Entrevista do Mês

LGPD NO SETOR ELÉTRICO
A cerca de um ano de entrar em vigor, a Lei Geral de Proteção de Dados (LGPD) ou Lei Nº 13.709/18 vai impor adequações ou mudanças em empresas de todos os setores que possuem informações de seus clientes. O prazo para as companhias se adaptarem às novas diretrizes, sob risco de penalidade caso não cumpram os requisitos, é curto, mesmo que a maioria delas esteja vulnerável a diversas ameaças que comprometem a segurança de dados.

O setor elétrico, em especial, lida com muitas informações de pessoas físicas e jurídicas, clientes e seus hábitos de consumo, e, além de protegê-las, precisa estabelecer práticas transparentes quanto ao uso dessas informações.

Nesta UTCAL News, foi consultada a advogada Helena Fernandes, do escritório Fraga, Bekierman & Cristiano Advogados, sobre o tema. Confira:

UTCAL: Quais seriam as particularidades desse setor quanto à necessidade de assegurar a privacidade de dados de clientes (pessoas físicas ou empresas)?

Helena Fernandes: O setor elétrico interage com fluxo grande e contínuo de dados pessoais, principalmente no caso das distribuidoras de energia elétrica. Alguns grupos de energia, por exemplo, processam dados de suas operações em servidores no exterior, incluindo dados de consumo de clientes das distribuidoras. De acordo com a LGPD, nesses casos, o titular deverá consentir previamente com o processamento de seus dados no exterior e a legislação do país estrangeiro deverá ter medidas protetivas similares à LGPD. Outra peculiaridade envolve os processos de medição e faturamento, que envolvem dados pessoais e, assim, se sujeitam à LGPD. Eventual transferência de tais dados a terceiros, por exemplo, podem sofrer restrições.

UTCAL: O que pode ser abusivo é o uso das informações, sem que seja incorreto apenas possuir esses dados em excesso, certo? Dados relativos a hábitos de consumo ou que horas o cliente está em casa, por exemplo, seriam "dados sensíveis" nesse setor?

Helena: Um dos princípios basilares da LGPD é a “necessidade”, segundo o qual o tratamento de dados deve ser feito ao mínimo necessário para a realização das finalidades da empresa. Assim, a coleta de dados em excesso também é abusiva, vez que toda coleta necessita ser justificada e atrelada a uma finalidade. Se uma empresa coleta um dado que não é necessário para suas atividades, mesmo tendo obtido o consentimento do titular, tal coleta desrespeita os princípios da boa-fé, da necessidade e da finalidade, previstos na LGPD.
De acordo com a LGPD, são considerados dados sensíveis “dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Portanto, a princípio, dados de consumo não são considerados sensíveis, a menos que seja possível, a partir de sua análise, identificar algum dado sensível.

UTCAL: Qual a importância de um setor se unir para estabelecer protocolos ou padrões para nortear todas as empresas? Para o setor elétrico brasileiro, por exemplo, a UTCAL lidera, com concessionárias, a construção de um programa de cibersegurança (a iniciativa não é de agora, mas foi retomada com avanços mais recentes e requer um tempo até ser concluída). Se cada empresa faz a seu modo e os sistemas podem estar vulneráveis, como, então, vão poder se adaptar à LGPD já no ano que vem? Como essa norma vai poder valer, de fato, a partir do próximo ano? Baseada na legislação europeia, a LGPD está adaptada a essa realidade brasileira?

Helena: Quando o marco regulatório de proteção de dados da União Europeia (GDPR) entrou em vigor, em 2016, grande parte das empresas não estava preparada. Há grande expectativa de que algo semelhante ocorra no Brasil, visto que, segundo informações do mercado, cerca de 85% das empresas brasileiras ainda não implementaram as alterações exigidas pela LGPD e que serão necessárias a partir de fevereiro de 2020.
A organização de alguns setores para estabelecer protocolos e padrões mínimos tem sido determinante para adequar a legislação às respectivas realidades. Assim, a discussão ampla de protocolos e procedimentos pelo setor elétrico será fundamental para o amadurecimento dessa nova cultura.

UTCAL: Como eu disse, não há protocolos robustos para notificar ameaças cibernéticas, mas será estabelecida uma estrutura ou protocolo para notificar incidentes de risco ou vazamentos de dados? Como são definidas, hoje, as diretrizes que as empresas precisam seguir?

Helena: Segundo a LGPD, quando ocorre um episódio de data breach, o controlador dos dados deve comunicar, em prazo razoável, a autoridade nacional e todos os titulares afetados sobre o incidente de segurança que possa lhes acarretar risco ou dano relevante. Da comunicação deverão constar algumas informações obrigatórias, tais como descrição da natureza dos dados pessoais afetados, informações sobre os titulares envolvidos, indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial, riscos relacionados ao incidente etc. A partir da comunicação, a ANPD qualificará a gravidade do incidente e, caso entenda necessário, poderá estipular ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

UTCAL: Quando falamos de empresas públicas ou de serviços essenciais de utilidade pública, as penalidades para o descumprimento seriam as mesmas (multas de até R$50 milhões)? Algum ponto deve ser aprimorado ou alterado na legislação em relação a essas empresas que realizam serviços críticos e operam ativos de importância para o governo?

Helena: A indicação do legítimo interesse como requisito justificador do tratamento de dados pessoais pela administração pública – a dispensar o consentimento do titular dos dados – é um ponto interessante para debate no ambiente público, assim como a interseção necessária e harmônica entre a Lei de Acesso à Informação e a LGPD. A legislação pouco diferencia as obrigações do setor público e do privado. Contudo, ainda teremos que aguardar a regulamentação para o setor.

UTCAL: Em meio a anúncios de possíveis privatizações, há uma preocupação maior com o cumprimento da LGPD?

Helena: O Plano Nacional de Desestatização anunciado recentemente incluiu estatais que têm acesso a dados de milhões de brasileiros. Não sabemos quando essas privatizações acontecerão, tampouco o modelo a ser adotado, mas há preocupações sobre a forma de manuseio desses dados, caso as privatizações se efetivem. Parte dos estudiosos da LGPD acredita que passar a hospedar esses dados em servidores privados colocará em risco a soberania do país, já que esses dados são informações sensíveis; há aqueles, porém, que acreditam que a legislação brasileira já está devidamente preparada para lidar com eventual mau uso de dados.

Helena Fernandes