A Lei geral de proteção de dados (LGPD) – Lei nº 13.709/18 está em vigor no Brasil desde setembro de 2020, mas apenas a partir de agosto de 2021, as sanções nela previstas passam a ser aplicadas, nos casos de descumprimento de suas determinações.
Em seu texto, a LGPD traz regras que regem todas as operações realizadas com dados pessoais, para fins comerciais, no território nacional. Devemos entender como dados pessoais, no contexto da lei, como qualquer informação que permita identificar, direta ou indiretamente, uma pessoa que esteja viva. São exemplos: RG, CPF, nome, endereço, localização via GPS, fotografia, hábitos de consumo, endereço de IP, biometria e outros. Em seu artigo 5º, I, a definição para dado pessoal é estabelecida:
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Percebam que a proteção de dados regida pela LGPD se aplica aos dados de pessoas físicas, desta forma, os dados jurídicos e demais documentos jurídicos que não sejam relacionados a pessoa natural, não são abrangidos pela LGPD.
O grande objetivo da lei é vetar abusos na utilização de dados pessoais, principalmente considerando a abundância de informações disponíveis atualmente em meios digitais, e para isso, são estabelecidos em seus artigos 6º e 7º, princípios e requisitos legais que devem ser seguidos para que os dados pessoais possam ser utilizados para fins comerciais.
No Brasil, por meio da lei 13.853 de 08 de julho de 2019, foi criada a ANPD – Autoridade Nacional de proteção de dados, órgão da administração pública federal que tem por finalidade proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.
É esta entidade quem delibera na esfera administrativa sobre a interpretação da LGPD, as suas competências e casos omissos. A ANPD também é o órgão responsável por fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.
As principais etapas do ciclo de tratamento dos dados, regulado pela LGPD são:
- Coleta;
- Requisitos de licitude e princípios;
- Processamento;
- Armazenamento;
- Anonimização/deleção.
A coleta de dados é o início da tutela da LGPD e marca também o início da relação negocial com a pessoa natural. Os requisitos de licitude e princípios devem ser observados para início do tratamento de dados. O processamento é o tratamento propriamente dito, seja em sistemas, arquivos, pastas físicas etc. e deve ser realizado em observância às bases legais previstas na LGPD, assim como a seus princípios.
O armazenamento é uma das possibilidades de tratamento de dados vinculada a segurança da informação, é a etapa em que os dados ficam salvos e são mantidos pelo período autorizado. Anonimização é o processo pelo qual o dado é alterado de forma que não seja mais possível a identificação do titular. Deleção é o apagamento total dos dados, normalmente esse processo é exigido quando se encerra a finalidade pela qual o dado foi coletado.
Para adequar-se à LGPD, as empresas precisam garantir que este ciclo completo esteja sendo realizado em observância à lei como um todo, mas como isto pode ser feito?
Cada empresa precisará estabelecer seus controles, de forma a garantir esta adequação para todos os processos no ambiente empresarial em que há tratamento de dados pessoais. A partir deste ponto, você encontrará uma sugestão de pilares necessários a implementação de um programa de Compliance que vise a adequação à LGPD.
Apoio da alta administração
Não é à toa que este é o primeiro pilar, pois, um programa de conformidade à LGPD precisa do engajamento de diversos atores dentro companhia e isto é mais facilmente alcançado quando todos enxergam o compromisso e apoio ao programa por parte de sua liderança.
O programa deve estar alinhado à estratégia do negócio, sua missão, visão e valores, assim como precisa de um orçamento e recursos humanos disponíveis, neste sentido, o envolvimento da alta liderança é fator essencial para a pavimentação do caminho a ser percorrido pelo grupo de trabalho que será responsável pela organização e implementação do projeto, assim como pelos demais profissionais da companhia.
Estruturação de um grupo de trabalho – a equipe de privacidade
É necessário montar um grupo de trabalho que será responsável pela implementação e divulgação do programa, esta equipe, além de agente de mudança, deve atuar como “patrocinadora” do programa junto aos demais profissionais. Neste grupo, é interessante haver profissionais chave para cada setor da empresa onde haja maior possibilidade de tratar dados pessoais. A equipe de privacidade pode ser formada, por exemplo, por profissionais do departamento de RH, jurídico, comercial, operações, TI, marketing e outros. Uma equipe plural ajudará na difusão da cultura de conformidade à LGPD.
A lei prevê ainda que cada empresa deverá fazer a indicação do encarregado de dados, ou DPO – Data Protection Officer. Este profissional será o líder de proteção de dados e da equipe de privacidade, aquele que é responsável pela governança do programa de proteção de dados, pela definição das estratégias para combate a vazamentos e uso indevido dos dados.
