LGPD no setor de investimentos: qual é a importância?
Confira artigo de Ailton Torres, CIO (Chief Information Officer) da SmartBrain
Mudanças, disrupções…As inovações tecnológicas avançam exponencialmente no setor de investimentos. Está havendo uma forte migração do mundo físico para o digital. Plataformas e softwares facilitam cada vez mais a vida dos investidores em diversas etapas como simulações de investimentos, aplicações, operações no mercado e controle de carteiras. Na maioria dos casos é preciso preencher cadastros para ter acesso e fazer contratação de serviços.
Porém, quando se trata de dinheiro, carteiras de investimentos e patrimônio, uma das preocupações ou receios dos investidores é em relação à digitação de dados para poderem usufruir das inúmeras soluções oferecidas no mercado, inclusive com o uso de inteligência artificial.
Nesse contexto, a Lei Geral de Proteção de Dados (13.709/18) conhecida como LGPD, que entrou em vigor recentemente e estabelece regras para todos os tipos de companhias e organizações, também traz mais confiança ao setor de investimentos e tende a acelerar o seu desenvolvimento.
De forma geral, a LGPD funciona como um guia de boas práticas para assegurar o direito à privacidade e à proteção de dados pessoais dos clientes – nome, endereço, telefone, RG, CPF, entre outros, e de dados sensíveis como religião, posicionamento político, orientação sexual, gênero e questões ligadas à saúde.
Os princípios da LGPD e a segurança dos dados dos investidores
Pelas novas regras, as empresas devem ter muito bem mapeado todo o fluxo de dados pessoais dos investidores: onde entram, as condições de armazenamento, quem tem acesso e como essas informações são descartadas ou destruídas. As organizações devem contar com um Data Protection Officer (DPO), profissional que atua como supervisor de proteção das informações, também responsável por relatar às autoridades competentes possíveis problemas como ataques cibernéticos, invasões de sistemas e vazamentos de informações.
É importante você saber também que agora vigoram princípios que oferecem maior proteção quando os investidores precisam fornecer dados. Entre eles, os princípios de legítimo interesse e de finalidade, isto é, as empresas têm que coletar apenas dados para execução do seu negócio e expor claramente os objetivos dos dados solicitados. E cabe aos usuários consentirem de que forma suas informações podem ser usadas. Com essas regras, passam a ser requeridas somente as informações estritamente necessárias – nada a mais ou a menos. Antes, infelizmente, era muito comum algumas organizações pedirem dados excessivos dos clientes, sem critério, descontroladamente.
Medidas técnicas de segurança têm que ser adotadas como a criptografia para evitar a captura ou leitura dos dados por terceiros e a nova lei também contempla o direito à anonimização. Para você entender melhor, um dado anonimizado é um dado pessoal ou sensível que é tratado para que seu conteúdo não possa ser vinculado ao seu titular. Tudo isso é importante na área de investimentos para preservar o sigilo e proteger informações confidenciais, evitando a exposição do patrimônio dos investidores.
Outro ponto contemplado na LGPD é que a qualquer momento os investidores podem revogar a permissão de uso de dados porque têm o direito ao esquecimento, isto é, a exclusão das suas informações das bases ou plataformas dos prestadores de serviços, exceto quando existe amparo legal para a retenção das informações, por exemplo, as requeridas por órgãos reguladores como o Banco Central e a Comissão de Valores Mobiliários (CVM).
Atualmente, em casos de falhas de segurança, violações e vazamentos de dados, as empresas já podem ser notificadas por autoridades e são obrigadas a se explicarem. Mas, assim que a Autoridade Nacional de Proteção de Dados (ANPN) for constituída, receberá as reclamações de clientes, os relatos das próprias empresas sobre problemas e julgará os casos, de acordo com o nível de gravidade de cada um. Entre os fatores que serão levados em conta nos julgamentos estão a vantagem pretendida ou auferida pelo infrator, os tipos de danos aos clientes ou usuários, reincidências e a agilidade na adoção medidas corretivas pelas empresas. As sanções, conforme a lei, vão de advertências até multas de 2% sobre o faturamento anual, limitada a R$ 50 milhões, bem como a exigência de medidas corretivas no tratamento de proteção de dados.
