Way2Blog

A LGPD chegou ao Brasil no momento em que o setor elétrico incorpora a tendência de digitalização mais intensa em suas operações e negócios. A Lei Geral de Proteção de Dados Pessoais (lei 13.709/18) entrou em vigor em 2020 e regula a coleta e o armazenamento de dados pessoais pelos setores público e privado. 

No setor elétrico, os dados pessoais são coletados e armazenados principalmente pelas empresas distribuidoras de energia, mas podem ser compartilhados e trocados por toda a cadeia, incluindo os elos de geração, transmissão e comercialização. 

A lei geral de proteção de dados pessoais tem o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da pessoa natural, sendo aplicável ao tratamento de dados realizado por pessoas ou instituições públicas ou privadas.

O risco de apropriação e uso indevidos de dados pessoais é real. No final do ano passado, a distribuidora Enel SP também sofreu um ataque hacker, que afetou cerca de 280 mil clientes da companhia, ou 4% do total de 7,2 milhões de consumidores atendidos por ela. 

Neste artigo, reunimos informações sobre como os agentes do setor elétrico devem  se adequar à lei. Confira!

Da distribuição para outros segmentos do setor elétrico

O setor elétrico é consideravelmente sensível à lei geral de proteção de dados pessoais por reunir dados de uma parcela significativa dos brasileiros, já que a distribuição de energia é considerada universal nas áreas urbanas do país e apenas algumas comunidades isoladas e áreas rurais ainda não estão conectadas à rede. 

As empresas de distribuição de energia elétrica se enquadram no artigo 7º da LGPD, que autoriza o tratamento de dados pessoais para o cumprimento de obrigação legal ou regulatória – caso dos contratos de concessão e autorização de distribuição de energia – e para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados, a pedido do titular dos dados – caso de um pedido de conexão ou análise de um projeto do consumidor, por exemplo. 

A  expectativa é que a adequação à LGPD por parte das distribuidoras leve a um efeito cascata em todo o setor de energia, abrangendo também os elos de transmissão, geração e comercialização. Isto porque, ao entrar em conformidade com a lei, as empresas possivelmente exigirão de seus parceiros a mesma adequação. Empresas dos diferentes segmentos do setor elétrico compartilham as informações entre si e, para garantir a proteção dos dados pessoais compartilhados, todas as empresas dessa cadeia devem estar em conformidade com a lei.

Com um protagonismo cada vez maior dos consumidores de energia – incluindo um novo marco regulatório em discussão no Congresso que prevê a abertura total do mercado livre também para pessoas físicas -, o tratamento de bancos de dados cada vez mais detalhados é uma das ferramentas estratégicas das empresas do setor elétrico para ofertar serviços mais customizados e criar novos modelos de negócios nesse cenário.

Veja também aqui as principais atualizações para os agentes de distribuição em 2021.

Passos para se adequar à LGPD

Para se adequar à LGPD, as empresas devem adotar medidas de segurança, técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. É necessário criar mecanismos de acesso para os titulares dos dados pessoais e a possibilidade de revisão de decisões tomadas pelo tratamento automatizado dos dados (como definição de perfil profissional, de consumo ou de crédito). 

Alguns pontos de atenção específicos para o setor elétrico se adaptar à LGPD:

1. Cadeia de Fornecimento – dados pessoais de consumidores e agentes são compartilhados entre os diversos elos da cadeia (geradores, comercializadores e distribuidores)

2. Empregados e prestadores de serviços – empresas podem se preparar para ter autorizações contratuais de uso de dados de funcionários e parceiros

3. Pesquisa e Desenvolvimento – é necessário adequar também as pesquisas realizadas para o desenvolvimento de novos produtos e serviços que utilizam dados pessoais não anonimizados

4. Medição e faturamento – essas atividades naturalmente lidam com dados pessoais. O repasse para terceiros está sujeito à regulamentação

5. Foco de hackers – Por lidarem com uma grande quantidade de dados pessoais, empresas do setor elétrico podem se tornar alvo de hackers. É necessário investir em segurança cibernética e criar plano de ação para se preparar

