Introdução e sugestão inicial
A privacidade e a proteção de dados pessoais são tendências globais. Legislações sobre o tema têm proliferado pelo mundo, fortalecendo os titulares de dados por meio de instrumentos que garantem maior controle sobre o uso de suas informações e exigindo transparência das empresas.
Assim, a adaptação a este novo modelo de pensar e agir nas atividades cotidianas tornou-se aspecto crítico às organizações.
No caso brasileiro a mudança tende a ser muito mais disruptiva, vez que não se contava, até então, com semelhante cultura, diferentemente do cenário europeu, que há décadas possui regulamentações sobre a matéria, mas consolidadas apenas recentemente com o General Data Protection Regulation (GDPR), vigente desde maio/2018, e que consubstancia o modelo regulatório que serviu de fonte à LGPD.
Tal como no GDPR, a LGPD estabelece diversas obrigações e responsabilidades aos qualificados agentes de tratamento, além de uma miríade de direitos aos titulares de dados, sem definir como atingir o estado ideal.
De início, deve-se dizer que não há fórmula única para a conformidade com a LGPD. Cada organização deverá encontrar seu caminho, considerando particularidades tais como porte, ramo e modelo do negócio (se B2C ou B2B), nível de maturidade sobre o tema, volume de dados custodiados, controles existentes, frameworks já adotados, recursos disponíveis, pontos críticos e prioridades, etc.
Sugestão inicial: que a implementação seja guiada por uma abordagem projetizada, isto é, por meio de atividades ordenadas e orientadas ao atingimento do objetivo predeterminado. Assim, fica mais fácil vislumbrar este roadmap. Ainda melhor em havendo colaboração multidisciplinar voltada à uma execução estratégica. A proteção de dados pessoais vai muito além da análise jurídica, demandando esforços da segurança da informação e da gestão de projetos, processos, pessoas e riscos, apenas para citar algumas áreas de interesse. Esta transformação tanto pode ocorrer no interior da própria organização quanto pela contratação de consultoria externa especializada.
A intenção deste texto é destacar alguns aspectos a serem considerados por aqueles que almejam a conformidade.
Conscientização top-down
Pelo primeiro passo, a organização deve iniciar a internalização sobre a razão da existência desta legislação e os benefícios advindos da sua compreensão e aderência.
A LGPD não deve ser pensada a partir das suas sanções (e muito menos pela já famigerada multa de R$ 50 milhões). Este mito deve ser desfeito o mais rápido possível!
Há, sim, uma série de sanções administrativas que podem ser impostas pela Autoridade Nacional (ANPD), e a boa adequação mitiga o risco destas sanções bem como da judicialização pelos titulares de dados que, diga-se, ocupam o centro do palco e formam os maiores e mais numerosos fiscais da lei.
Ainda, conforme a preocupação das pessoas com o uso de suas informações aumenta, o bom uso dos dados pessoais torna-se questão de preservação e valorização da imagem da própria empresa, capaz de revigorar a confiança dos consumidores e colaboradores (sim, estes também são titulares e devem ser respeitados).
Simultaneamente, a concretização de negócios passa a ser condicionada à verificação de igual valorização e cuidado com os dados pessoais pelos parceiros de negócio em processos de due dilligence. Assim, a aderência também reflete em vantagem competitiva no mercado.
E conforme poderá ser percebido ao avançar-se num projeto de conformidade, tomando-se maior ciência dos dados pessoais manipulados incrementa-se muito o grau de controle e de gestão sobre os processos envolvidos, podendo-se então corrigi-los e otimizá-los.
Esta visão deve ser apresentada junto à alta administração, que então poderá compreender e patrocinar o projeto, numa abordagem que se costuma chamar top-down. O apoio da alta hierarquia da organização é imprescindível à mobilização de recursos e à legitimação das atividades do projeto perante os colaboradores, que terão suas rotinas modificadas daqui para frente.
A mudança é estrutural na organização e a cultura corporativa influencia diretamente na eficácia de um programa de compliance e a conscientização efetiva, ao moldar o comportamento, reduz o risco de incidentes.
Conceitos técnicos, básicos e obrigatórios
Para preparar terreno à mudança, alguns conceitos técnicos devem obrigatoriamente ser assimilados, pois estes que fornecem a base de toda a lógica de funcionamento da lei[1].
A LGPD aplica-se a toda pessoa física ou jurídica, de direito público ou privado, que, salvo exceções, realize alguma atividade de tratamento de dados pessoais, seja por meio físico ou digital.
Dado pessoal é toda informação capaz de tornar uma pessoa natural identificada ou identificável, isto é, capaz de, sob análise, tornar possível a identificação de um indivíduo (ex. nome, endereço, e-mail, nº de identificação, dados de localização, endereço IP, etc).
