O impacto da LGPD nas empresas de logística é significativo. E vazamentos de dados impõem pesadas sansões

Publicado em
06 de Maio de 2022
compartilhe em:

A Lei Geral de Proteção de Dados (LGPD) visa a regulamentar o uso, a proteção e a transferência de dados pessoais. Ela determina que a multa para os estabelecimentos será de até 2% do faturamento, até o limite de R$ 50 milhões por infração.

O setor de logística coleta e processa uma grande quantidade de dados todos os dias durante suas operações, e lidar com essas informações de um jeito mais seguro tornou-se ponto crucial dentro das transportadoras.

Essa preocupação ganhou ainda mais força após a implementação da Lei Geral de Proteção de Dados (LGPD) – Lei 13.709, de 14 de agosto de 2018 –, sancionada em setembro de 2020, que tem como objetivo regulamentar o uso, a proteção e a transferência de dados pessoais no Brasil. Atualmente, a lei determina que a multa para os estabelecimentos do país será de até 2% do faturamento, até o limite de R$ 50 milhões por infração.

Segundo uma pesquisa realizada pelo Instituto Paulista do Transporte de Cargas – IPTC, órgão ligado ao Sindicato das Empresas de Transportes de Carga de São Paulo e Região – SETCESP, 39% das transportadoras que participaram do estudo já iniciaram o processo de adequação à legislação, número que só tende a aumentar conforme o avanço do setor e, principalmente, da tecnologia.

Para Adriano Depentor, presidente do SETCESP, as empresas devem estar cada vez mais atentas à implementação da lei, visto que os casos de ataques cibernéticos estão cada vez mais frequentes. “Os dados pessoais são um dos pontos mais importantes dentro de uma organização, e torna-se nossa prioridade, enquanto empresa, preservá-los para mantermos uma relação franca e confiável com todos que estão ligados a nós. Por isso, estar a par da legislação com todas as medidas de segurança evita que as transportadoras passem por situações indesejadas e sigam em crescimento no mercado.”

Em suma, as exigências para o uso, o armazenamento e o compartilhamento de informações de clientes precisam ser alteradas pelas empresas de transporte, a fim de seguir a regulamentação. Além disso, essa é uma prática que não deve ser encarada apenas como mais uma condição regulatória, mas, sim, como uma oportunidade de reforçar as aptidões da organização e introduzi-la no meio digital para uma evolução no mundo dos negócios.

Segundo Patricia Madrid, head da área de direito empresarial do escritório Palma, De Natale & Teracin, parceiro que desenvolve o projeto de implantação da LGPD no SETCESP, são inúmeros os pontos positivos que se destacam com a implementação da lei. “Evitar a penalização em face do tratamento de dados que foram realizados de forma incorreta, aperfeiçoamento na esfera legal/jurídica com a revisão de contratos, confiança da sociedade no setor e maior clareza do cliente sobre o modo como os seus dados serão utilizados são alguns dos benefícios quando se está alinhado à LGPD”.

De fato, como acrescenta Amanda Silva Liberato, coordenadora da Qualidade da Clever Global – empresa de gestão de fornecedores e subcontratados, especializada em Segurança do Trabalho –, a LGPD veio em ótimo momento, pois o avanço da tecnologia está diretamente ligado ao crescimento do mundo virtual, principalmente por parte das pessoas, onde todas as informações são fornecidas de forma online, em redes sociais, sites de compras, acesso a bancos, dentre outras operações. “Com a LGPD podemos ter um maior controle sobre o destino dos nossos dados, e realmente quais informações pessoais são necessárias que terceiros tenham.”

Implementação

Referindo-se à implementação da LGPD no setor logístico como um todo, Marcelo Moura, consultor técnico de Segurança – LGPD da Agility, empresa focada em serviços de Integração e Consultoria de TI, observa, como ponto importante que, no setor logístico, ainda é muito comum o tráfego de dados pessoais por intermédio de documentos físicos, impressos em papel. “Quando falamos de transporte, por exemplo, muitas vezes a empresa que revende o produto precisa passar informações para a terceirizada que fará a entrega. Este pacote tem uma nota fiscal impressa, com dados identificáveis e que estão à mostra, além de informações espalhadas em diversos sistemas.”  É muito importante mapear as informações em todas as mídias – físicas e digitais – em que estejam inseridas, aconselha Moura.

