Neste episódio, **Roberto Speicys**, co-fundador e CEO da Scipopulis, analisa a entrada recente em vigor no Brasil da **Lei Geral de Proteção de Dados (LGPD)**. O assunto é sério: dados pessoais são chamados de “o novo petróleo”, pelo valor que têm para muitos modelos de negócio onde são usados para prever comportamentos de consumo, sugerir produtos e antecipar necessidades. Toda essa indústria orientada por dados pessoais precisará se adequar rapidamente para atender à nova legislação. Entenda mais sobre este desafio na conversa a seguir:
**Fabiano:** Olá, seja bem-vindo ao **greenTALKS**, mais um canal de comunicação e conteúdo da green4T. Esse podcast estará disponível no Spotify, em nosso canal no YouTube e também em nossas mídias sociais.
Me chamo Fabiano Mazzei, e sou jornalista na green4T. Nesta quinta edição teremos uma conversa com **Roberto Speicys, cofundador e CEO da Scipopulis, sobre LGPD, a Lei Geral de Proteção de Dados**, que entrou em vigor.
**Fabiano:** Olá Roberto, muito obrigado pela presença!
**Roberto:** Oi Fabiano, eu que agradeço o convite. É um prazer estar de volta ao **green TALKS**.
**Fabiano:** Vamos começar definindo do que se trata a Lei Geral de Proteção de Dados e porquê ela é tão importante.
**Roberto:** Então, a Lei Geral de proteção de Dados (LGPD), **é a primeira lei do Brasil que disciplina o uso de dados pessoais** de cidadãos brasileiros ou de pessoas no território nacional.
Até então, a única lei que fazia menção a isso era o Marco Civil da Internet, que tratava muito superficialmente desta questão, dava algumas orientações, mas não especificava como estes dados pessoais poderiam ser usados e o que era legal ou não. Quais eram os limites do uso de dados pessoais.
Essa nova legislação brasileira vem na sequência de algumas legislações internacionais que começaram também a disciplinar o uso deste tipo de dado tanto nos Estados Unidos – especificamente na Califórnia – quanto na Europa, com a GDPR (General Data Protection Regulation), válida para toda a União Européia. Estas leis começaram a disciplinar o uso de dados pessoais e o Brasil veio na sequência para determinar também o que é possível fazer e o que não é.
A LGPD é importante por ser a primeira lei neste sentido no Brasil, **diz respeito não só os dados dos brasileiros, mas os dados que sejam tratados em território nacional** – como empresas que coletam dados no Exterior, mas tratam os dados aqui, e aquelas companhias estrangeiras que fornecem serviços ou coletam dados dentro do território nacional.
É importante ter uma lei de tratamento de dados pessoais porque **cada vez mais a gente usa computadores e outros equipamentos tecnológicos no dia a dia e eles coletam informações sobre o que a gente faz, o que a gente pensa, nossos gostos e preferências**. E sem uma disciplina no tratamento destas informações, a privacidade e até a vida das pessoas pode estar em jogo. Então, alguns efeitos ruins, negativos da falta de limites neste tratamento pode ser a pessoa ter uma vaga de emprego negado por informação vazada de uma doença que ela tenha. Pode causar problemas familiares e já tiveram até casos de suicídio, nos Estados Unidos, por conta de empresas que tiveram os seus dados vazados e o impacto negativo gerado na vida dos seus clientes.
É um assunto extremamente sério. **Dados pessoais são chamados hoje de “o novo petróleo”**. Muitos modelos de negócio usam dados pessoais para prever comportamentos de consumo, sugerir produtos e antecipar necessidades, podem causar efeitos danosos para o cidadão também. Por isso, é importante que se estabeleça quais os limites de uso destes dados para evitar este tipo de situação de suicídio e até assassinato a partir de informações pessoais vazadas.
**Fabiano:** Perfeito. Ficou clara a noção da importância deste tema e desta legislação. Agora, eu quero saber qual o impacto da LGPD na indústria do TI?
