Quando se fala a respeito de proteção de dados pessoais, é comum as pessoas pensarem em cyber segurança, e os outros assuntos pertinentes ao campo digital.
Contudo, é necessária a segurança da informação de dados pessoais e dados de extrema relevância, considerados dados críticos, também de forma física.
Os dados pessoais são aqueles resguardados pela LGPD, Lei Geral de Proteção de Dados, lei 13.709/18 definidos em seu art. 5º, inciso I como “Informação relacionada a pessoa natural identificada ou identificável.”
Já os dados de extrema relevância, apesar de não serem abrangidos pela LGPD, geram grande risco para empresa como: dados bancários e fiscais.
Nesse sentido antes mesmo da vigência da LGPD, já existiam normas que visavam a proteção de dados bancários, como a Resolução 4.658, de 26 de abril de 2018 (documento normativo revogado, a partir de 1/7/21, pela Resolução CMN no 4.893, de 26/2/21).
A resolução dispõe sobre “a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.”
No art. 2º da lei, determina que “as instituições referidas no art. 1º devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.”
Apesar da mencionada resolução tratar de dados de política de segurança cibernética, está clara a preocupação normativa de dados bancários. Contudo, não pode ser desconsiderada a segurança, inclusive de dados físicos.
Alguns exemplos de práticas que devem ser evitadas:
- Reduzir ao máximo documentos físicos em atenção ao princípio da finalidade e necessidade.
- Caso existam rascunhos, verificar se estes contenham algum dado pessoal ou algum dado de extrema relevância. Se tiver algum destes dados o ideal é que eles sejam eliminados ou anonimizados.
Sobre o processo de anonimização, previsto no art. 5º, inciso XI da LGPD diz respeito a “’utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.”
Lembrando que o cruzamento de dados, que isoladamente não seriam considerados como dado pessoal, podem vir a ser classificados na categoria de dado pessoal, caso identifiquem um indivíduo.
Outro cuidado a ser observado é ter atenção aos blocos de anotações, o ideal é que não sejam feitos com rascunhos ou caso a empresa opte pela permanência, que a Instituição tenha os mesmos cuidados acima citados. Do mesmo modo que é essencial o cuidado com dados físicos avulsos, como deixar papéis jogados ou empilhados em qualquer local ou esquecidos na impressora.
Outro ponto importante a se abordar é a segurança de arquivos e salas com documentos físicos. O ideal é que haja o acesso restrito e identificação de quem pode ter este acesso, assim como deve ser mapeado e registrado todo fluxo do dado.
A pessoa jurídica ou pessoa natural, de direito público ou privado, deve sempre ter o cuidado extra com dados pessoais sensíveis, art. 5º, inciso II da LGPD: “aqueles quem podem gerar algum tipo de discriminação: dados sobre raça, etnia, filiação partidária ou sindical, orientação sexual, dados de menores de idade, relacionados à saúde, bem como a religião.”
Também deve haver uma atenção redobrada aos dados financeiros e fiscais, que apesar de não ter respaldo na LGPD, são considerados dados de extrema relevância, e críticos, pois podem gerar processos judiciais e riscos de punições da Empresa com indenizações.
A proteção dessa espécie de dados está resguardada por outros diplomas legais, como a CF, art. 5º, inciso X, que garante o direito à intimidade, vida privada. Já o CDC, Lei 8.078/90, artigos 12 e 14, estabelece que a empresa que cometer ato ilícito responde de forma objetiva pelos danos causados, ou seja, independente de culpa.
Ademais, a violação pode facilmente levar ao acesso à dados sensíveis, como por exemplo a compra de artigo religioso ou alguma informação relacionada à saúde, entre outras possibilidades. No caso fiscal e previdenciário, vários dados sensíveis são coletados, como raça e gênero.
Outra medida que deve ser implementada é a maneira correta de descarte, dar preferência ao descarte na trituradora de papel, e, caso não seja possível caso o papel for eliminado no lixo comum, ter o cuidado de riscar os dados ou rasgar, de forma que não possa ser identificado um indivíduo, ou seja, o Titular do Dado Pessoal.
Se todos aqueles que tratarem dados pessoais e de extrema relevância tomarem os devidos cuidados o risco de Incidente diminui consideravelmente, o que aumenta a confiança do cliente, reputação da empresa e previne a Empresa de uma séria de riscos: como multas, indenizações, sejam elas judiciais ou administrativas do Procon, ANPD e outros Órgãos.