É o encarregado de dados quem interagirá com o quadro diretivo da companhia, como também com a autoridade reguladora nacional (ANPD – Agência Nacional de Proteção de Dados) e titulares dos dados pessoais.
Análise de perfil e riscos
Este pilar prevê o mapeamento e registro das operações de tratamento de dados existentes na companhia. Nesta etapa serão respondidas para cada processo de tratamento de dados algumas perguntas, como por exemplo: Quais dados são tratados? Qual a finalidade do tratamento? Como são coletado e onde estão armazenados? Com quem são compartilhados? Qual a base legal para tratamento dos dados pessoais? Por quanto tempo são mantidos?
Com base neste mapeamento são identificados os riscos de cada etapa do tratamento de dados pessoais e elencadas as possíveis medidas de mitigação destes riscos.
Estruturação de políticas, processos e procedimentos
Para difusão e aplicação prática da cultura de proteção de dados, deve-se estabelecer políticas, processos e procedimentos que conduzam a companhia a este objetivo. As políticas são as diretrizes que regerão a empresa e seus processos e procedimentos, sendo de competência da liderança a sua elaboração. Os processos devem ser estabelecidos ou revisados de forma a estar em consonância com as diretrizes estabelecidas nas políticas e são de responsabilidade do corpo gerencial.
Os procedimentos, ou etapas detalhadas dos processos, são de atribuição dos profissionais da operação da companhia e, para que sejam realizados em conformidade com o estabelecido em políticas e manuais de processo, deve haver formalização, divulgação e treinamentos para os profissionais envolvidos.
Quando necessário devem ser feitos ajustes nos fluxos de segurança da informação. A elaboração de um plano para gestão de crises ou incidentes de proteção de dados também deve ser feita e prevista em políticas e processos, assim como a implementação de um canal de comunicação para que os titulares dos dados possam obter informações e contatar a companhia a respeito de seus direitos previstos na LGPD.
Gestão de terceiros
Em um programa de conformidade em proteção de dados, é essencial que seja feita a análise quantitativa e qualitativa de fornecedores, prestadores de serviços, intermediadores e demais agentes terceiros, visto que, na operação das empresas, os dados pessoais podem ser tratados por estes em nome da companhia. As políticas e procedimentos devem também estabelecer as diretrizes destas relações.
A empresa deve avaliar a compatibilidade técnica e jurídica dos parceiros contratados com o seu nível de governança, de forma a garantir a segurança dos dados e impedir que reflexos da não conformidade regulatória por parte de terceiros afetem a empresa. Um passo importante nesta gestão é a revisão de contratos e adequação destes aos requisitos de privacidade de dados.
Comunicação, transparência e treinamentos
Um dos grandes objetivos da LGPD é aumentar significativamente a transparência do tratamento de dados pessoais para a sociedade, de forma que os titulares de dados pessoais possam compreender o que é feito com suas informações.
Para alcançar a transparência, as empresas precisam comunicar de forma clara e acessível ao público que pretende atingir, e para isso, é necessário que todos aqueles que estarão inseridos na cadeia de tratamento de dados pessoais, ou que terão interlocução com os titulares de dados pessoais, sejam treinados em um processo contínuo, desde os conceitos básicos até os processos para execução segura do tratamento de dados.
A comunicação clara, exercício da transparência e treinamentos sedimentam uma cultura de privacidade de dados.
Controles internos e monitoramento contínuo
O programa de adequação à privacidade de dados pessoais precisa contar com um plano de monitoramento que terá o objetivo de verificar a eficácia da implementação e corrigir as possíveis falhas.
Desta forma, espera-se que aprimoramentos sejam realizados com base nas lições aprendidas durante a sua execução, objetivando sua atualização com as normas e atestando a aderência ao negócio. Por meio de controles internos, deve-se testar os processos estabelecidos e sua eficácia no combate e controle de descumprimentos da lei.
Esta sugestão de etapas para implementação de um programa adequado de privacidade de dados não é a única possibilidade para atingir este objetivo, mas prevê passos que julgamos importantes para alcançar o sucesso na adequação à LGPD.
A lei geral de proteção de dados é um marco importante para a privacidade em nossa sociedade, assim como, por exemplo, foi o código de defesa do consumidor nas relações de consumo.
Ela coloca o Brasil dentre os países que possuem uma legislação compreensiva de proteção de dados e, com isso, traz benefícios como o livre fluxo de dados pessoais com outros países, aumentando a possibilidade de realização de negócios com o exterior, traz maior compreensão para a sociedade sobre a forma como seus dados pessoais são tratados e consequentemente aumenta a confiança da sociedade em geral para com as empresas que estão adequadas.
Escrito por: Jose Carlos Ramalhete Dias