6. Projetos de fusão e aquisição (M&A) – A capacidade de cumprimento da LGPD das empresas-alvo deve ser parte da análise de possíveis fusões e aquisições, bem como objeto de auditorias específicas

7. Redes inteligentes – A depender dos dados coletados por medidores inteligentes ou outros dispositivos de smart grid, os contratos com os consumidores podem precisar ser revistos

Políticas de governança de privacidade no setor elétrico

As empresas que fazem o tratamento de dados pessoais, podem formular regras de boas práticas e de governança de privacidade, como  recomenda o texto da LGPD. O próprio governo publicou um guia de boas práticas para implementação da LGPD na administração pública. Grupos que controlam distribuidoras de energia também já publicaram suas políticas de privacidade, como a Enel e a Energisa.

Recomenda-se que ao formular sua política de privacidade, as empresas e instituições classifiquem a natureza dos dados e analisem os riscos e benefícios associados ao tratamento dos dados. No caso do setor elétrico, esses dados pessoais podem ser:

• Pessoais – Nome e sobrenome, local e data de nascimento, RG/CPF/Passaporte, endereço postal/eletrônico, assinatura/biometria, sexo, nacionalidade, telefone, estado civil, comprovante de residência/trabalho, fotos, vídeos, gravações/voz, número da unidade consumidora, dados familiares, profissão, número do medidor, número do NIS, dados biométricos, procuradores;
• Financeiros e econômicos – dados bancários, características da residência, subsídios/benefícios, registro de veículos, atividades e negócios, propriedades/posses;
• Judiciais – Informações referentes a resoluções ou procedimentos de órgãos administrativos ou judiciais relacionados a infrações ou penalidades, informações cadastrais ao Ministério Público, polícia e Judiciário;
• Outras informações – Geolocalização por IP ou por coordenadas, dados de rotas de leitura, dados de consumo, valor da conta, meio de pagamento utilizado pelo cliente, forma de recebimento da conta, geolocalização da unidade consumidoras e das instalações a qual ela pertence, coordenadas latitude/longitude, ponto de referência da residência, informação de débito automático, cliente registrado na inscrição social, visualização de dívida, dados relativos a reclamação do consumidor.

O programa de governança em privacidade deve, no mínimo: 

• Demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
• Ser aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
• Ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
• Estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
• Ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
• Estar integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
• Contar com planos de resposta a incidentes e remediação;
• Ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

A ANPD poderá solicitar a demonstração, por parte da organização, da efetividade de seu programa de governança em privacidade quando apropriado. Portanto, além de uma política de governança de dados pessoais, as empresas devem definir parâmetros para demonstrar seu funcionamento. As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.

Com seu pleno estabelecimento a partir desse ano, é esperado que a autoridade nacional estimule a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.

Agências reguladoras 

Criada em 2020, a Autoridade Nacional de Proteção de Dados é responsável por regulamentar e fiscalizar o cumprimento da lei geral de proteção de dados pessoais brasileira. A agência (autorizada pela leiº 13.853/19) está subordinada à presidência da república e poderá multar, a partir de 1º de agosto de 2021, em até R$ 50 milhões as empresas que infringirem a lei. A ANPD definiu 11 ações estratégicas para atingir os objetivos definidos no plano estratégico até 2023.

Com o pleno funcionamento da agência reguladora, após formado o primeiro Conselho Diretor da agência, a regulamentação da lei geral de proteção de dados pessoais será desenvolvida ao longo de 2021. Em março, o Conselho Diretor da ANPD estabeleceu o seu regimento interno, um dos primeiros passos para seu efetivo funcionamento.

A LGPD determina que a ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos devem coordenar suas atividades. A ANPD deve comunicar às autoridades competentes as infrações penais das quais tiver conhecimento.

É importante observar que a aplicação das sanções previstas na LGPD compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública. 

Diante disso, deve perpassar as regulamentações da Agência Nacional de Energia Elétrica (Aneel) na nova previsão, para que a ANPD possa ter sua efetividade em conjunto com o órgão regulamentador e as empresas responsáveis pela distribuição de energia elétrica.