IMPLEMENTAÇÃO DA LGPD E PROTEÇÃO DE DADOS PESSOAIS
A LGPD assegura a toda pessoa natural a titularidade de seus dados pessoais e garantia dos direitos fundamentais de liberdade, intimidade e privacidade.
"SEM PROTEÇÃO, NÃO HÁ PRIVACIDADE."
"O Encarregado de Proteção de dados (DPO), é o indivíduo que garante, de maneira independente, que uma organização aplica as leis que protegem os dados pessoais dos cidadãos."
Nesses novos tempos onde tudo é digital, a preocupação com privacidade e segurança na internet aumentou tanto para pessoas físicas quanto para pessoas jurídicas (Empresas).
A LGPD tem aplicação a qualquer pessoa, seja natural ou jurídica de direito público ou privado que realize o tratamento de dados pessoais, online e/ou offline. Assim, podemos deduzir que a Lei possui aplicação ampla e abrangente, que abarca grande parte de projetos e atividades do cotidiano empresarial.
Motivos para se preocupar com o tema e a lei:
1. Empresas de todos os setores e de todos os portes tratam dados pessoais. A Lei vale para todas elas;
2. Todos os departamentos das empresas usualmente tratam dados pessoais: RH; Logística; Marketing; Análise de Dados; Desenvolvimento de Software e TI; Jurídico; Compliance, apenas para citar alguns exemplos;
3. A utilização de dados pessoais pelas empresas de todos os portes é crucial para o desenvolvimento econômico e tecnológico; a inovação; a livre iniciativa; e a livre concorrência;
4. O tratamento de dados pessoais somente poderá ser realizado se estiver em conformidade com uma das bases legais previstas na Lei;
5. A Lei apresenta relevantes princípios para nortear o tratamento de dados pessoais, como finalidade (propósitos legítimos), adequação (compatibilidade), necessidade (mínima coleta) e transparência;
6. Os titulares de dados pessoais passam a ter os seguintes direitos:
i) confirmação da existência de tratamento;
(ii) acesso aos dados;
(iii) correção de dados incompletos, inexatos ou desatualizados;
(iv) anonimização;
(v) portabilidade;
(vi) eliminação;
(vii) informação a respeito do compartilhamento de dados;
(viii) possibilidade de receber informação sobre não fornecer o consentimento e suas consequências;
(ix) revogação do consentimento.
7. Empresas devem adotar medidas de segurança, governança e boas práticas.
8. Empresas deverão contar com a figura do Encarregado, responsável internamente por orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, bem como por orientar e avaliar o cumprimento da Lei;
9. Será criada uma Autoridade Nacional de Proteção de Dados para fiscalizar o cumprimento da Lei e aplicar sanções em caso de violação;
10. A multa pelo descumprimento da lei pode chegar a R$ 50 MILHÕES de reais.
Com base nessas e em outras razões, a implementação da LGPD é uma forma de dar às pessoas o direito de consentir ou não que dados pessoais sejam coletados e quais dados utilizados quando acessam um site ou software, ou ainda apenas quais dados para fazerem inscrição ou orçamentos em plataformas ONLINE.
Um dos mais relevantes ativos para o exercício de qualquer atividade empresarial, pessoal ou social, assim como para a concretização de políticas públicas, não há dúvida sobre a importância do tratamento do dado pessoal para o desenvolvimento econômico global.
Dados pessoais (art. 5º, I): segundo a Lei, dado pessoal é informação relacionada a pessoa natural identificada ou identificável.
Assim, a LGPD traz um conceito amplo e aberto, pois qualquer dado, que isoladamente (dado pessoal direto) ou agregado a outro (dado pessoal indireto) possa permitir a identificação de uma pessoa natural, pode ser considerado como dado pessoal.
Exemplos: dados cadastrais, data de nascimento, profissão, dados de GPS, identificadores eletrônicos, nacionalidade, gostos, interesses e hábitos de consumo, entre outros.
Dado pessoal sensível (Art. 5º, II): dado pessoal sensível é o dado pessoal que verse sobre:
(i) origem racial ou étnica;
(ii) convicção religiosa;
(iii) opinião política;
(iv) filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
(v) dado referente à saúde ou à vida sexual;
(vi) dado genético ou biométrico, quando vinculado a uma pessoa natural. São aqueles dados relacionados a pessoa natural identificada ou identificável por meio dos quais uma pessoa pode ser discriminada e, por tal motivo, devem ser considerados e tratados como dados sensíveis.
