Essa base de dados não é sua

Apesar da LGPD – Lei geral de proteção de dados pessoais ter entrado em vigor em setembro de 2020 e suas multas em agosto de 2021, o comportamento das empresas em relação a esses dados não mudou. A grande maioria não fez nenhuma adequação, algumas fizeram uma “adequação superficial”, trazendo alguns itens que ficam mais visíveis ao público, todavia sem a seriedade que o tema exige e um mínimo, realmente estão interessadas em cumprir a LGPD e as normas correlatas.

Até o marco da LGPD as empresas coletavam, acumulavam, compravam, usavam, vendiam, compartilhavam como lhe convinha, sem restrições. Essa prática não é mais possível com a chegada da LGPD, todavia, a norma vem sendo ignorada intensamente.

E vamos além. Se não bastasse a falta de adequação da própria empresa, não há o mínimo de cuidado com o compartilhamento desses dados e com os fornecedores contratados e envolvidos nesse tratamento. O máximo que estou vendo é um Termo de confidencialidade e vamos em frente.

A ANPD (Autoridade nacional de proteção de dados) lançou agora no dia 12/05/23 uma nota técnica sobre o uso de dados pessoais no ramo farmacêutico, ramo que já passou por alguns eventos relacionados a LGPD, como a multa que o Procon Estadual aplicou de R$ 572.680,71 à Rede de Farmácias Raia/Drogasil em Mato Grosso por obter de forma irregular a autorização dos clientes para o tratamento e uso de seus dados pessoais.

A conclusão do estudo foi que há baixa maturidade dos agentes de tratamento do setor de varejo farmacêutico no que se refere à proteção da privacidade e dos dados pessoais, o que tem prejudicado o direito à informação dos titulares. Eu estendo esse entendimento a todos os segmentos. Algumas empresas sequer têm ciência das exigências da LGPD e vejo isso no meu dia a dia, quando avalio fornecedores dos meus clientes ou quando abordo empresas sobre o tema.

Um tópico que chamou minha atenção na referida nota técnica e que observo o enorme desconforto e/ou descontrole das empresas, é sobre o compartilhamento de dados.

No caso da nota, vejam a abordagem sobre programas de fidelidade terceirizados:

21.18 A exemplo de outros programas de fidelização de consumo, a Méliuz possui uma rede transversal de empresas conveniadas (grifo nosso) (mais de 1.600, dos mais diversos setores, p. ex: Mercado Livre, Uber, Magalu, ifood, Booking, Adidas, Natura, Renner, Submarino, entre outros). (…)

21.19. Preocupa constatar esse tipo de compartilhamento (grifo nosso) de dados pessoais, especialmente quando decorrente de coleta em grupos farmacêuticos, já que o histórico de compras realizadas pode dar ensejo a inferências acerca de dados pessoais sensíveis, como já fora observado. Além disso, há dúvidas quanto a quais dados são compartilhados com quais agentes de tratamento (grifo nosso), já que a política de privacidade da Méliuz não esclarece com exatidão essas informações. Seria necessário esclarecer melhor esses pontos de questionamento a fim de verificar com exatidão a adequação das formas de tratamento de dados pessoais e de dados sensíveis de titulares no âmbito das farmácias.

 As empresas contratam um fornecedor (operador na LGPD), terceirizando uma atividade, mas esse fornecedor também tem os seus fornecedores (suboperadores segundo o guia da ANPD), mas ninguém sabe disso, não há transparência. Será que o titular do dado sabe que quando ele entra no programa de fidelidade seus dados vão para esse mundo de “empresas conveniadas” e quais dados vão? Com certeza não.

Como menciona a nota da ANPD, “não são disponibilizadas informações adequadas para permitir ao titular compreender a amplitude do tratamento, sua finalidade, e para entender a consequência do procedimento de se opor ao tratamento de seus dados, muitas vezes sensíveis (como, por exemplo, a coleta de dados biométricos, que nesse contexto pode ser considerada uma prática excessiva).”

Por isso, entre outros motivos, a ANPD constata a baixa maturidade (e acrescento, nenhum interesse) dos agentes de tratamento.

As empresas não entenderam que esses dados pertencem ao titular do dado e a empresa precisa prestar contas ao titular. Não pode sair compartilhando da forma que desejar e sem controle, como era de praxe no mercado. Para quem não sabe, prestação de contas é um dos princípios da LGPD. Desta forma, a Empresa que coleta e é a Controladora desses dados, precisa ter gestão detalhada, incluindo Operadores e seus suboperadores (todos adequados a LGPD), pois todos eles entram na cadeia de responsabilidade. É necessário estar documentado o que o fornecedor (operador) pode e deve fazer com esses dados.

Lembrando que, quando o titular exerce um dos seus direitos: solicitar informações acerca do uso compartilhado de dados pelo controlador e a finalidade, essa cadeia de compartilhamento precisa ser informada, sob pena de descumprimento da LGPD.

Até a próxima #dosedelgpd

 

CONHEÇA MAIS SOBRE ALESSANDRA WOLFF:

Advogada, DPO por assinatura, Membro da Comissão Especial de Privacidade e Proteção de Dados – OAB/SP, contratos e negociações de TI, Diretora na W&S Central IT – Joinville e São Paulo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

plugins premium WordPress