Na era da economia digital, as informações sobre as pessoas tornaram-se uma moeda valiosa para empresas que tem seus modelos de negócio baseados em tais dados. Tecnologias digitais avançadas, como internet das coisas, inteligência artificial, computação em nuvem, blockchain, big data, analytics, nano e biotecnologia possibilitam a coleta massiva e indiscriminada de nossos dados pessoais, e por esse motivo apresentam desafios específicos de segurança e constantes reflexões legais, especialmente com relação aos limites do tratamento desses dados.

A Lei Geral de Proteção de Dados Pessoais (LGPD) vem para adequar as práticas de empresas brasileiras a estes novos padrões e ao cenário global, inserindo o Brasil no rol dos mais de 120 países que contam com uma lei de proteção de dados.

Frente a esse contexto, há uma mudança de paradigma na gestão dos dados pessoais nas organizações, evidenciando a necessidade de adequações internas e da construção de uma cultura de proteção de dados. Por isso, abordaremos alguns aspectos sobre como se adequar à LGPD na prática, e como a lei vai afetar o tratamento de dados em operações de pagamento.

O que é a LGPD?

O primeiro passo para saber como se adequar à LGPD é compreender o que ela é. A LGPD regulamenta o tratamento de dados pessoais, em âmbito público ou privado, na Internet ou fora dela, com o objetivo de proteger a liberdade e a privacidade dos titulares. Para tanto, traz um novo conjunto de obrigações e responsabilidades a serem adotadas pelos players do mercado, as quais impactarão diversos modelos de negócio, principalmente em relação a como eles lidam com as informações de seus consumidores.

Assim, a partir de agora, as empresas deverão garantir mais controle e privacidade no uso desses dados, evitando incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.

Isso também significa que as empresas terão que ser mais transparentes sobre a coleta, utilização, armazenamento e transferência de dados pessoais, garantindo aos seus titulares informações claras, precisas e acessíveis sobre a realização do tratamento e sobre os agentes envolvidos nessas atividades.

É importante enfatizar que a LGPD se limita ao que se considera dado pessoal, não abrangendo dados de pessoas jurídicas, segredos comerciais e industriais e propriedade intelectual. São informações relacionadas a pessoas físicas e que permitam a sua identificação, como:

  • Dados que as tornem diretamente identificadas. Por exemplo: CPF, nome completo ou foto;
  • Dados que, cruzados entre si, possibilitem a sua identificação. Por exemplo: endereço, apartamento e aspectos físicos, que individualmente não identificam uma pessoa, mas em conjunto podem torná-la identificável.

Afinal, qual é o prazo para a adaptação à LGPD?

Não basta compreender como se adequar à LGPD: é preciso agir para que tudo seja feito dentro do prazo. Embora muitas empresas já se encontrem em processo de adequação à LGPD, se este ainda não é o seu caso, é recomendável que inicie o quanto antes, uma vez que a LGPD entrará em vigor em 14 de agosto de 2020. A depender do nível de maturidade e do tamanho da empresa, do investimento e das áreas envolvidas, especialistas estimam que a implementação pode variar de 3 a 14 meses.

Sendo assim, é fundamental que a sua empresa se adeque dentro deste prazo, pois a penalização pelo descumprimento da nova regulamentação pode chegar a uma multa de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no ano anterior, limitada ao valor total de R$ 50.000.000,00, por infração.

Importante ressaltar, ainda, que alguns projetos de lei em tramitação que envolvem a LGPD, entretanto dois deles envolvem algum tipo de postergação, o primeiro projeto de lei em tramitação na Câmara dos Deputados, que tem como objeto a prorrogação da data da entrada em vigor da LGPD para 15 de agosto de 2022, o outro projeto de lei foca na postergação do enforcement, ou seja, da aplicação das punições previstas na Lei.

No entanto, não há garantias de que estes projetos serão aprovados em ambas as casas do Congresso Nacional e sancionados pelo Presidente da República, motivo pelo qual as empresas não devem contar com este prazo adicional.