O conceito de tratamento é abrangente o suficiente para abarcar qualquer atividade sobre dados pessoais, englobando todo o seu ciclo de vida, isto é, desde a coleta e acesso até a sua eliminação (sim, o descarte também é uma atividade de tratamento).
E não se pense que um velho arquivo de pastas físicas contendo dados pessoais não esteja abrangido pela lei, pois o armazenamento é também atividade de tratamento, de modo que a lei se aplica aos dados legados.
Aqueles que realizam atividade de tratamento são denominados agentes de tratamento, diferidos entre controlador, que determina as finalidades do tratamento, e operador, que atua a mando do controlador (geralmente um prestador de serviços).
A atividade de tratamento, por sua vez, só será considerada legal se respeitante aos princípios da LGPD (art. 6º),somada à sua justificação em uma finalidade que se traduza em uma das hipóteses de tratamento (comumente chamadas bases legais), a exemplo do consentimento, do cumprimento de obrigação legal, e da execução de um contrato, as quais serão diferentes a depender do tratamento sobre dados pessoais “comuns” ou sensíveis.
Abaixo, um esquema que, resumidamente, representa a conexão destes conceitos.
Àqueles que buscam aprofundamento no assunto, e considerando que a LGPD é uma lei deveras enxuta, deixando em aberto diversas questões primordiais, recomenda-se ir até à fonte do modelo regulatório adotado no Brasil, qual seja o GDPR. Consequentemente, vale também o estudo das guidelines emitidas pelas autoridades europeias (tanto as nacionais de cada estado-membro quanto do European Data Protection Board),as sanções impostas (pois falhas são ricas fontes de aprendizado), materiais da IAPP, etc.
Com esses conhecimentos, pode-se adotar uma posição mais conservadora na adequação, baseando-se em práticas já sedimentadas lá fora, e espera-se que a autoridade também siga nesta trilha.
Inventário e mapeamento de dados e fluxos
O mapeamento de dados pode ser colocado como primeira resposta operacional à regulamentação de proteção de dados[2].
Porém, este requisito não encontra exigência legal, seja pela LGPD, seja pelo GDPR.
Então, qual a sua relevância?
Apesar do estranhamento inicial, trata-se de peça-chave para um Programa de Governança de Privacidade e Proteção de Dados Pessoais.
O programa só será bem sucedido se houver compreensão clara e abrangente dos dados pessoais que a organização armazena e processa.
Ora, como proteger o que não se conhece?
Em que pese não seja exigido por lei, o compliance aos diversos requisitos legais resta dificultado ou mesmo impossível sem o conhecimento a respeito do ciclo de vidado dado pessoal na organização, especialmente em relação à obrigação de manutenção de registro das atividades de tratamento (art. 37, LGPD).
Os objetivos de um mapeamento incluem determinar quais dados pessoais uma organização detém e por onde trafegam, identificando-se, em detalhes, como são coletados, usados, compartilhados, armazenados e eliminados, e determinando-se para quais propósitos e em que formato (físico e/ou digital)são mantidos.
Os fluxos de dados, isto é, por onde a informação trafega de um ponto a outro, devem, igualmente, ser registrados, entendendo o caminho percorrido dentro da organização e também para fora dela.
O método de realização do mapeamento não possui forma predefinida, que pode variar desde o recurso a soluções de software até planilhas de Excel e desenhos de fluxogramas. Destaque para os fluxogramas que, representando os fluxos de dados em trânsito dentro e para fora da organização, fornecem elementos visuais de fácil compreensão.
As informações poderão ser coletadas por meio de questionários, entrevistas e workshops nos quais busca-se determinar, nos processos da organização, o caminho percorrido pelos dados.
O mapeamento, no entanto, não pode ser encarado como um fim em si mesmo e que ele apenas bastaria para estar compliant.
O mapeamento é, na verdade, ferramenta que serve à gestão de dados pessoais em geral. Com base no mapeamento, serão registrados os gaps existentes e respectivas medidas de resposta necessárias ao compliance. Seus resultados então subsidiarão uma variedade de etapas subsequentes necessárias à implementação.
Dentre elas, especial atenção às requisições de titulares (referida fora do Brasil pela sigla DSR – data subject request), que configura um dos pontos mais críticos à maioria dos projetos de conformidade.
Isto porque, em que pese a ANPD não esteja ainda estruturada, e a possibilidade de sanções administrativas tenha sido adiada para agosto/2021, a legislação dota o titular de uma série de direitos que podem ser exercidos gratuitamente em face do agente de tratamento, que deverá responde-los[3]. A exemplo do direito de acesso, a empresa deverá estar apta a identificar quais dados detém sobre aquele específico titular e onde estão localizados, a fim de responder, tempestivamente, a requisição.