**Roberto:** O impacto é muito grande porque, hoje em dia, **grande parte destas empresas que atua na área de tecnologia tratam algum tipo de dado pessoal.** É muito difícil você encontrar algum modelo de negócio – desde varejo online, que precisa de nome e endereço das pessoas para a entrega dos produtos e acumula histórico de compras e interesses dos clientes; a área de reconhecimento facial e aplicação de aprendizado computacional para identificação de imagem, de face, enfim, tem uma série de aplicações de tecnologia que acabam tratando de dados pessoais aos quais a LGPD se aplica.
Então, **a LGPD define uma série de requisitos para o tratamento de dados pessoais**, desde o direito ao que o indivíduo saiba que o seu dado está sendo tratado ou não pela empresa até o suporte de apagar os dados da pessoa se ela solicitar – uma vez que eu trate estas informações, eu preciso permitir que essa pessoa possa apagar os seus dados e preciso comprovar que atendi a essa solicitação.
Todo o mercado de TI terá de se adaptar a isso e mudar não só processos, mas os produtos também, para que eles possam tratar os dados pessoais de acordo com o determinado pela LGPD.
Um caso, por exemplo, é a concessão de dados pessoais para empresas terceiras, que era algo realizado por grande parte das empresas para que outras tratassem estes dados e inferissem alguma informação, fizessem alguma campanha de marketing direcionado ou algo neste sentido. E isso, agora, vai ficar muito mais limitado e disciplinado. Estas empresas vão precisar da autorização do cidadão para conceder os dados deles.
Vai precisar **redesenhar produtos e até modelos de negócios** que eram apoiados na venda de dados pessoais para tentar identificar outras formas de sustentabilidade econômica, outras fontes de receita que não seja a comercialização de dados pessoais, coletados com o motivo único de monetizar isso perante parceiros.
**Fabiano:** Como você explicou agora, as empresas que têm negócios com base na análise de dados terão de se adaptar de uma forma muito rápida para continuarem ativas e legalizadas, não é?
**Roberto:** Sim, existia muito um padrão nas empresas que dizia assim: na dúvida, coleta o dado. Quer dizer, eu não sei muito para que eu vou usar, mas já tenho aqui a pessoa que está usando o meu aplicativo, vamos coletar o máximo de informações dele possível para depois ver se a gente consegue usar isso para alguma coisa e, eventualmente, monetizar vendendo para terceiros. Então, existia essa tendência do guarda-chuva coletar o máximo de informações possível e, depois, ver o que acontece.
Isso se tornou um risco! Em inglês, é ‘liability’ (responsabilidade): **quanto mais dados pessoais você armazena em sua estrutura, maior o risco de você ter uma ação legal contra isso,** ter de responder judicialmente sobre isso, pagar multas bastante altas que, agora, a LGPD prevê. Então, para as empresas ficará mais barato você ter o mínimo de dado pessoal possível do cliente/usuário para você conseguir realizar o seu negócio.
Agora, passa a existir uma tendência da outra forma: ao invés das empresas coletarem o máximo de dados pessoais possível, para depois ver o que dá para fazer com eles. **Agora o objetivo é: qual a menor quantidade de dados pessoais possível que a gente precisa coletar para continuar sendo eficiente e realizando o nosso negócio.** Muda muito o modo de pensar: com a LGPD, guardar dados pessoais é risco.
**Fabiano:** Perfeito. Falando de administração pública agora, como este setor será impactado pela LGPD no que diz respeito, por exemplo, ao uso de dados pessoais pelas forças de segurança pública ou pelo próprio sistema de saúde?
**Roberto:** Tem um conceito muito importante na LGPD que eles chamam de “**hipótese de tratamento de dados**”. Nada mais é que a razão pela qual aquela empresa/serviço está coletando dados pessoais. E muita gente pode imaginar que será preciso o consentimento do cidadão para ter seus dados coletados, mas não será sempre.
