseguem suas informações, reclamações dos titulares (Bacen, Consumidor.gov, Procon, Reclame aqui, etc.) que além de prejuízo financeiro trazem o risco de imagem para a empresa, que no final pode custar muito mais que a multa da ANPD.
Então não preciso implantar a LGPD?
Muito pelo contrário, a correta implantação da LGPD traz diversos benefícios para a empresa, vejamos de forma resumida como ela deve ocorrer:
- A trilha se inicia com o conhecimento dos processos da empresa;
- Identificação dos riscos, áreas críticas;
- Segurança da informação, qual informação é utilizada por qual área, classificação das informações;
- Riscos técnicos;
- Implementação de medidas técnicas e administrativas;
- Privacidade – primeiro discute-se e implanta-se segurança da informação e depois se fala de privacidade.
Isso nos mostra que a jornada da implantação da LGPD traz um crescimento grande nos conceitos de governança, principalmente na governança de TI, fator fundamental para proteção de riscos de vazamento de dados.
Sobre o autor:
Serge Birepinte é engenheiro com especialização em Tecnologia da Informação, pós-graduado em Economia, Marketing e Meio Ambiente. Possui grande experiencia em gestão de tecnologia da informação, desenhos de processos, e em consultorias de governança no Brasil e no exterior. Atua em projetos de Tecnologia da Informação, Governança, LGPD e como DPO, é Sócio da Trixx Consulting.
[1] Fonte BACEN (Banco Central do Brasil)