LGPD na prática

Agora, vamos ver na prática como se adequar à LGPD. Os agentes envolvidos no tratamento de dados pessoais são (i) o controlador, que é a pessoa física ou jurídica responsável pelas decisões referentes ao tratamento de dados pessoais; e (ii) o operador, que é a pessoa física ou jurídica que realiza o tratamento em nome do controlador, segundo suas diretrizes e instruções. A clara definição contratual destes papéis é relevante, uma vez que as obrigações e responsabilidades de cada um deles são distintas.

Não menos importante, é a função do Encarregado (ou Data Protection Officer), um profissional que deverá ser indicado pelo controlador e pelo operador, para atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).

A ele também compete auxiliar a empresa na adaptação de seus processos para estruturar um programa de compliance com foco em maior segurança das informações, devendo contar com orçamento próprio, independência funcional e acesso aos órgãos de gestão da empresa para melhor exercício de suas funções.

Não há previsão legal sobre os atributos deste profissional, mas à exemplo de países europeus onde o GDPR já vigora, recomenda-se que o Encarregado seja especializado em proteção de dados e reúna experiência legal/regulatória, em governança e segurança da informação.

No que diz respeito ao relacionamento com o consumidor, a empresa precisará elaborar políticas que estabeleçam de forma clara, precisa e acessível como ocorre a coleta, utilização, armazenamento, compartilhamento e transferência internacional de dados pessoais, medidas de segurança da informação, assim como os direitos do titular e instruções de como exercê-los.

Nesse sentido, é crucial a criação de uma estrutura organizacional e tecnológica que permita o cumprimento de requisições dos titulares, conforme os diversos direitos a eles concedidos na LGPD, tais como acesso, correção e eliminação de dados.

Isso significa que, se antes não havia normas rígidas em relação ao tratamento de dados pessoais dos cidadãos e algumas empresas abusavam desses dados, agora a coleta e uso de dados pessoais deverá ser realizada de forma mínima e justificável.

Isso, por sua vez, contribuirá para mais transparência, segurança e credibilidade para as empresas brasileiras, já que o Brasil caminha rumo à equiparação aos demais países que já possuem leis de proteção de dados, como as nações da União Europeia, Estados Unidos, Argentina, Chile, Colômbia, México e Uruguai.

Como se adequar à LGPD?

Como a LGPD traz diversas mudanças de paradigma, saber como se adequar à LGPD, sobretudo em um país que não tem uma cultura de proteção de dados, muitas vezes é complexo. Assim, a forma mais recomendada para realizar o processo de adequação é envolver a organização como um todo, através da formação de grupos multidisciplinares de trabalho nas áreas de negócio que realizam o tratamento de dados pessoais, com a coordenação do Encarregado ou de um Comitê de Segurança da Informação.

Também podem ser envolvidos profissionais externos especializados, com estratégia e procedimentos já consolidados. Contudo, cada empresa pode criar uma estrutura que melhor se adeque à sua realidade, seu momento e sua capacidade financeira.

Entretanto, existem roteiros padrão que podem ser implementados por grande parte das empresas para a adequação à LGPD, como o sugerido a seguir:

  1. Estudar a LGPD e demais leis que regulamentam o seu negócio;
  2. Mapear o fluxo de entrada, tratamento e saída dos dados pessoais no seu negócio;
  3. Mapear os riscos relacionados às atividades de tratamento;
  4. Elaborar o Relatório de Impacto à Proteção de Dados Pessoais, quando aplicável;
  5. Criar ou revisar a política de privacidade e adaptar os documentos internos e externos, incluindo contrato com fornecedores e clientes;
  6. Gerenciar as requisições dos titulares e da ANPD;
  7. Treinar as equipes internas que tratam dados pessoais;
  8. Ser compliant com a proteção de dados, através de regras de governança e boas práticas;
  9. Exigir de seus fornecedores o compliance com a proteção de dados;
  10. Conceber novos produtos e serviços com base no princípio de privacy by design; e
  11. Eleger um DPO com conhecimentos sobre a regulação de proteção de dados.