Ainda sobre a questão de implementação da LGPD, e levando em conta como está estruturado o armazenamento de dados, o consultor técnico de Segurança diz é preciso também ter certeza de que o armazenamento é realizado em locais com nível de proteção de dados e privacidade similares ao que é exigido pela LGPD. Muitos países possuem data centers – e as empresas utilizam desses espaços para armazenar seus dados –, mas não têm uma legislação forte em relação à proteção dessas informações. Isso é bem perigoso e deve ser evitado.

“Vejo como importante o mapeamento dessas informações em suas várias mídias físicas, como notas fiscais, que podem ser rapidamente furtadas, e possibilitar acesso aos dados sensíveis. O setor de logística tem um ecossistema amplo, que envolve diversas empresas. Por isso a preocupação deve ser grande e dividida entre todos”, adverte Moura.

Tania Liberman, sócia da área de tecnologia da informação, propriedade intelectual e proteção de dados do escritório Cescon Barrieu Advogados, também ressalta que as empresas de logística e os departamentos de logística dentro de empresas de outras áreas/indústrias são fortemente impactados pela LGPD, pois a realização de operações neste segmento depende do tratamento de diversos dados pessoais, tanto para fins externos (dados pessoais de clientes), como para fins internos (dados pessoais de funcionários). Dentre os dados pessoais de clientes, usualmente tratados por empresas de logística, temos nome, endereço, telefone, CPF, RG, dados financeiros e e-mail. Por outro lado, os dados de empregados podem incluir, além dos dados acima, dados de saúde, dos dependentes dos funcionários, imagens, biometria, etc.

“Como a LGPD se aplica tanto ao tratamento de dados online como offline, a empresa precisa tomar as medidas técnicas e organizacionais de segurança para a proteção dos dados tratados. Dessa forma, não apenas os dados armazenados eletronicamente devem ser protegidos – por exemplo, com senhas fortes, políticas de acesso, criptografia, etc. –, mas também os dados físicos que constam das mercadorias/pacotes a serem entregues – empregados com acesso a esses dados devem celebrar acordos de confidencialidade com cláusulas de proteção de dados e passar por treinamentos para entender a necessidade e importância do não compartilhamento desses dados com terceiros e de manter esses dados seguros – caminhões trancados, estacionados em locais seguros, etc.”, diz Tania.

O primeiro passo para que as empresas se adequem à LGPD é o entendimento de quais dados circulam pela empresa e pela cadeia logística – isto é, o fluxo de dados – e como eles são tratados. Essa verificação pode ser feita através de um “mapeamento” do fluxo de dados pessoais tratados pela empresa, mediante entrevistas realizadas com os funcionários, cujas respostas são consolidadas em uma planilha com diversas informações – por exemplo, processo, categoria e tipo dos dados pessoais tratados, se são sensíveis ou não, se são compartilhados com terceiros, prazo pelo qual são armazenados e local de armazenamento, se são transferidos para o exterior, se a empresa é a controladora ou a operadora dos dados, a base legal para o tratamento desses dados, etc.  Essa planilha – o registro de tratamento de dados, ou “RoPA” – é uma exigência da LGPD que deve ser atualizada constantemente e apresentada para a Autoridade Nacional de Proteção de Dados (ANPD), quando assim exigido.

Após o mapeamento, e com base nas informações obtidas durante essa fase, as empresas devem efetuar uma análise de risco para verificar quais pontos da LGPD ainda não são cumpridos e realizar um plano de adequação, com indicação para as prioridades, considerando maior risco. Esse plano deve contemplar mudanças no fluxo (quando necessário), realização de treinamentos, elaboração de políticas, revisão de cláusulas contratuais (especialmente com seus fornecedores que têm contato com dados pessoais e empregados) e implementação de processos de auditoria de maturidade junto aos principais fornecedores.

