Pontos críticos a serem observados no ato da implantação da LGPD
Considerando a implantação da LGPD, podemos ter um breve resumo dos pontos considerados mais críticos e que devem necessariamente ser verificados no processo de implantação da LGPD.
terça-feira, 6 de abril de 2021
Atualizado em 7 de abril de 2021 09:04
Primeiramente cabe ser pontuado que a LGPD (lei Geral de Proteção de Dados) nasceu devido aos vazamentos de informações por empresas que expõem a privacidade das pessoas, e assim, acompanhando o que aconteceu na União Europeia em 2018, com a entrada em vigor do GDPR (General Data Protection Regulation - Regulamento Geral de Proteção de Dados), o Brasil criou a sua própria lei de Proteção de Dados, a LGPD (lei Geral de Proteção de Dados).
O presidente Jair Bolsonaro sancionou no dia 17/09/20 a Medida Provisória 959, que tratava do prazo da LGPD; e como o Senado havia determinado vigência imediata, a lei começou a valer no dia 18/09/20.
A mencionada lei veio regulamentar o uso de dados pessoais por parte das empresas ampliando as garantias de privacidade de pessoas naturais na web e fora dela, afetando todas as empresas (brasileiras e estrangeiras) que coletam, armazenam ou processam dados pessoais de indivíduos residentes ou localizados no Brasil.
Assim, para dar continuidade as explanações e poder possibilitar chegarmos juntos à identificação dos pontos críticos a serem observados no ato da implantação da LGPD, faz-se essencial ter em mente 04 definições específicas: Dados pessoais, Consentimento, Tratamento e Anonimização.
Dados Pessoais
Informações de pessoa física identificada ou identificável. Considerando como identificável aqueles dados que não identificam a pessoa diretamente, mas possibilitam que haja essa identificação por outros meios.
A verdade é que os dados pessoais são o principal ponto de atenção em relação à LGPD. Dentre eles pode-se destacar: nome, endereço, RG, CPF, números de telefone, números de IP etc.
Consentimento
Forma mais simples e de maior visibilidade para as empresas poderem tratar dados. Como o próprio nome diz, trata-se de autorização, por parte da pessoa física, para que a empresa faça o tratamento daquele dado.
A LGPD relaciona 10 formas de autorização legal para o tratamento dos dados, sendo o consentimento apenas uma delas. Caso tenham curiosidade as demais são as listadas abaixo:
- Atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
- Cumprimento de obrigação legal ou regulatória;
- Execução de contrato ou de procedimentos preliminares relacionados a contrato;
- Exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
- Proteção da vida ou de perigo físico do titular ou de terceiros;
- Proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
- Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Tratamento
O conceito de tratamento no âmbito da LGPD é bastante amplo, mas, em resumo, refere-se ao ciclo de ponta a ponta durante o qual o dado pessoal está sob o poder da empresa.
São formas de tratamento de um dado: controle, armazenamento e processamento (qualquer transação envolvendo dados pessoais, independentemente do processo utilizado. Por exemplo: salvar, organizar, manter, editar, reconciliar com outros dados, transmitir etc.).
De forma macro, pela imagem abaixo podemos ver didaticamente como o ciclo de vida do dado pessoal se dá:
Anonimização
Obtida por meio da utilização de alguma tecnologia para tornar determinado dado não vinculado a uma pessoa, de forma que o dado perde a característica de dado pessoal. Isso acontece, por exemplo, quando uma empresa não tem mais o consentimento da pessoa física para tratar os dados dela, mas faz uso de recurso tecnológico para permanecer com parte daquela informação, mas sem a possibilidade de manter a identificação do titular.
Agora tratando da implantação da LGPD em uma empresa, a seguir temos breve e resumido passo a passo de como atender a lei:
Importante salientar que a não regularização imporá às empresas as seguintes penalidades: advertência, publicidade da infração, bloqueio ou eliminação dos dados pessoais tratados de forma ilegal ou insegura, multa simples por infração e multa diária até o limite máximo.
As multas podem chegar a até 2% do faturamento do grupo econômico no Brasil no último exercício, limitadas a R$ 50.000.000,00. E, além das penas, há responsabilidade civil: indenização por perdas e danos.
Por fim, depois de todo o exposto e visando auxiliá-los na implantação da LGPD, podemos relacionar os pontos considerados mais críticos e que devem necessariamente ser verificados no processo de implantação da LGPD. Quais sejam:
- Realizar a confirmação:
- quais as áreas foram mapeadas e quais não foram possíveis a verificação e realização dos trabalhos. Informar a justificativa.
- se há áreas que foram mapeadas parcialmente ou que a consultoria tenha considerado frágil o levantamento das informações. Informar a justificativa.
- sobre cautelas (forma de coleta, armazenamento e compartilhamento das informações) quanto a(o):
- dados pessoais de funcionários;
- histórico de saúde de funcionários;
- dados pessoais de representantes legais de clientes;
- dados pessoais de fornecedores;
- dados pessoais de consumidores;
- dados pessoais de acionistas.
* Sugere-se que a depender do ramo de atuação da empresa os itens listados logo acima sejam revistos.
- se pela análise considera-se que a empresa possui equipe de TI preparada ou se há necessidade de ajustes.
- se foram identificados todos os tipos de armazenamento de dados, ou se houve apenas a identificação parcial, ou ainda se a consultoria tenha considerado frágil algum armazenamento. Informar a justificativa.
- base legal para guarda de cada tipo de dado.
- sugestão de formato para implantação de uma ferramenta de gestão de consentimento e de cookies (forma interna ou contratação de terceiro).
- avaliação da devida forma de Segurança da informação.
- ajuste de normas (Código de ética, termo de confidencialidade política de segurança da informação...).
- ajustes das minutas contratuais, com a inclusão de cláusula que regule a proteção de dados.
- periodicidade de treinamento para sensibilização dos colaboradores de toda a empresa (sugestão: incluir multas já aplicadas às empresas e processos administrativos, bem como, os judiciais que já estão surgindo).
- sugestão de formato de canais de denúncia (forma interna ou contratação de terceiro).
- forma de divulgação de canais de denúncia e
- criação de POP (Procedimento Operacional Padrão) de tratamento das denúncias recebidas.
- confecção de relatórios previstos na legislação, RIPD e LIA, para cada processo da empresa.
- contratação do DPO.