Mobits

Este post é meramente informativo, não realizamos consultoria jurídica nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.

Diversos casos de vazamento de dados pessoais ou mesmo o uso indevido dessas informações se tornaram públicos nos últimos anos em todo mundo, como o escândalo envolvendo o Facebook, que teve que se explicar à Justiça e foi condenado a pagar uma multa de 5 bilhões de dólares, além de cumprir com uma série de obrigações em sua rede social. Por conta desses casos, os países tem se preocupado com a questão da segurança, afinal ninguém gosta de ter sua vida exposta ou seus dados disponibilizados a empresas ou serviços sem autorização.

A GPDR atualizou a lei de privacidade europeia de 1995, com o objetivo de garantir transparência aos cidadãos no que diz respeito ao uso dos seus dados. As grandes empresas de tecnologia têm cumprido as exigências até mesmo em relação a clientes que não moram na Europa.

Aqui no Brasil, deverá entrar em vigor em agosto de 2020 a Lei Geral de Proteção de Dados Pessoais (LGPD). Ela vem para colocar o país no mesmo patamar das nações europeias e norte-americanas no combate ao tratamento indevido de dados na internet. Todas as empresas devem se adequar às novas exigências, caso contrário estarão sujeitas a pagar severas multas.

Os shoppings, assim como as demais empresas, também devem se ajustar à LGPD. Afinal, os dados são ferramentas estratégicas para o marketing do shopping, como já mencionamos por aqui. Entenda os principais pontos da LGPD e como seu shopping deverá se adequar à ela.

O que é?

A Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/18, estabelece os princípios, direitos e deveres que deverão ser observados no tratamento de dados pessoais.

O principal objetivo é garantir a privacidade dos dados pessoais e permitir um maior controle sobre eles. Além disso, a lei cria regras claras sobre os processos de tratamento (ou seja, como são coletados, armazenados e compartilhados), o que ajuda a promover o desenvolvimento tecnológico na sociedade e a própria defesa do consumidor.

O que são dados pessoais?

Segundo a lei, dado pessoal é qualquer informação relativa a pessoa “identificada ou identificável”. Isso quer dizer que um dado é considerado pessoal quando ele permite a identificação, direta ou indireta, da pessoa natural por trás do dado, como: nome, sobrenome, data de nascimento, documentos pessoais (como CPF, RG, CNH, Carteira de Trabalho, passaporte e título de eleitor), endereço residencial ou comercial, telefone, e-mail, cookies, endereço IP, entre outros.

Há também o dado pessoal sensível, que revela a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas; filiação sindical; dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano; dados relacionados com a saúde; dados relativos à vida sexual ou orientação sexual da pessoa.

Não são considerados dados pessoais: as fotos publicadas em redes sociais - pois tornam-se públicas, dados de pessoas jurídicas e as informações completamente anônimas.

Outras definições

• ANPD: Autoridade Nacional de Proteção de Dados, órgão criado pelo governo que será responsável pela fiscalização.
• Controlador: responsável pelos dados pessoais coletados, cabe a ele as decisões referentes ao tratamento de tais informações. É o Controlador que está no topo da cadeia de tratamento de dados.
• Operador : poderá realizar o tratamento de dados a pedido de um Controlador.
• Agentes de tratamento: Controlador e Operador.
• Encarregado: nomeado pelo Controlador, pode ser pessoa física ou jurídica, de direito público ou privado, é o canal de comunicação entre o Controlador e os titulares de dados pessoais e a ANPD.
• Titulares: indivíduos aos quais as informações pertencem.

Quais são as obrigações previstas?

Os agentes de tratamento devem adotar medidas de segurança para proteger os dados pessoais de seus clientes. As principais obrigações são:

• Obter consentimento explícito para a coleta de dados

É obrigatório o consentimento explícito do titular para armazenamento dos seus dados e o Controlador deve ser capaz de provar isso a qualquer momento. Fica proibido ceder ou vender informações de contato de potenciais clientes para divulgação de produtos e serviços de terceiros, por exemplo. Está proibido até mesmo o uso dos dados por parte da própria empresa para uma finalidade diferente daquela que foi combinada com o cliente.

Para os dados sensíveis, o processo é ainda mais rigoroso. Nesse caso, é necessário consentimento específico, para uma finalidade específica. Eles só poderão ser coletados ou compartilhados sem o consentimento do titular em situações específicas, como o cumprimento de uma obrigação legal pelo responsável; uso para políticas públicas; tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; entre outros.

No caso de dados de crianças e adolescentes, é preciso o consentimento de ao menos um dos pais ou responsável legal.

• Facilitar o acesso aos dados pessoais

Os agentes de tratamento devem facilitar o acesso aos dados pessoais pelo titular, sendo de forma clara e completa como foi no cadastro. Um exemplo é fornecer através de um arquivo .csv.

• Limitar a coleta de dados pessoais

Os dados devem ser utilizados somente para os propósitos informados pelo serviço prestado.

• Garantir eliminação total de dados pessoais

A eliminação dos dados pode se dar pela seguintes formas:

• finalidade do uso daqueles dados foi alcançada;
• término do período de tratamento;
• solicitação feita pelo titular;
• solicitação feita por uma autoridade nacional.

Os dados devem ser eliminados por completo, não podendo o Controlador manter estes dados em registro de alguma forma.

• Fazer um relatório de registro de dados

As atividades de tratamento de dados devem ser registradas em relatório. Deve-se manter um registro das operações realizadas, que pode ser das mais variadas formas, sendo a mais comum por registro eletrônico. Os dados a serem registrados podem ser, por exemplo: atividade desenvolvida, data, hora, identificação da pessoa natural que realizou o processo, meios que foram utilizados (como sistemas e softwares) entre outras.

• Garantir a segurança dos dados

Devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Em caso de incidentes de segurança envolvendo os dados, nas situações aplicáveis, notificar os clientes e também a Autoridade Nacional. A comunicação envolve algumas formalidades, como a descrição da natureza dos dados afetados, as informações dos titulares envolvidos, a indicação das medidas técnicas e de segurança que são utilizadas para a proteção dos dados, o motivo da demora da comunicação (se houver) e as medidas que serão adotadas para reverter o prejuízo.

Conclusão

Há ainda muita discussão sobre a abrangência da lei. Até que ela entre em vigor, não se sabe se haverá o mesmo rigor na fiscalização e punição para os diferentes tipos de organizações. De qualquer forma, toda empresa com algum tipo de cadastro de dados pessoais ficará sujeita à LGPD. E no caso da solução Mobits Plaza, tanto o shopping (controlador de dados) quanto a Mobits (operadora de dados) devem efetuar as adequações das suas práticas ao novo regulamento.

Independentemente de quais medidas seu shopping adote, é importante lembrar que o grande objetivo de toda essa mudança é aumentar a segurança dos dados dos cidadãos e a transparência das empresas.