A empresa, como controladora de dados, deve também nomear um encarregado (“DPO”) ou um comitê de privacidade que será encarregado da comunicação com a ANPD e com os titulares, dentre outras funções, completa a sócia da Cescon Barrieu Advogados.

Também bastante específica, a Dra. Eduarda Silva Chaves Tosi, advogada com MBA em Contratos e especialização em Direito Digital e Lei Geral de Proteção de Dados, primeiramente lembra que a Lei Geral de Proteção de Dados traz, em seu artigo 7º., dez possibilidades de permissões legais para o tratamento dos dados das pessoas naturais, ou seja, apenas os dados das pessoas físicas.

Na hora de implementar a LGPD para o segmento de logística, é importante verificar quem será o controlador e o operador do dado, pois cada uma dessas figuras tem responsabilidades diferentes. Em grosso modo, o operador trata os dados a pedido e a comando do controlador.

“Assim, as empresas de logística devem estar asseguradas de que, quando operadoras dos dados, o controlador tenha tomado todas as cautelas necessárias para assumir a responsabilidade daquele dado que transmitiu à logística e, quando controladora, de estar embasada em uma das possibilidades legais para o tratamento do dado.”

Além disso, continua a Dra. Eduarda, é importante preparar toda a documentação cabível para atuar apenas com o mínimo necessário, dentro de um prazo e um limite preestabelecido – afinal, mitigar riscos é também evitar responsabilidades maiores do que as inevitáveis.

O melhor caminho é contratar um escritório de advocacia especializado que irá treinar os colaboradores, explicando o que é a LGPD e de que forma ela é importante ao segmento da empresa e, em seguida, mapeando os dados, elaborando e revisando os documentos e procedimentos onde há o compartilhamento, uso e exclusão dos dados a que teve acesso.

Acrescentando mais informação a este tema, Marta Schuh, diretora de Cyber Risk da consultoria de risco e corretora Marsh Brasil, diz que as empresas do setor podem estar sujeitas a assumir a responsabilidade pelas violações de proteção de dados que ocorrerem na cadeia de suprimentos, independentemente do ponto em que ocorrerem. Também é preciso ter certeza de que fornecedores e prestadores de serviços estejam em conformidade com a lei. “O treinamento e a conscientização desempenham um papel importante na prevenção do uso indevido de dados. Todos na empresa responsáveis pelo uso de informações pessoais devem ter, no mínimo, algum conhecimento básico da política de proteção de dados da empresa e das leis e regulamentos de proteção de dados aplicáveis. Por último, identificar e avaliar os pontos fracos de segurança de dados na organização e tomar medidas prudentes para contê-los.”

José Carlos Higa de Freitas, advogado coordenador da área de direito público, e Marco Ricardo Castilho Javarotti, advogado Pleno, ambos da Ruy de Mello Miller Advocacia (RMM), com expertise na atividade marítimo-portuária, de comércio exterior e offshore, também ensinam que uma boa maneira de começar o processo de implementação da LGPD é entender os seus principais conceitos, conscientizando as suas figuras chaves – os gestores – sobre a importância de estar atento a esta questão.

Depois disso, cabe realizar o mapeamento dos dados pessoais tratados pela companhia, tanto na qualidade de controladora, quanto na condição da operadora de dados. Desse modo será possível visualizar, ainda que de maneira preliminar, quais são os dados e como eles estão sendo tratados, bem como identificar os primeiros gaps e inadequações.

O passo seguinte é estabelecer planos de proteção de dados para que isto seja aplicado por uma equipe devidamente capacitada, normalmente, orientada por prestadores especializados sobre a matéria. 

Cuidados

Como já foi mostrado, as companhias envolvidas em todo o processo logístico armazenam dados sensíveis dos clientes, como CPF, endereço, e-mail, telefone. Ou seja, a logística é uma vertical muito sensível à LGPD e, neste sentido, vários cuidados devem ser tomados.