Existem diversas hipóteses na LGPD que não exigem este consentimento do cidadão. O tratamento de dados pessoais pelo poder público é uma delas. Ele tem o direito de tratar os dados, de acordo com a LGPD, que não disciplina os limites e a forma de tratamento por parte das entidades públicas. Parte-se do princípio de que os governos precisam tratar as informações do cidadão, que é uma das razões pelas quais a administração pública foi criada: coletar dados do território e dos cidadãos para fazer a gestão dos recursos daquele local.
No momento, a LGPD entende que **a coleta de dados pelo governo não necessita de autorização do cidadão**, e que este tratamento será disciplinado em outra lei complementar. Então, ainda não está claro como será o tratamento de dados por parte dos órgãos governamentais e, em particular, a área da saúde pública como você citou.
**Agora, é diferente com a saúde privada**. Hospitais, clínicas e empresas privadas que atuam na área da saúde e bem-estar, e que acumulam dados pessoais para fornecer seus serviços estão enquadradas na LGPD na categoria de ‘dados pessoais sensíveis’, aos quais as proteções e as restrições são ainda maiores. Então, estas companhias já devem se adequar rapidamente à LGPD.
**Fabiano:** Muito bem. Para finalizar e pensando de forma muito prática, a partir da LGPD, quais seriam os passos para as empresas e organizações se prepararem para garantir a segurança das informações que elas trabalham?
**Roberto:** A segurança é um dos requisitos da nova lei. Parte-se do princípio de que, se a empresa processa dados pessoais, o mínimo é fornecer segurança destes dados. Mas, como eu disse, este é apenas um dos requisitos da LGPD. Tem diversos outros, tanto de informar o cidadão do tratamento de suas informações pessoais, o direito que ele tem de corrigir dados que estejam incorretas, de solicitar a exclusão do cadastro, enfim, tem diversos outros direitos que a LGPD regulamenta.
Mas o primeiro passo que uma empresa tem de fazer para se adequar à LGPD é **um estudo de impacto de privacidade dos seus produtos.** Então, analisar para cada produto colocado no mercado, se eles utilizam informações pessoais, qual o perfil delas, como estes dados são armazenados, qual o nível de acesso a eles. Em resumo, fazer um levantamento do estado atual da empresa com relação ao tratamento de dados pessoais.
É importante também notar que este processo não é pontual: não basta fazer este estudo de impacto uma única vez e achar que a empresa está respeitando a LGPD. A medida que os produtos e processos evoluem, que a empresa muda ao longo do tempo, o acesso a estes dados pode mudar, a quantidade e a forma de uso destes dados também. Então, **este processo de avaliação deve ser cíclico e constante**, para que a empresa continue respeitando a LGPD.
A partir deste processo inicial de impacto de privacidade, a empresa deve redesenhar produtos e processos, em termos de **controle de acesso e segregação dos dados pessoais, repensar a forma de registro de novos dados e garantir os direitos do cidadão sobre as suas informações.** Então, como tudo evolui e existe essa dinâmica, tudo isso tem impacto no tratamento dos dados pessoais. Por isso que é importante que estas avaliações sejam feitas periodicamente para manter a empresa dentro da legislação.
**Fabiano:** Muito bem, certamente este é um tema muito interessante e que ainda renderá muitos outros debates a respeito. Nós conversamos aqui com Roberto Speicys, co-fundador e CEO da Scipopulis, sobre a LGPD – a Lei Geral de Proteção de Dados.
Roberto, muito obrigado por compartilhar os seus conhecimentos aqui conosco.
**Roberto:** Imagina, Fabiano! Espero que tenha sido interessante aí para quem ouviu. Como você disse, é um assunto gigantesco, que tem repercussões em várias áreas da empresa e da própria sociedade, e eventualmente a gente pode aprofundar em alguns itens, mas espero que, para uma introdução, a LGPD tenha sido interessante. Muito obrigado pelo convite!
**Fabiano:** Nós que agradecemos! Então é isso, convido você a continuar a acompanhar o nosso podcast e também outros conteúdos relevantes no blog INSIGHTS, no site da green4T.
Nós esperamos que tenha gostado desta edição. Muito obrigado e até o próximo programa!