O QUE NÃO É DADO PESSOAL?
Dados anonimizados ou que passam por processo de anonimização não são dados pessoais (art. 5º, III e XI): o dado anonimizado é relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Já a anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O uso de dados anonimizados se mostra primordial para possibilitar o desenvolvimento e aprimoramento de novas tecnologias, como a Internet das Coisas e a Inteligência Artificial, porém a dificuldade é enorme de se comprovar que meios técnicos razoáveis e disponíveis na ocasião do tratamento não possam levar a identificação do titular. Lei também não atinge diretamente documentos confidenciais, segredos de negócios, fórmulas, algoritmos, direitos autorais ou propriedade industrial, que são protegidos por outras normas, mas somente eventuais dados pessoais que estejam dentro de tal tipo de conteúdo.
O QUE A LEI CONSIDERA COMO TRATAMENTO DE DADOS?
Assim como o conceito amplo a respeito dos dados pessoais, a LGPD apresenta um conceito aberto e um rol exemplificativo das ações que são consideradas como tratamento de dados pessoais. Tratamento (art. 5º, X): toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Para se tratar dados pessoais, o que inclui a prática da coleta e todas as demais citadas pelo dispositivo legal como a recepção, classificação, arquivamento e transferência, sempre é necessário ter um fundamental legal. Nesse ponto, mostra-se importante observar que o consentimento se torna uma das 10 (dez) hipóteses legais para o tratamento de dados, conforme veremos a seguir.
OUTROS CONCEITOS RELEVANTES
Titular (art. 5º, V): pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Controlador (art. 5º, VI): pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador (art. 5º, VII): pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Agentes de tratamento (art. 5º, IX): o controlador e o operador.
Eliminação (art. 5º, XIV): exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Relatório de impacto à proteção de dados pessoais (art. 5º, XVII):
Documentação do controlador que deve conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de prevenção e mitigação de risco.
PRINCÍPIOS GERAIS DA PROTEÇÃO DE DADOS PESSOAIS A LGPD
Os 10 princípios que devem ser levados em consideração no tratamento de dados pessoais:
I - FINALIDADE: tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - ADEQUAÇÃO: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - NECESSIDADE: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - LIVRE ACESSO: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - QUALIDADE DOS DADOS: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados;
VI - TRANSPARÊNCIA: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;
VII - SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - NÃO DISCRIMINAÇÃO: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
QUAIS SÃO AS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS?
As empresas deverão comprovar ao menos uma das seguintes bases legais para realizar o tratamento dados pessoais (art. 7º):
I - consentimento pelo titular: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
II - cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
IV - para a realização de estudos por órgão de pesquisa;
V - para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, consideradas a partir de situações concretas, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
X - para a proteção do crédito.
Quando os dados forem sensíveis, o tratamento somente poderá ocorrer nas seguintes hipóteses (art. 11):
I consentimento pelo titular, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
SEGURANÇA DE DADOS PESSOAIS, GOVERNANÇA E BOAS PRÁTICAS
A LGPD apresenta a segurança, prevenção e a adoção de medidas para o estabelecimento de boas práticas e governança no tratamento de dados pessoais como pilares, sendo relevante observar que a Autoridade Nacional de Proteção de Dados poderá dispor sobre os padrões técnicos mínimos para tornar aplicável os padrões de segurança e governança, em especial para o tratamento de dados pessoais sensíveis.
Segurança (art. 46): as empresas devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Boas práticas e Governança (art. 50): as empresas poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
A adequação à LGPD é necessária para qualquer empresa que atua no Brasil por 3 motivos que merecem destaque:
1) o respeito à lei e a proteção de usuários e clientes;
2) a segurança do próprio negócio e
3) violação dos preceitos da LGPD podem ser punidas com sansões.
IMPLEMENTAÇÃO DA LGPD
A implementação da LGPD demanda uma série de ajustes para a correta adoção de medidas para proteger os dados dos titulares (colaboradores, usuários e clientes), assim como o próprio negócio.
Por isso, convém criar um comitê responsável pelo processo. Algo que pode ou não contar com a orientação de especialistas terceirizados ou um grupo de especialistas que acompanhe as etapas do processo:
I) estudo da LGPD e demais leis que regulamentam o negócio.
Primeiramente é necessário conhecer o texto integral da LGPD, assim como de outras leis que regulamentam a atuação de sua empresa.
Havia a ideia de que a internet era terra de ninguém, e essa ideia está sendo rechaçada a cada dia e, por essa razão, entender as novas regras é cada vez mais crucial para que uma empresa não viole os direitos de ninguém e não tenha problemas por isso.