Listam-se abaixo algumas das atividades subsidiadas pelo mapeamento:
· Ciência e controle sobre os dados pessoais manipulados e respectivos processos envolvidos, possibilitando avaliações para correções e melhorias (ex. refinamento das práticas de coleta de dados);
· Auxílio à implementação e manutenção de governança;
· Facilitação de processo DSR (obrigação legal), que por sua vez fortalece a confiança entre organização e titular quanto ao uso que é feito dos dados;
· Verificação de gaps com a legislação e planos de ação correspondentes;
· Base para realização de análises de risco;
· Base para formulação de políticas e treinamentos adequados;
· Base para registro das atividades de tratamento (obrigação legal);
· Base para realização de um RIPD (obrigação legal);
· Avaliação da legalidade do tratamento (especialmente sobre bases legais);
· Aptidão da organização à prestação de contas às autoridades públicas e auditorias(prestação de contas);
· Avaliação dos parceiros comerciais e prestadores de serviços que tratem dados pessoais.
Análise de gaps e plano de ação
Partindo-se da compreensão abrangente e detalhada permitida pelo mapeamento poder-se-á estabelecer as ações necessárias ao compliance.
Abaixo, alguns dos pontos necessários mais comuns:
· Elaboração de políticas internas (ex. programação de armazenamento e eliminação de dados; medidas de segurança da informação);
· Treinamentos e conscientização ampla dos colaboradores, direcionados a cada público-alvo (workshops, papers, posters, treinamento formal, vídeos, testes, gamificação, etc);
· Revisão de contratos com os parceiros comerciais identificados no mapeamento que tratem dados pessoais;
· Adaptação de site com aviso de privacidade voltado ao público externo e gestão de cookies;
· Estabelecimento de responsabilidades dentro programa de governança;
· Formação de comitê multidisciplinar com as áreas mais afetadas (ex. RH, marketing,j urídico);
· Elaboração de novos processos (ex. protocolo para incidentes, incluindo a comunicação a titulares e autoridade pública; resposta à requisição de titular).
Fim da jornada? Monitoramento, melhoria,
aperfeiçoamento contínuo e prestação de contas
O compliance à LGPD não tem linha de chegada.
A todo momento, mais dados pessoais são tratados, novos processos, produtos e serviços são criados, mudanças estruturais da organização, tais como fusões e aquisições, ocorrem, além das mudanças legislativas, jurisprudenciais e regulatórias, todos influenciando na governança de dados, que deverá ser orgânica e continuamente melhorada.
O monitoramento e a melhoria não são novidade àqueles acostumados com gestão (ao melhor estilo do clássico cicloP DCA), indicando-se estabelecer medidores da eficácia do programa, responsáveis por fornecer informações específicas sobre o funcionamento das ações implementadas. E lembre-se: incidentes são oportunidades de aprendizado.
Por fim, cumpre mencionar que a lógica da LGPD, tal como no GDPR, é de uma responsabilidade demonstrada por parte dos agentes de tratamento. Portanto, não basta afirmar estar em conformidade com a legislação, deve-se estar apto a demonstrá-la. Assim, devem ser feitos registros sobre as ações adotadas.
[1] Sobre o escopo da LGPD:recomenda-se a leitura do texto da professora Viviane Maldonado no próprio Blog da Nextlaw Academy: https://www.nextlawacademy.com.br/blog/lgpd-quem-esta-obrigado-a-cumprir-a-lei. Acesso em 9 set. 2020.
[2] Disponível em:https://iapp.org/resources/article/top-10-operational-responses-to-the-gdpr/. Acesso em 9 set. 2020.
[3] Sobre as consequências da ausência da ANPD, leia-se o artigo de Fabrício da Mota Alves e Gustavo Sabóia.Disponível em: https://www.jota.info/paywall?redirect_to=//www.jota.info/opiniao-e-analise/artigos/anpd-lgpd-problema-solucao-06012020.A cesso em 10 set. 2020.
_________________________________________________________________________________________________________________________________________
Aprenda agora como fazer a IMPLEMENTAÇÃO DA LGPD. A Nextlaw Academy oferece dois cursos completos e com acesso imediato.
- Curso: CURSO IMPLEMENTAÇÃO DA LGPD - ROADMAP PARA O COMPLIANCE (4 horas). Inscreva-se aqui.
- Curso: PRÁTICO DE IMPLEMENAÇÃO DA LGPD (15 horas). Inscreva-se aqui
