Saiba o que a lei permite com relação à tratativa de enriquecimento de dados de pessoas físicas e jurídicas
Neste artigo, vamos abordar sobre a relação de operações como enriquecimento de dados e a LGPD – Lei Geral de Proteção de Dados, utilizando como base o conteúdo do episódio 4 do DATAlks, podcast da Netrin sobre dados mestres e inteligência de informação para negócios. A gravação contou com a participação de Débora Ferraz, Advogada e consultora especialista em projetos de implementação da LGPD e Direito Digital. Débora é certificada por entidades como EXIN e Tlexames, Débora atua como Advogada Sr. na Vexia, oferece consultoria e assessoria especializada em Direito Digital. Possui formação em Direito pela PUC-SP e especializações voltadas ao Direito Digital, como Propriedade Intelectual, Privacidade e Proteção de Dados, Segurança da Informação, Blockchain, entre outras.
Não é novidade que a LGPD é a principal normativa que regula a utilização de dados pessoais. Porém, mais do que saber disso, é importante relembrar, como abordamos com mais profundidade neste artigo, a LGPD veio para reforçar boas práticas de processamento de informações de pessoas físicas e jurídicas, evitando riscos de fraudes, o uso indevido de informações e outros riscos na utilização de dados públicos.
Processar dados é algo que toda empresa invariavelmente lida em suas rotinas – seja no uso de ERPs, CRMs, sistemas financeiros, sistemas de gestão de notas fiscais, e outros. Toda e qualquer informação que circula nestes sistemas precisa estar regulamentada no crivo da LGPD – e quando fala-se sobre enriquecimento de dados, saneamento cadastral e outras práticas de prevenção a riscos e fraudes que utilizam tecnologias como o consumo de dados via API, machine learning e Big Data, é importante desmistificar algumas preocupações criadas a respeito da legislação.
O CEO da Netrin, Caciporé Valente, conversa com Débora sobre as preocupações das empresas nas ações e rotinas de prevenção de riscos e fraudes, que demandam a constante coleta de dados. Como garantir a segurança nas relações B2B e B2C sem infringir a lei? Débora, além de desmistificar algumas impressões sobre o uso de informações nas relações empresariais, esclarece como a lei se aplica em cada caso e enfatiza a importância de garantir parceiros de tecnologia que atuem regulamentados à LGPD.
Você pode optar por ouvir este áudio aqui:
Quais os tipos de tecnologia que envolvem o uso de dados?
Saneamento de dados cadastrais e Enriquecimento de Dados
A higienização de dados cadastrais é o processo de atualização, limpeza de dados e, dependendo da tecnologia, ela enriquece informações. Alguns dos dados adicionais como informações sobre sócios e administradores, certidões negativas de débitos, endereço de faturamento atualizado, inscrições estaduais, entre outros dados adicionais atualizados em fontes públicas.
Automações de consultas a dados via API
A automação de consultas a dados via API se caracteriza como a operação de consulta e coleta de dados integrada a sistemas diversos. A API consome os dados das fontes públicas e em tempo real devolve nos sistemas.
Autopreenchimento de cadastros (onboarding automatizado)
O onboarding automatizado também é uma tecnologia que coleta dados automaticamente, preenchendo informações cadastrais em sistema sem a necessidade de digitação humana. A performance das áreas de cadastro, faturamento, compras, se torna muito mais efetiva com a automação de onboarding.
Transações comerciais diretamente de ERPs
Alguns ERPs, como o SAP, possuem transações em que é possível automatizar a coleta de dados em tempo real. No Netrin SAP Compliance, ferramenta exclusiva e pioneira da Netrin, as empresas que possuem SAP conseguem realizar esta consulta diretamente de uma ordem de venda, compra, por exemplo, entre outras transações.
O que é de fato uma preocupação pertinente e o que é um pouco de mito criado a respeito da legislação?
De maneira geral, após a LGPD, muitas empresas adquiram uma insegurança em relação a atividades rotineiras que utilizam dados de empresas e pessoas físicas em seus processos de prevenção a riscos e fraudes.