É importante destacar, ainda, que o processo de adequação à LGPD exigirá a mudança de mindset da empresa, por meio da criação de uma cultura de proteção de dados que deve partir dos membros da gestão e ser disseminada entre os funcionários da empresa.

Após a adequação inicial técnica e organizacional, a empresa deve manter um monitoramento constante e periódico de processos e medidas de segurança da informação, realizando inovações responsáveis e transparentes, baseadas em regras governança robustas e boas práticas.

Quais são os impactos da LGPD para a indústria de meios de pagamento?

Agora que você já sabe como se adequar à LGPD, entenda como ela afetará a indústria de meios de pagamento.

No que diz respeito ao mercado financeiro, mais especificamente à indústria de meios de pagamento, a natureza dos dados envolvidos já assegurava um tratamento mais transparente e seguro, em decorrência de leis setoriais existentes.

Entretanto, dentre tais dados, encontram-se dados financeiros e dados sigilosos, que podem eventualmente coincidir com dados pessoais, acumulando, assim, obrigações e responsabilidades, principalmente no que se refere à segurança da informação que deve ser garantida no tratamento destes dados.

Há, ainda, uma outra questão levantada no âmbito da LGPD: em relação à gestão de risco nas operações financeiras, a análise de dados é essencial para compreender o comportamento do consumidor e identificar de forma mais precisa potenciais fraudadores. Mas como é possível fazer isso sem ferir os direitos e a experiência do usuário? Como é possível estabelecer um equilíbrio?

Embora esse assunto esteja aberto à interpretação, a lei prevê que, se há alguma base legal para obter tais dados pessoais do cliente (nesse caso, o legítimo interesse do controlador de prevenir fraudes), não é preciso obter o consentimento do titular. Contudo, não é possível usar esses dados para qualquer outra finalidade que não esteja amparada em uma das bases legais previstas na LGPD.

Destaca-se, ainda, a discussão sobre o movimento do Open Banking, que segundo definição do Comunicado nº 33.455/2019 do BACEN “é considerado o compartilhamento de dados, produtos e serviços pelas instituições financeiras e demais instituições autorizadas, a critério de seus clientes, em se tratando de dados a eles relacionados, por meio de abertura e integração de plataformas e infraestruturas de sistemas de informação, de forma segura, ágil e conveniente”.

Nesse contexto, instituições financeiras e fintechs deverão adaptar todos os seus procedimentos, como de controles internos, cadastro, compliance e gestão de riscos, para um modelo digital, de forma a atender às necessidades de privacidade e segurança da informação, mantendo a integridade dos serviços em todos os processos e operações.

Analisando a posição do BACEN sobre o tema, entende-se que a titularidade dos dados financeiros é do cliente e não da instituição financeira, motivo pelo qual o cliente pode optar por compartilhar estes dados com outras instituições.

Desta forma, considerando que o Open Banking ainda não foi regulamentado, devemos acompanhar as próximas discussões sobre o tema. Entretanto, aparentemente, não se demonstra que o novo instituto financeiro conflita com a LGPD, visto o empoderamento do consumidor frente à titularidade de seus dados.

Porém, é uma discussão embrionária e um desafio para as empresas que integrarão este novo sistema que englobará, quase que simultaneamente, o compartilhamento de dados financeiros e a vigência de uma lei de proteção de dados, que deverão caminhar em conjunto.

Por fim, sobre o que diz respeito à eliminação dos dados pessoais, é importante salientar que as instituições de pagamento, por questões legais, são obrigadas a realizar e manter o cadastro dos clientes atualizado, por prazos determinados nos respectivos regulamentos e leis específicas.

Neste sentido, a LGPD autorizou a conservação dos dados pessoais para cumprimento de obrigação legal ou regulatória, devendo o controlador ou operador dos dados tratá-los considerando a finalidade da atividade, a boa-fé e o interesse público.

As principais perguntas sobre LGPD

1. Por que surgiu a necessidade dessa lei?

A lei nasceu com o propósito de garantir ao usuário mais privacidade e controle sobre seus dados, com o intuito de evitar uso inadequado pela parte de terceiros. Além disso, o objetivo é deixar claro quando uma empresa pode tratar um dado pessoal. Isso significa que ela deixa em evidência quando ela pode armazenar, processar e transferir essas informações.