Moura, da Agility, destaca que o processo de adequação à LGPD deve começar com o básico, que é o controle de acesso. Ele garante que somente pessoas autorizadas terão acesso às informações sensíveis dos clientes. É básico, mas nem sempre as empresas conseguem cumprir.

Muitos serviços de rastreamento de pacotes estão disponíveis na internet sem nenhuma segurança para determinar quem está acessando a informação, adverte o consultor Técnico de Segurança. Geralmente esses dados estão públicos na internet e explorar ou atacar esses serviços é extremamente simples. Com um conhecimento médio sobre tecnologia e disposição para cometer o crime, é possível invadir esses sistemas e conseguir acessar em massa dados como nome e endereço. Em pouco tempo, os invasores levam uma grande quantidade de informação.

Um grande número de empresas começou a atuar no comércio eletrônico com a pandemia e não implementou os processos necessários para preservar os dados dos clientes. Não realizaram os controles de acesso para garantir que somente o dono do pacote possa rastreá-lo, por exemplo.

“A proteção de dados tem que acontecer nos vários sistemas envolvidos em um processo de logística, já que as empresas trocam muitos dados entre si. É muito comum o encaminhamento de informações usando serviços que são reconhecidamente inseguros, como o e-mail. Às vezes, um consumidor precisa realizar uma troca e, para isso, insere seus dados em um e-mail, que é uma plataforma de comunicação pouco segura”, explica Moura.

As empresas também estão se utilizando muito do WhatsApp para realizar a comunicação com seus clientes, seja com agentes humanos ou chatbots que perguntam os dados dos clientes. Além das questões de segurança e até de falha humana, normalmente esses dados são armazenados em países que não possuem uma mesma legislação que a nossa em termos de segurança de dados e as empresas esquecem de mapear por onde esses dados estão trafegando. Com isso, podem se prejudicar perante à Lei Geral de Proteção de Dados

Outros pontos, ainda de acordo com o consultor da Agility, envolvem: acessos não autorizados, principalmente quando temos os serviços de rastreamento de compras pela internet sem um componente robusto de segurança, e a captura de informações em computadores ou até mesmo dentro de sistemas que armazenam esses dados para transferência, quando suscetíveis a vazamentos por conta de falta de segurança cibernética.

Em todos esses casos, as empresas ficam sujeitas ao risco de serem denunciadas para a Autoridade Nacional ou para órgãos de defesa do consumidor e precisarem prestar informações a respeito. Também podem ser acionadas judicialmente e extrajudicialmente.

Além disso, correm o risco de verem os dados de seus clientes envolvidos em vazamentos de informações, o que temos visto com muita frequência desde o ano passado. Também temos a questão das multas, que são altas. “Porém, acredito que a multa em si nem é o que traz maior impacto.”

No caso do setor de logística, completa Moura, como estamos falando de um ecossistema grande, existe a possibilidade, prevista na LGPD, de impedimento da operação, caso fique comprovado que não há mecanismos robustos para proteger os dados dos clientes. E se não é possível operar, o próprio futuro da companhia fica comprometido.

“A Certificação da LGPD em uma empresa comprova o comprometimento na privacidade dos dados de seus clientes, colaboradores e parceiros, o que caracteriza uma maior confiança e credibilidade frente ao mercado. Caso não seja cumprida a Lei, as consequências podem ser enormes para a empresa e as pessoas envolvidas nos processos”, acrescenta Amanda, da Clever Global.

Tania, do escritório Cescon Barrieu Advogados, também destaca que a LGPD estabelece que as empresas devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações, acidentais ou ilícitas, de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. A ANPD deve regular quais os padrões mínimos de segurança em um futuro próximo. As medidas devem ser tomadas mesmo após o término do tratamento. 

Todas as empresas estão sujeitas a incidentes de segurança. De acordo com a ANDP, um incidente de segurança com dados pessoais é qualquer evento adverso confirmado e relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou, ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.