Duas principais preocupações com a LGPD
- Estar adequado às normas da legi
Débora Ferraz afirma que, quando o assunto é prevenção a riscos e fraudes, a primeira e mais importante de todas as preocupações é estar adequado a LGPD, mais que uma questão pecuniária – pois as penalidades podem ser multas que podem chegar até a R$ 50 milhões de reais – é uma questão de confiança entre as empresas e os titulares dos dados. É a reputação da sua empresa que está em jogo. Sendo assim, estar adequado é uma preocupação de extrema relevância.
- Segurança das fontes de pesquisa e premissas para usar dados sem consentimento
A segunda e não menos importante, é saber se as fontes de pesquisa para prevenção às fraudes são fontes seguras. Isto porque, nos casos em que os dados pessoais tornados públicos não exigirem o consentimento do titular do dados, o tratamento deverá observar três premissas:
- A finalidade na qual os dados foram tornados públicos
- A boa-fé
- O interesse público que justificaram sua disponibilização.
Assim, contratar empresas que possuem um programa ou medida de proteção e privacidade de dados e estão comprometidas com a LGPD, como é o caso da Netrin, esta é uma decisão significativa que minimizará os impactos do seu processo.
Mitos relacionados a LGPD no uso de dados em massa
Big Datas chegaram ao fim: MITO
Quantos aos mitos, Débora afirma que, dentre tantos que já existem há pouco mais de um ano desde a entrada em vigor da LGPD, um dos mitos é que as Big Datas chegaram ao fim. a LGPD não proíbe a compilação em massa de dados, apenas exige alguma cautela para que isso aconteça de forma segura e transparente junto ao titular dos dados pessoais.
A LGPD não terá eficácia real: MITO
Também é mito a afirmativa que a LGPD não terá eficácia real. Débora reforça que a lei já está em vigor inclusive com sua agência fiscalizadora (ANPD – Autoridade Nacional de Proteção de Dados), que trabalha a pleno vapor editando normas que esclarece alguns aspectos da legislação, como os agentes de tratamento, tramites da fiscalização, aplicabilidade para empresas de pequeno porte e outros.
A LGPD regula o tratamento de dados de Pessoas Jurídicas: MITO
A advogada afirma que, primeiramente, “temos que lembrar que a LGPD regula tão somente o tratamento de dados de pessoas NATURAIS, não possuindo qualquer fiscalização quanto aos dados de pessoas Jurídicas”. A lei define em seu artigo 5º, inciso I que dado pessoal é a informação relacionada a pessoa natural identificada ou identificável.
Sendo assim, compilar e tratar dados de pessoas jurídicas não segue a mesma formalidade que a LGPD exige com pessoas físicas no que tange à verificação das bases legais e tratamento das informações.
A LGPD regula o tratamento de dados de Pessoas Físicas: VERDADE
O tratamento de dados de pessoas físicas, sim, ainda que ligadas diretamente ao negócio, devem observar os preceitos da LGPD. Assim, desde o momento da coleta da informação deve ser verificado o tratamento, mediante a definição de uma base legal, prevista no artigo 7º para dados triviais e no artigo 11 quando se tratar de dados sensíveis.
Superada a análise legal sobre o tratamento que irá ocorrer, a empresas então deverão estar atentas à transparência dada ao titular sobre todas as fases de tratamento, ou seja, da coleta ao descarte. Além disso, as empresas devem garantir que, antes que a coleta ocorra, o titular tenha conhecimento de maneira facilitada sobre cinco pontos específicos:
- A finalidade do tratamento
- A forma e duração do tratamento
- A identificação e informações de contato do controlador,
- As informações sobre o uso compartilhado de tais dados
- A responsabilidades dos agentes de tratamento e os direitos de tal titular.
Para os casos de tarefas automatizadas, ou seja, via inteligência artificial ou API, que criam cadastros para essas pessoas jurídicas, é recomendável que, sempre que possível, o processo permita a revisão das decisões tomadas garantido maior confiança nas relações comerciais.