2. Essa lei tem alguma relação com a certificação PCI CSS (Payment Card Industry Data Security Standard)? Se sim, qual?

A certificação PCI DSS foi desenvolvida por um comitê formado pelas empresas mais importantes de cartão débito e crédito, o PCI SSC (Payment Card Industry Security Standards Council). Esse padrão serve como um guia para as organizações que processam, armazenam e/ou transmitem dados do portador do cartão (ou dos titulares de cartão) para garantir a proteção desses dados, a fim de evitar fraudes que envolvam cartões de pagamento de débito e crédito.

As empresas que já possuem programas eficazes e maduros de conformidade com o PCI DSS dispõem das bases importantes para adotar as regras da nova LGPD em seus modelos de negócios. Nesse sentido, é de grande importância que as entidades que devem ser regidas pelo cumprimento da LGPD no Brasil cumpram os processos e as metodologias definidas pelo PCI SSC.

3. Onde já se pratica esse tipo de regulamentação e qual país juridicamente se assemelha mais ao Brasil?

O Brasil passou a fazer parte dos mais de 120 países que contam com uma legislação específica para proteção de dados pessoais e da privacidade dos seus cidadãos.

Outra regulação, que serviu como base para a elaboração da LGPD, é a General Data Protection Regulation (GDPR) da Comissão Europeia, que entrou em vigor em 25 de maio de 2018 e é aplicável a todos os países da União Europeia (UE). Também se destaca o California Consumer Privacy Act of 2018 (CCPA), nos Estados Unidos da América, implementado por meio de uma iniciativa em âmbito estadual, na Califórnia, em 28 de junho de 2018.

4. Ações de marketing também são contempladas por essa lei?

Sim. Segundo a LGPD, as principais influências nos processos cotidianos nas áreas de marketing e vendas serão:

Consentimento: o usuário deve permitir a captação dos dados livremente e de maneira esclarecida;

Transparência sobre o uso: o usuário tem o direito de saber de que forma serão usados os dados coletados, negar a autorização e ser atualizado caso a destinação mude posteriormente;

Remoção dos dados: o usuário poderá solicitar todas as informações que a empresa tem a respeito dele e exigir a remoção dos dados armazenados.

5. O remarketing é considerado uma infração?

Não necessariamente. Mas, conforme a LGPD, será obrigação da empresa informar sobre a utilização de cookies para a coleta de dados, inclusive se eles forem usados para campanhas no Facebook ou outras redes sociais, como é o caso do remarketing.

6. O que são dados sensíveis?

São os dados pessoais que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

7. Como fica a questão de venda de base de clientes?

Não será permitido que se venda dados pessoais ou que se realize qualquer outra operação sem que o titular dos dados tenha autorizado específica e expressamente o compartilhamento para esta finalidade determinada.

E então, entendeu como se adequar à LGPD?

A Zoop está pronta para ajudar sua empresa, facilitando todo esse processo de como se adequar à LGPD dentro de nossa plataforma de pagamentos.

Além disso, a Zoop possibilita que Marketplaces, ERPs, Empreendedores e outros tipos de negócios passem a gerenciar o fluxo transacional de seus clientes, gerando novas receitas através de serviços de contas digitais, splits de pagamento e antecipação de recebíveis.

→  Converse com um especialista! ← 

Com nossa plataforma de serviços financeiros e meios de pagamentos whitelabel, que conta com tecnologias de captura para maquininhas, boletos e outros meios de pagamento com sua própria marca, você elimina barreiras regulatórias, custos de desenvolvimento e tempo de implementação para sua empresa crescer focada no que faz melhor.

Junte-se ao iFood, Sympla, Avec e outras grandes empresas que também geram valor com serviços financeiros e crie sua fintech agora!

Lawyer at Zoop | Payments | Banking | Fintech | Corporate | Data Protection | EXIN Certified Professional