Quando da ocorrência de um incidente de segurança a empresa deve estar pronta para responder rapidamente, e para isso, é importante que possua um “Plano de Resposta a Incidentes” detalhando os responsáveis por cada medida, se as autoridades e titulares devem ser comunicados e quais os prazos para que cada ação seja realizada. “Um bom plano de resposta e funcionários bem treinados reduzem as chances de ocorrências de danos de maior gravidade em casos de incidentes”, destaca Tania.

Já a Dra. Eduarda primeiramente esclarece que uma coisa são os dados pessoais, ou seja, aqueles dados que permitem identificar alguém, e outra coisa são os dados pessoais sensíveis, aqueles que além de identificar alguém, podem gerar preconceito, como religião, etnia, saúde, preferência política, entre outros.

Por isso, para implementar a LGPD nas empresas de logística, é preciso, incialmente, mapear os dados estritamente necessários para aquela finalidade, evitando responsabilidades desnecessárias.

Para atuar na fiscalização da aplicação dessa lei, foi criada a Agência Nacional de Proteção de Dados, que é o órgão federal responsável pela aplicação das penalidades previstas na LGPD, entre elas, advertência, multa diária por infração de até 2% do faturamento, limitada a cinquenta milhões de reais, publicização da infração, suspensão dos dados ou a exclusão dos dados.

“O cenário ideal é trabalhar a governança dos dados antes de qualquer penalidade, por isso a importância, também, da nomeação de um DPO (que não precisa ser funcionário da empresa), que será o responsável por fazer a ponte entre a ANPD e a empresa”, completa a advogada.

Vendo mais além, Marta, da Marsh Brasil, diz que o risco cibernético é um risco evolutivo. Após o processo de adequação à LGPD, as empresas do setor precisam revistar as práticas adotadas e avaliá-las se elas continuam válidas como medidas de contenção a impactos. “Além disso, investir de maneira contínua em ferramentas de proteção à medida que novas ameaças surgem e possam impactar tanto a operação quanto causar um vazamento de dados que pode acionar as autoridades regulatórias. Na eventualidade de a autoridade avaliar o incidente e evidenciar que a empresa não estava adequada à lei, agiu com as melhores práticas ou buscou minimizar impacto aos afetados, ela pode responder através de sanções, além de multas.”

Outro importante ponto a considerar, também diz a diretora de Cyber Risk da Marsh Brasil, é o de incidentes com impacto operacional, cada vez mais comum a empresas do setor. São incidentes que sequestram, apagam e corrompem informações e os sistemas operacionais da organização, paralisando as suas atividades até que o ambiente possa ser restabelecido, resultando em perda de receita, custos operacionais adicionais, despesas com consultorias, além de impacto a seus clientes de forma direta e até mesmo acionamentos regulatórios. Os custos associados a incidentes podem resultar em perdas de milhões a empresas do setor logístico.

Freitas, da Ruy de Mello Miller Advocacia, é outro profissional que ensina que a empresa deve se atentar ao básico, como assegurar a eficiência dos seus sistemas de segurança à informação, revisar contratos, políticas e procedimentos, cumprir os princípios da LGPD, aplicar uma metodologia para o ciclo de vida dos dados e garantir os direitos dos titulares de dados.

“Não obstante, é verdade que o setor é um dos mais sensíveis à LGPD, e o fato de haver intensa comunicabilidade entre diversas empresas da cadeia exige ainda mais prudência e cautela. Portanto, os cuidados vão muito além. Por exemplo, a companhia deverá saber identificar quando opera como controladora e quando atua como operadora de dados pessoais, definindo responsabilidades e mantendo registro dessas informações em caso de eventual incidente de segurança ou vazamento de dados pessoais por uma das empresas da cadeia logística.”

A companhia também deverá vincular cada atividade de tratamento a uma das hipóteses legais que melhor se encaixe naquela operação. Aqui vale derrubar um dos maiores mitos sobre a LGPD, de que o consentimento é exigido para tudo: muito pelo contrário, a LGPD trouxe uma série de hipóteses, sendo o consentimento apenas uma delas, e no setor de logística e transporte o consentimento nem sempre será o melhor e mais adequado embasamento legal.

