O que precisamos saber sobre as diretrizes da Lei Geral de Proteção de Dados, a LGPD?

O que precisamos saber sobre as diretrizes da Lei Geral de Proteção de Dados, a LGPD?

A lei geral procura proteger a integridade do usuário depois dos inúmeros vazamentos de dados ocorridos entre os anos de 2019 e 2020

Heitor Augusto Colli Trebien

 

Como podemos observar nas eleições de 2019, muitos dados foram usados de maneira indevida para atacar determinados segmentos sociais e o impacto disso parece ter se agravado em 2020. As fake news afetaram diversos setores sociais e o marketing foi fortemente baseado em informações falsas para deturpar a imagem dos adversários políticos. Para lidar com esse contexto, a Lei Geral de Proteção de Dados (LGPB), a lei nº13.709, originalmente aprovada em 2018, entrou em vigor em agosto de 2020. 

Em 2021, as notícias sobre o tema começaram a ser publicadas, dentre as quais algumas podem ser acessadas ao final deste artigo, nas referências. Precisamos repensar a forma como lidamos com os dados pessoais nas mídias digitais e essa lei entrou como proposta de proteção e solução contra invasões e uso indevido da informação.

Observado esse fenômeno, surge a necessidade de sabermos para qual finalidade nossos dados estão sendo coletados. Além da finalidade, precisamos saber como são armazenados, gerenciados e protegidos. Ou seja, devemos saber o que acontece após a coleta. Quando os dados vazam, não só a instituição ou empresa ficam prejudicados, mas os usuários / clientes de modo geral.

Um dos principais objetivos da LGPB é oferecer aos usuários segurança jurídica quanto à coleta, armazenamento, tratamento e compartilhamento dos dados pessoais enviados à empresa. A Lei visa garantir transparência e privacidade no uso dos dados pessoais tanto na esfera pública como na privada.

A Lei engloba diversos setores, como o titular, que se enquadra como cliente (o detentor dos dados); o controlador, responsável por escolher como os dados serão tratados e por quem; o operador, quem de fato opera sobre os dados; e o encarregado, o mediador entre empresa, titular e a Autoridade Nacional de Proteção de Dados (ANPD). 

A partir de agosto de 2020, todas as empresas devem seguir a atualização da Lei Geral de Proteção de Dados (LGPB) e verificar se os seus projetos estão de acordo com a referida lei. Caso não o façam, poderão ser multadas pela (ANPD).

Toda empresa, a partir do momento que coleta dados, seja por chatbot, telefonema, URA ou outro meio, deve informar ao usuário que a conversa está sendo gravada ou pedir para conferir os Termos de Uso e Política de Privacidade. O link para esse documento deve ser disponibilizado para o cliente acessá-lo facilmente e concordar ou discordar do termo. O diálogo só continuará se a pessoa consentir e ela deve ter consciência disso.

Caso a empresa modifique o Termo e Política de Privacidade, deve avisar antecipadamente o usuário para que ele o aceite ou o rejeite. Se o termo foi modificado pela empresa sem o consentimento, ela poderá ser multada. Mesmo que o cliente já tenha assinado o contrato com o consentimento, a sugestão geral é que os bots reforcem a informação sobre a Política de Proteção de Dados e qual a finalidade do uso desses dados pessoais.

A seguir, elaboramos uma checklist que as organizações podem seguir para ajudá-las a se atualizarem para a nova lei:

 

  • Manter sempre atualizada a Política de Privacidade;
  • Fortalecer as melhores práticas de segurança da informação e verificar possíveis problemas que possam acontecer durante a coleta e o tratamento indevido dos dados;
  • Envio de autorização sobre o consentimento do tratamento de dados de acordo com a finalidade informada pela empresa, de forma clara e de fácil compreensão;
  • Ter cuidado no tratamento desses dados pessoais desde a entrada até a exclusão e descarte de forma segura;
  • Analisar, identificar e mapear os riscos durante a coleta e no tratamento dos dados pessoais;
  • Manter o acesso restrito aos dados pessoais dos usuários;
  • Organizar os funcionários de acordo com suas funções – Controlador, Operador e Encarregado;
  • Possuir plano de contingência;
  • Orientar o bot, no fluxo de diálogo, a pedir a autorização da pessoa para acessar os dados pessoais;
  • Programar o bot para enviar mensagens instrutivas sobre o armazenamento e processamento desses dados;
  • O bot também precisa se preocupar com a privacidade dos dados, ao mesmo tempo em que pesquisa as melhores estratégias para solucionar o problema de forma personalizada;
  • Todas as informações sobre o Termo e Política de Privacidade devem ser fornecidas, preferencialmente por texto e fala;
  • Enviar a autorização do Termo de Consentimento dos Dados ao cliente;
  • Fluxos para exclusão de dados devem ser programados e informados ao usuário; 
  • Programar um algoritmo capaz de informar que se trata de um bot, que explique os motivos dos dados serem coletados e que verifique a identidade da pessoa antes de encaminhar dados sensíveis;
  • Se ocorrer um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados.

