Como alguns já sabem, deixei de publicar aqui no site nos últimos dias por dois motivos: a) Estava me preparando para a prova de LGPD no âmbito da certificação CDPO/BR (na qual fui aprovado – mais uma certificação da IAPP para a conta); b) Estou novamente em Portugal, ficando por aqui por alguns dias com trabalho à distância. Mas estes fatos não me impediram de passar por determinadas situações e verificar que muito ainda precisa ser feito na área da proteção de dados no Brasil.
A primeira situação ocorreu quando vi uma publicação no LinkedIn falando a respeito de determinada plataforma oferecendo determinado serviço na área de proteção de dados. Achei interessante, até porque já uso este serviço de um outro prestador, e quis ver como funcionava.
O site é muito bem feito e traz todas as informações sobre o serviço, que parece ser gratuito (não encontrei nenhuma opção de pagar pelo serviço). Tem as informações sobre o endereço no rodapé, com contato e telefone. E apesar de não haver tantas informações na página de “Quem somos” (que traz informações sobre a plataforma em si, mas não sobre a empresa que a criou), o serviço parecia bem estruturado.
Parecia. Porque como profissional de proteção de dados comecei a analisar alguns detalhes. Por exemplo, na página do “Quem somos” há a citação à empresa “XPTO” (guardem esta informação) e mais nada. Aí fui para o aviso de privacidade, que visualmente traz uma estrutura bastante interessante, em tópicos, de maneira simples e de fácil entendimento. Só que…
Inicialmente há a apresentação dos pontos centrais da LGPD (o que achei positivo), bem como a explicação de termos (ainda que aqui tenham feito um “copia e cola” da LGPD). Aí chegamos às informações sobre o controlador e o DPO. Em relação ao controlador, há apenas a repetição do endereço, telefones e email de contato. Mas aqui o telefone é o 12345-6789. Não estou te zoando. Este é o número de telefone indicado no aviso de privacidade. É sério.
E sobre o DPO, o serviço é prestado pela empresa “XPTO”. Lembra aquela que escrevi ali acima, e que pedi para você guardar a informação? Pois é. A empresa cria uma plataforma, apresenta a plataforma como algo separado dela mesma (já que a plataforma é apresentada como controladora dos dados), e o DPO (as a service) é da própria empresa. Fui verificar o endereço e o telefone divulgados, e estes também são os mesmos.
Ou seja, a empresa “XPTO” oferece a plataforma como se fosse outra empresa, sendo que o serviço é oferecido por ela própria. E ela é DPO as a service do seu próprio serviço. Mas se o serviço é próprio dela, porque ter um DPO as a service, e não um DPO próprio?
Depois na parte dos dados tratados, finalidades e base legal, há a indicação destas informações em uma tabela, mas não de todos os dados e todas as finalidades indicadas no próprio site. Identifiquei pelo menos 4 grandes atividades de tratamento, e no aviso de privacidade consta só uma – que basicamente corresponde ao cadastro na própria plataforma.
Na parte do compartilhamento de dados, o texto indica que os dados serão transferidos a instituições públicas para investigar, detectar e impedir atos ilícitos com base no legítimo interesse da empresa e na execução de contrato com o titular (oi?). Ah, e estes mesmos dados compartilhados com estes órgãos públicos também servem para melhoria dos serviços oferecidos pela empresa (oi de novo?).
No prazo de retenção, os dados poderão ser retidos e armazenados após o término do tratamento para as finalidades da empresa não serão usados para outros fins. Sim, isto está escrito: a empresa diz que manterá dados após atingir as suas finalidades. Tudo “de acordo com o previsto na legislação de proteção de dados.” (Oi pela 3ª vez?)
Para finalizar a análise desta primeira situação, duas pérolas, duas cerejas no bolo. A primeira delas é aquela frase tradicional: “a transmissão de dados pela internet não é completamente segura. Embora façamos nosso melhor para proteger seus dados pessoais, a empresa não pode garantir a segurança absoluta dos dados pessoais tratados através da nossa site plataforma.” O princípio da segurança e da prevenção mandou abraços – e a empresa acabou de dizer que não os cumpre, já que ela não se responsabiliza (opa, olha o princípio da responsabilização e prestação de contas dando tchauzinho também). Ah, ela também não é responsável pelo uso que terceiros façam com os dados eventualmente coletados por terceiros via cookies. E a segunda cereja do bolo: ao falarem de contratos, aparece o nome de outra empresa como parte no contrato. Ou seja, a plataforma (que é uma empresa, mas não tem nome porque não aparece o nome real do controlador, como expliquei acima – vou chamar a plataforma de empresa “ABC”) indica no seu próprio aviso de privacidade que os contratos com operadores são feitos pela empresa “MNO”, não por ela própria – empresa “ABC”.
O que ficou claro para mim? Que apesar de terem me dado o doce no início, tiraram o doce da criança. Estava indo tudo tão bem, tão “bonitinho”, mas aí você dá de cara com a realidade – que neste caso me parece ser claramente a realidade da má-fé do controlador ao passar informações erradas e talvez falsas em seu aviso de privacidade.
A segunda situação ocorreu quando eu fui ver o preço de determinado curso que muito me interessa. Recebi o email ontem, dia 22 de junho (ainda que tenha recebido um outro email sobre o mesmo curso no dia 20 de junho e nenhuma outra divulgação do referido curso antes desta data). Ao entrar no site, verifiquei que quem tivesse feito a inscrição até dia 14 de junho tinha tido um desconto de 20%. É um curso oferecido por uma associação e eu sou membro dela.
Enviei um email à empresa que está organizando o curso e expliquei esta situação, e reclamei dizendo que achava no mínimo “estranho” que uma divulgação de um curso fosse feita após a data de encerramento do desconto. E falei que parecia que a empresa estava agindo de má-fé com seus próprios associados, já que os dois emails com a divulgação do curso foram enviados após a data para a obtenção do desconto.
A resposta que recebi foi a seguinte: que eu não havia dado meu consentimento para recebimento de informações sobre cursos. Olha aquele “oi?” passando na sua timeline de novo…
Se eu não havia dado consentimento para receber informações sobre cursos, como havia recebido dois emails sobre este curso específico? Isto sem considerar outros emails sobre cursos, que recebo lá pelas 2-3 vezes por mês…? Se não tinham meu consentimento, não deveriam me enviar nenhum email.
Pra finalizar: o mais interessante é que a primeira empresa (a do aviso de privacidade) oferece serviços de proteção de dados, e a segunda empresa oferece um curso na área de proteção de dados. Daí o título desta postagem.
E você, já passou por alguma situação que te fizesse refletir que muito ainda precisa ser feito nesta área? Participe!
Infelizmente o que tiro de conclusão é a absoluta falta de comprometimento presente em nossa cultura. O que quero dizer: fazer as coisas sem o devido cuidado e atenção.
Outro ponto que me chama a atenção, no caso da associação que oferece o curso e que também vejo acontecer muito, é a dificuldade de se transmitir conhecimento, informação e orientação dentro das organizações. É muito comum tomar uma decisão no alto nível (estratégico) e quando isso chega no operacional (tático) se perde bastante.
Passei por uma experiência parecida.
Recebi um contato de uma pessoa no Linkedin com a intenção de buscar profissionais para, segundo eles, prestar serviços de adequação à LGPD após participarem de processo de licitação.
Acessei o site da empresa e eles prestam serviços de cursos profissionalizantes e “consultorias”. O problema foi quando fui ler a política de privacidade. Era idêntica de um grande portal de notícias/entretenimento. Pulei fora. (risos…de despero!)