Setores impactados

Quanto a questão é em que setores/segmentos da logística a LGPD é mais impactante, Moura, da Agility, coloca que, como a LGPD tem foco na proteção de dados pessoais, o setor de logística como um todo pode ser muito prejudicado. “Mas empresas focadas em B2C, que atendem cliente final, são as mais impactadas porque têm um volume de dados pessoais maior que podem ser vazados ou roubados. Estou falando de muitos CPFs, endereços, dados financeiros. Então acredito que o segmento mais sensível seja o B2C.”

Com Moura concorda Marta, da Marsh Brasil. Para esta, todos os setores da área logística sofrem impacto, uma vez que possuem dados de colaboradores, motoristas e terceiros, mas empresas que prestam serviços de entregas logísticas a cliente final B2C acabam tendo dados de indivíduos, clientes finais, que muitas vezes vão além do nome e endereço – e ao receber as mercadorias, solicitam algum número de documento e acumulam dados detalhados, o que pode resultar num maior impacto diante de um incidente. Além disso, é mais difícil manter um controle ao acesso a essas informações, uma das premissas da LGPD.

Tania, do Cescon Barrieu Advogados, também lembra que os setores que trabalham com dados pessoais de pessoas físicas, consumidores finais, são certamente mais impactados, especialmente se usam em sua cadeia terceirizados que podem não estar bem treinados ou bem-intencionados.  “Os dados desses consumidores, se sujeitos a um incidente, podem ser usados em golpes, com sérias consequências – no âmbito civil e criminal – para todos os envolvidos.”

Maria Carolina Ramos, graduada em Ciências Jurídicas e Sociais e especialista em Direito Tributário e Digital, com atuação na Law360, também ressalta que nas empresas de logística, as ações relacionadas à proteção de dados envolvem alguns setores e ações onde deve haver maior impacto. A primeira delas é quanto ao compartilhamento das informações com outras empresas e parceiros.  Outro ponto de atenção está no mapeamento do fluxo de dados que deve ser acompanhado desde a coleta até o armazenamento dos dados. E, por fim, a criação de procedimentos de segurança, bem como a implementação de ferramentas que ampliem a proteção.

Freitas, da Ruy de Mello Miller Advocacia (RMM), lembra que as transportadoras operam com dados de clientes de outras empresas. São muitos funcionários em posse de uma série de dados pessoais para efetuar cada operação de transporte/entrega. É muito fácil – e infelizmente não é raro – que alguma informação se extravie durante o trâmite.

Do mesmo modo, o setor de gerenciamento da cadeia de suprimentos (Supply Chain) merece atenção por sua própria natureza de integrar processos internos com fornecedores, transportadoras e outros agentes do processo. As empresas que lidam com transporte internacional também devem se atentar às regras específicas para transferência internacional de dados.

Movimentação

Há de se considerar, ainda, os reflexos da LGPD no produto movimentado/armazenado.

“No caso de trânsito, o segmento logístico depende muito de comunicação física, uma nota que vai com seus dados pessoais no pacote, nome e endereço numa etiqueta. Qualquer pessoa pode acessar, copiar e colocar de volta e os dados podem ser usados para processos de fraude.”

No caso do armazenamento – continua Moura, da Agility –, cada vez mais são utilizados boxes onde a empresa deixa a entrega e o cliente vai buscar, escolhendo não receber o produto em casa. Nesses casos, a empresa que está fazendo a alocação dessas boxes precisa entrar no circuito do cuidado, porque o seu sistema terá acesso a dados pessoais e financeiros. “Nesse momento, já temos ao menos duas empresas envolvidas no meu processo de logística e cada uma dessas pontas segue dependendo muito de mídias físicas e as informações são facilmente extraviadas.”

Todas as empresas envolvidas na logística precisam estar dentro de um sistema único de proteção de dados para que o andamento seja mapeado e a segurança seja garantida, adverte o consultor Técnico de Segurança da Agility. Porém, muitas vezes não há controle. É necessário um sistema automatizado para que o controle e a segurança sejam garantidos.

