No dia 16 de abril, a Telefônica Brasil S.A. recebeu um despacho do Ministério Público do Distrito Federal e Territórios (MPDFT) para elaborar um Relatório de Impacto à Proteção de Dados Pessoais. Trata-se de um mapeamento completo com propósito de identificar como é feito o tratamento dos dados associados ao produto Mídia Geolocalizada do serviço Vivo Ads.
A companhia está sendo investigada desde o ano passado por supostamente utilizar dados dos clientes, como perfil, localização e comportamento de navegação para vender publicidade. O serviço possui cerca de 73 milhões de titulares de dados.
O requisito do MPDFT mostra como poderão ser feitas as investigações da Autoridade Nacional de Proteção de Dados (ANPD) após a Lei Geral de Proteção de Dados (LGPD) entrar em vigor. Veja os principais tópicos que devem conter no Relatório da Telefônica.
1 – Como a organização faz o tratamento de dados dos titulares pessoais;
Uma análise completa de todos os processos realizados com os dados. Esse item concerne em coleta, armazenagem, utilização, acesso, compartilhamento, sensibilidade e a natureza dos dados.
2 – Como a organização avalia a necessidade e escala do tratamento de dados;
Isso significa que a empresa precisa mostrar de que maneira os processos são efetuados, como garantia de qualidade, cumprimento da legislação e quais são as medidas de proteção para o compartilhamento dos dados.
3 – Como a organização identifica e avalia os riscos;
Nesse ponto, a companhia deve expor como sua governança identifica vulnerabilidades em sua operação e qual a chance de elas colocarem em risco a privacidade e dignidade dos titulares de dados.
4 – Como a organização identifica e mitiga os riscos.
Nesse item, a Telefônica terá que mostrar como sua gestão de Segurança da Informação está preparada para mitigar ou remediar incidentes. Aqui, o MP sugere que a empresa faça anonimização de dados, utilize soluções tecnológicas, tenha uma equipe para gerenciar riscos, implemente uma política de S.I e treine seus colaboradores, a fim de antecipar riscos.
O que é ANPD e qual a semelhança com a ação do MPDFT
A ANPD é o órgão responsável por implantar a legislatura e fiscalizar o seu cumprimento. A entidade terá um comitê diretor formado por cinco membros e um conselho integrado por 23 representantes dos setores público e privado. Ou seja, a unidade irá controlar, supervisionar e estipular punições para empresas em não conformidade ou que cometam infrações da Lei.
Para entender a semelhança do Despacho com as demandas designadas à ANPD, conversamos com Simone Santinato. Simone é advogada sênior, especialista em Lei Geral de Proteção de Dados (LGPD) e CFO da Etek NovaRed Brasil.
Para a ela “a legitimidade da ação do MPDFT é questionável pois o texto da MP 869/18 deixa claro que a competência para a matéria de LGPD é da ANPD e não do Ministério Público. Isso está escrito de maneira expressa no Art 12 da Medida Provisória”, informa Simone.
A advogada diz ainda que a requerida no Despacho, assim como outras empresas, está no prazo para se adequar à LGPD e se preparar para responder esse tipo de demanda, visto que a Lei ainda não está em vigor. Simone alerta que a ação do Ministério Público “é interessante no sentido de demonstrar como poderão ser futuramente as notificações da ANPD.”
O requisito do MP e o esclarecimento da Dra. Simone mostram como as empresas devem estar preparadas para os desafios da LGPD. Este caso mostra como o cenário pode se tornar mais árduo para quem não tem uma gestão de Segurança da Informação engajada e em conformidade. Além disso, a ação do MP é uma demonstração de como as exigências das autoridades serão mais acentuadas a partir da vigência da LGPD.