*** Atenção redobrada para o público considerado sensível e de vulnerabilidade, como crianças, adolescentes, origens raciais e étnicas historicamente marginalizadas, religiosidade, opinião política divergente, filiação sindical, questões genéticas/biométricas, questões de saúde e sexualidade. Por exemplo, no campo da saúde, se um laudo médico for enviado para a pessoa errada, a consequência pode ser uma multa.

O algoritmo da inteligência artificial deve ser treinado para saber manejar a situação caso entre em contato com a pessoa errada. Se o usuário informou que não é o destinatário correto, o robô deve ser capaz de analisar a situação e não expor os dados para outras pessoas.

Deve-se verificar a identidade e não desconsiderar o que o cliente afirma durante o diálogo. A ética do algoritmo deve ser levada em consideração, isto é:

 

  • O algoritmo possui viés estatístico? 
  • Possui viés social que reflita vantagens sistemáticas para um ou mais grupos em desvantagem aos demais? 
  • É transparente em sua arquitetura e quanto aos critérios e métricas para a tomada de decisão automatizada?

 

Essas perguntas ajudam a deixar o bot mais honesto e confiável no momento de interagir com o usuário.

Atenção! A Lei também exige que o contato do DPO (Data Protection Officer), o operador responsável pelo tratamento de dados, seja divulgado pelas empresas. Deve ser feito, preferivelmente, no sítio eletrônico da empresa, mas se o atendimento for realizado via bot, essa informação precisa ser expressa de modo claro no fluxo conversacional do atendente virtual. Caso as leis não sejam devidamente seguidas, existe a possibilidade de uma multa de até 2% do faturamento anual da organização, com um teto limite de 50 milhões de reais por infração. Vale destacar que antes da aplicação da multa, a ANPD irá notificar e orientar a empresa.

Para conferir se a organização está de acordo com a LGPD, acesse o link: https://www.serpro.gov.br/lgpd/@@questionario_view. O teste, desenvolvido pelo Governo Federal e pela Serpro (Serviço Federal de Processamento de Dados) visa verificar e auxiliar as organizações a ficarem quites com as leis propostas. Ao mesmo tempo, para aqueles que tiverem interesse, oferece materiais e conteúdos que ajudam no processo de a empresa estar em conformidade com a LGPD.

 

 

Referências

BUTCHER, Isabel. Patricia Peck apresenta exemplos de desconformidade de bots com a LGPD. Mobile Time, 24 ago. 2021. Disponível em: <https://www.mobiletime.com.br/noticias/24/08/2021/patricia-peck-apresenta-casos-de-desconformidade-de-bots-com-a-lgpd/>. Acesso em 26 ago. 2021.

GOVERNO FEDERAL. O que são dados sensíveis, de acordo com a LGPD. Serpro. Disponível em: <https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-sensiveis-lgpd>. Acesso em 26 ago. 2021.

GOVERNO FEDERAL. O que muda com a LGPD. Serpro. Disponível em: <https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd>. Acesso em 26 ago. 2021.

GOVERNO FEDERAL. Serpro e LGPD: segurança e inovação. Serpro. Disponível em: <https://www.serpro.gov.br/lgpd>. Acesso em 26 ago. 2021.

INBOT. LGPD: Como adequar seu Chatbot às diretrizes dessa nova lei. Disponível em: <https://www.inbot.com.br/blog/como-adequar-seu-chatbot-a-lgpd/>. Acesso em 26 ago. 2021.

PAIVA, Fernando. Bots precisam se adequar à LGPD. Mobile Time, 11 ago. 2021. Disponível em: <https://www.mobiletime.com.br/noticias/11/08/2021/bots-precisam-se-adequar-a-lgpd/> Acesso em 26 ago. 2021. 

PECK, Patrícia. O que é LGPD?. YouTube, canal I2AI – Conexões Inteligentes, 13 ago. 2021. Disponível em: <https://www.youtube.com/watch?v=eFqZUf8qDAg>. Acesso em 26 ago. 2021.

PRESIDÊNCIA DA REPÚBLICA. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Secretaria-Geral Subchefia para Assuntos Jurídicos. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em 26 ago. 2021.