Outro ponto sensível é a utilização de mensageria individual, na qual são utilizados mensageiros que não possuem vínculo algum com a empresa que comercializou o produto e que pode acessar os dados e comprometer a segurança, completa Moura.

“Talvez não seja tanto uma questão de reflexo da LGPD, mas o porquê de hackers terem interesse nas movimentações de carga – ao ter acesso aos sistemas das empresas de logística, entender o que está sendo transportado e sua rota, assim como informações relacionadas ao veículo, facilita-se possivelmente o uso destas informações para roubo de carga. É onde o mundo do crime digital encontra com o crime tradicional”, acrescenta Marta, da Marsh Brasil.

Agora na visão de Javarotti, da Ruy de Mello Miller Advocacia, a armazenagem e movimentação da carga/produto está diretamente vinculada aos dados pessoais necessários para a realização da operação. A empresa precisa adotar políticas e procedimentos aptos a garantir a proteção desses dados.

“Como destacado, identificar o momento em que a empresa atua como controladora e diferenciá-lo da sua atuação como operadora é fundamental para garantir maior transparência aos titulares e às autoridades. A LGPD também prevê regras para o que se apelidou de ‘ciclo de vida dos dados pessoais’, ou seja, todo o período entre o início e o término do tratamento de cada dado. É comum que em determinados casos a armazenagem possa perdurar no tempo e o transporte envolva diversos modais até a entrega do produto ao destinatário final.”

Por isso – completa o advogado Pleno da Ruy de Mello Miller Advocacia – é importante segregar os dados e saber quando se deve mantê-los e quando é adequado descartá-los. A LGPD por si só não responde todas as questões, na prática é necessário dialogá-la com as diversas normas e regulamentos que incidem sobre os vários segmentos da logística.

Um exemplo interessante sobre esta questão é o da Clever Global. Amanda explica que os produtos transportados devem ser catalogados e listados por níveis de confidencialidade, pois, além dos dados do motorista transportador, também existem os dados dos consumidores de produtos específicos, como: tratamento de câncer, HIV, remédios controlados, exames laboratoriais, produtos religiosos ou de partidos políticos e produtos que possam segmentar ou identificar o consumidor.

Com uma visão diferenciada, a Dra. Eduarda diz que, como a Lei Geral de Proteção de Dados está diretamente relacionada à proteção dos dados pessoais, ela não traz qualquer reflexo no produto movimentado/armazenado. Bem como não se aplica caso a empresa de logística esteja transportando produtos de uma pessoa jurídica para outra pessoa jurídica, pois a legislação protege apenas os dados pessoais das pessoas naturais.

“Embora a Lei se aplique a pessoas físicas ou jurídicas, ela protege apenas os dados das pessoas físicas. Então, quando dizemos ‘a quem a lei se aplica’, estamos dizendo quem deve estar de acordo com as suas normas, como, por exemplo, médicos que têm acesso a dados de seus pacientes e empresas como bancos, agências de viagens e de logística, mas sempre protegendo apenas os dados das pessoas naturais e sem qualquer correlação com produtos.”

Maturidade digital

Finalizando, vale discutir a questão da maturidade digital da empresa. Dependendo desta, pode haver problemas para a aplicação da LGPD na logística, conforme afirma o consultor Técnico de Segurança da Agility. “Quanto menor a maturidade digital da empresa, menos processos formais possui e mais dependente de pessoas e de mídias físicas (papel). Esses são pontos vulneráveis que podem ser explorados para que haja vazamento de dados.”

O ideal é que as empresas amadureçam, iniciem a transformação digital, mapeiem os dados que estão sob seu poder e trabalhem com automação de processos, dessa forma dependendo cada vez menos de componentes físicos na cadeia logística. Com isso, terão controle dos acessos, o que diminui os riscos de vazamento. Também têm a possibilidade de restringir os dados que ficam aparentes, utilizando-se de outros meios para validar o recebimento.