II) mapear a entrada e o tratamento dos dados pessoais.
Após, é preciso reconhecer todas as fontes para coleta de dados usadas pela empresa. Para isso, é importante fazer um esforço para não deixar nada de fora; mapeando a entrada de dados de usuários, clientes e outros stakeholders.
III) mapear os riscos do tratamento.
Para a implementar a LGPD também é necessário avaliar o ciclo de vida e quantidade dos dados coletados, assim como eventuais falhas e brechas em cada processo. Nosso foco será identificar possíveis riscos de vazamento de dados, uma vez que é responsabilidade da empresa garantir a proteção dessas informações e a privacidade de seus usuários e clientes até sua utilidade e exclusão.
IV) elaborar o Relatório de Impacto
O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é uma das exigências do processo de implementação da LGPD. É um documento elaborado pelo especialista ou controlador dos dados, no caso em questão sempre que identificado algum risco no processo de tratamento de dados.
IV) produzir ou criar a política de proteção de dados e adaptar os documentos internos e externos.
A implementação da LGPD precisa contar com a definição de regras a serem seguidas pela organização. Assim, se faz necessária a criação de uma política de proteção de dados.
Tais diretrizes, assim como outros documentos oficiais que contenham normas da empresa, precisam ser revisados pelo departamento jurídico, por uma consultoria especializada. O real objetivo é assegurar que toda documentação esteja em conformidade com a Lei Geral de Proteção de Dados e, assim, guie a empresa no caminho correto.
VI) gerenciar os pedidos dos titulares e dos órgãos
Essa gestão é importantíssima para entender qual o padrão das solicitações dos clientes e, eventualmente, atender exigências em uma fiscalização da Autoridade Nacional de Proteção de Dados (ANPD).
Para essa questão e imprescindível criar um documento com o passo a passo desse processo também.
VII) treinamento das equipes que responsáveis e que tratam dados pessoais.
Para implementação da LGPD só pode ser bem-sucedida se as equipes que tratam os dados coletados tiverem pleno entendimento dos termos da lei e das práticas a serem adotadas. O treinamento é fundamental.
VIII) ser compliance com a proteção de dados mediante governança.
A empresa precisa definir um conjunto de processos e ações de governança de TI que direcione para o cumprimento das regras da LGPD, ou seja, para que a organização se mantenha em conformidade com o texto legal no dia a dia.
IX) exigir o compliance de proteção de dados de seus fornecedores/clientes/sócios etc.
As práticas dos fornecedores/Clientes/Sócios etc. em relação à proteção de dados pode afetar a realidade da organização, o compliance seguido internamente também deve servir para orientar os parceiros.
X) concepção de novos produtos com o princípio de privacy by design.
O princípio do privacy by design significa ter a preocupação com a privacidade do usuário no centro do desenvolvimento de qualquer produto e serviço. É muito interessante porque contribui para que, desde a concepção, um produto favoreça o cumprimento da LGPD por parte da organização.
XI) eleger um DPO com conhecimentos específicos sobre proteção e privacidade de dados.
O DPO ou Data Protection Officer é quem intermedia a comunicação entre a empresa, o titular dos dados e a ANPD.
Faça um plano de segurança da informação
O Plano de Segurança da Informação (PSI) considera a análise de riscos, assim como os objetivos e medidas que a organização definiu para assegurar a proteção de dados e a integridade da infraestrutura de TI.
A sugestão é englobar no PSI diretrizes voltadas para a proteção de dados pessoais. Algo que pode ser feito pelo comitê criado para a implementação da LGPD, inclusive contando com ajuda especializada. Para o departamento de TI, invista em algumas soluções.
A implementação da LGPD pode ser facilitada e mais adequada com o apoio de algumas soluções úteis à TI, visando uma proteção contínua dos dados coletados, evitando problemas:
- Antivírus corporativo para a proteção de dispositivos;
- Firewall/IPS para proteção de perímetro;
- DLP ou Data Loss Prevention: solução para a prevenção contra o vazamento de dados;
SOC: Centro de Operações que monitora, investiga e detecta ameaças à rede corporativa em sinergia com uma equipe que deve agir para prevenir e combater tentativas de invasão que podem colocar a segurança de dados em risco.
Bibliografia:
Constituição Federal da República Federativa do Brasil - 1988
FIESP - Departamento de Defesa e Segurança.
Microsoft LGPD na nuvem.