Segurança da informação e comunicação com o titular de dados: cuidados importantes
Se uma empresa realiza uma análise financeira de determinado CPF para concessão de um crédito, por exemplo, deverá se atentar que nesse tipo de tratamento o consentimento do titular é dispensado, visto que a hipótese legal de tratamento nesse caso será para fins de proteção ao crédito. No entanto, para realizar a análise, é preciso deixá-lo ciente antes mesmo da coleta do CPF que o tratamento será feito para aquela finalidade especifica, com ou sem compartilhamento com terceiros e garantir que o titular socorra a seus direitos caso necessário.
É importante, obviamente, que as fontes de coleta sejam fontes seguras, (seja no uso de dados de pessoas físicas ou jurídicas) bem como o banco de dados em que as informações são armazenadas possuam um nível de segurança adequado garantido os pilares de segurança da informação que são: disponibilidade, integridade e confidencialidade da informação.
Consultas a fontes de dados governamentais: como a LGPD se aplica a estes casos?
Quer seja no mercado B2B ou B2C, quando processos de prevenção a risco e fraude necessitam da coleta de informações que envolvem dados pessoais, mas estas informações estão disponíveis em fontes públicas governamentais, tais como:
a. Sites da Receita Federal ou Estadual;
b. Dados de reputação como os criminais / judiciais;
c. Outras agências governamentais como IBAMA, Portal da Transparência, Pessoa Politicamente Exposta, CVM, etc;
Sobre estes casos, Débora afirma que dados pessoais tornados públicos por fontes governamentais estão regulamentos pela LAI (Lei de acesso à Informação) em conjunto a LGPD. Sendo assim, a LGPD dispensa o consentimento do titular para o tratamento, todavia, exige que as empresas observem a
- A finalidade na qual os dados foram tornados públicos
- A boa-fé no uso dos dados
- O interesse público que justificaram sua disponibilização.
Esta observação é importante porque os dados tornados públicos não podem ser utilizados sem qualquer nível de critério como bem entender as empresas. Como por exemplo, uma pesquisa financeira através de dados localizados em um perfil do Instagram.
LGPD frente aos processos de governança corporativa e cumprimento de legislações
A legislação brasileira também obriga as empresas a terem processos que previnam riscos. Desta forma se mantém uma governança corporativa adequada a legislações diversas como:
- Legislação de prevenção a lavagem de dinheiro e financiamento do terrorismo (PLD / FT)
- Lei Anticorrupção
- Lei de Prevenção a riscos ambientais
Estas e outras legislações exigem que as empresas coletem informações sobre seus parceiros de negócios e / ou consumidores, funcionários e parceiros para que as empresas estejam compliance com suas exigências.
Nestes casos, Débora afirma que não existem preocupações adicionais, porque a LGPD estabelece que o tratamento de dados pautado no cumprimento de uma obrigação legal ou regulatória dispensa o consentimento do titular dos dados. Sendo assim, não é necessário que a empresa formalize uma autorização por parte do titular para que o tratamento ocorra, sendo apenas necessário a comunicação sobre como o tratamento irá ocorrer, garantido um nível de transparência.
A Netrin é uma empresa adequada à LGPD e figura como operadora de dados
A Netrin, enquanto provedora de soluções de enriquecimento de dados, saneamento cadastral, entre outras, que você pode conferir aqui, funciona como uma operadora de dados. Sendo assim, a Netrin procede conforme as orientações de seus clientes – que figuram como os controladores de dados. Assim, os clientes, enquanto controladores, devem estar adequados à LGPD. Isto para que o tratamento dos dados fornecidos pela Netrin em consultas adicionais a partir de um dado inicialmente fornecido pelo cliente esteja em compliance com a lei.
A coleta inicial que será o apoio das pesquisas adicionais é feita pelo cliente, razão pela qual, este deve garantir a transparência ao titular dos dados sobre os tratamentos posteriores a coleta que serão realizados pela Netrin.
Entre em contato conosco e solicite uma demonstração.