A aplicação da LGPD em uma empresa digitalmente madura é infinitamente mais simples, porque fica mais fácil controlar acessos, dar as permissões necessárias e mapear todo o processo logístico, completa Moura.

“Uma empresa com baixo grau de maturidade digital não tem conhecimento dos problemas e dos requisitos de legislação, não treina seus funcionários ou audita os seus terceirizados, o que aumenta o risco de ocorrência de incidentes e o despreparo na hora da resposta”, acentua Tania, do Cescon Barrieu Advogados. Marta, da Marsh Brasil, vai mais além: além da empresa possivelmente não possuir tecnologia e ferramentas condizentes às necessidades da LGPD, pode ainda estar suscetível a ataques que impactem sua infraestrutura operacional. Além disso, em um eventual vazamento de informações, esta pode não ter o controle do repositório de dados, o que, consequentemente, fará com que tenha uma maior demora em avaliar a natureza do incidente e, se necessário, a comunicação às autoridades competentes.

De fato, o estágio atual de maturidade da empresa será um dos fatores determinantes na elaboração do projeto de adequação.

Uma empresa despreparada poderá percorrer um caminho mais longo para adequação, mas tudo vai depender da natureza de cada uma. Também vale lembrar que não é só no digital, mas a LGPD também se aplica a dados em forma física (em papel, por exemplo). Se a empresa não tem o costume de cuidar dos dados pessoais sequer em papel, então poderá encontrar dificuldades para se adaptar no meio digital, pois tudo é questão de hábito e cultura. “É preciso compreender que a adequação à LGPD não é uma mera revisão de procedimentos, criação de uma política, elaboração de uma cláusula ou simples adequação regulatória. É um conjunto desses e muitos outros atos e atitudes, um verdadeiro projeto que irá permear toda a organização, de modo que a proteção de dados seja uma das prioridades da empresa e passe a fazer parte da sua cultura”, ensina Freitas, da Ruy de Mello Miller Advocacia.

Ao contrário do que muito se ouve, a LGPD não surgiu para criar obstáculos e onerar (ainda mais) as empresas e empreendedores, mas sim para fixar de uma vez por todas o hábito de proteção aos dados pessoais, garantindo maior efetividade a tudo que já se conhece por segurança da informação.

“Adequar-se não só à LGPD, mas a todo conjunto de normas e práticas de proteção de dados, tornará a empresa mais competitiva no setor de logística, que passa muitas vezes pela confiança. O dano à imagem, nestes casos, pode ser pior que o dano financeiro”, completa Javarotti, da Ruy de Mello Miller Advocacia. 

Já a Dra. Eduarda destaca que se engana quem acha que a Lei Geral de Proteção de Dados se aplica apenas ao âmbito digital. “Aquele que chega a um consultório médico e preenche, a caneta, seus dados pessoais em um formulário, está sujeito ao tratamento de dados pessoais. Por essa razão, a maturidade digital da empresa não impede a aplicação das melhores formas de tratamento de dados.”

Ainda segundo a advogada, quando utilizamos a expressão “armazenamento de dados”, pode ser através de um servidor em nuvem, ou mesmo de um arquivo de ferro com pastas contendo dados pessoais. Por todos esses motivos, a maturidade digital da empresa não pode e nem deve atrapalhar a implementação das normas de regulamentação da LGPD para a empresa.

“A maturidade digital de uma empresa não se refere apenas à automação para acelerar os serviços que ela oferece. Trata-se, também, da adoção de processos que envolvem a cultura organizacional de toda a empresa. A escolha de sistemas para TI, tendo por base uma política de governança de dados, cria ambientes mais seguros no processamento destes dados coletados. Estas condutas geram confiança em todas as etapas do processo, resultando em uma maior credibilidade da empresa no mercado por estar devidamente em conformidade com as exigências da LGPD”, finaliza Maria Carolina Ramos, da Law360. 

Boletim Informativo Guia do TRC
Dicas, novidades e guias de transporte direto em sua caixa de entrada.