LGPD: 07 passos para implementá-la nas empresas

LGPD - 07 passos para o compliance nas empresas

Introdução

O compliance com a Lei Geral de Proteção de Dados (LGPD) é uma tarefa contínua: as novas relações negociais da empresa, a utilização de novas tecnologias, o surgimento de novos riscos e de novas disposições legais, relativas ao sistema de proteção de dados brasileiro (que inclui, dentre outros, a LGPD e o Marco Civil da Internet – MCI), são fatores, à título exemplificativo, que requererão o monitoramento e a atualização contínua de procedimentos e regras, a fim de garantir um efetivo controle interno na empresa.

Em um primeiro momento, embora pareça antitético, o compliance com a LGPD é imperativo, enquanto que a implementação de um programa de Governança em Privacidade e Proteção de Dados, facultativa, como dispõe o caput do art. 50 da Lei. No entanto, um programa de Governança é uma forma de garantir um controle interno, entendido como qualquer processo, conduzido por algum órgão da empresa, que objetive atingir um nível adequado de organização ao interno da empresa.

Nesse específico contexto, propõe-se um plano que objetiva implementar a LGPD em 07 passos, muitos dos quais são processos contínuos (dinâmicos, em vista das alterações no cenário interno da empresa, bem como no externo, pelos fatores mencionados, por exemplo) e concomitantes.

1/7 Estabeleça um Comitê para gerir a implementação da LGPD

1/7 - Implemente um Comitê de Privacidade e Proteção de Dados

O primeiro passo para uma Governança em Privacidade e Proteção de Dados é entender quais sujeitos deverão estar em contínua interação para a promoção da conformidade com a LGPD. Deve ser implementada a ideia de que os muros (walls) que dividem a empresa não podem ser uma barreira para a penetração da cultura da privacidade e da proteção de dados em cada uma de suas divisões, por mais setorizadas que sejam as suas operações.

Assim, é importante estabelecer um Comitê que facilite a comunicação entre os setores da empresa, que poderá ser incluído como subestrutura da Governança da empresa, ou seja, como um de seus braços.

Essencialmente, é necessária a participação dos seguintes agentes:

I. Agentes de tratamento (controlador e operadores);

II. Representantes do setor de TI da empresa (mesmo que não faça parte da estrutura interna da empresa, sendo, em verdade, um prestador de serviços);

III. Encarregado pela proteção de dados, que é uma figura semelhante ao Data Protection Officer (DPO), do Regulamento Geral de Proteção de Dados da União Europeia (RGPD/UE), e que pode ser não somente uma pessoa física, mas também uma empresa ou um escritório de advocacia, que prestem esse serviço. É a pessoa indicada pelo controlador que atua como canal de comunicação entre o controlador, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD);

IV. Advogado (já que, muitas vezes, o encarregado de proteção de dados poderá não ser alguém do setor jurídico).

Também poderá ser analisada a inclusão de outros indivíduos, como um representante do setor de Recursos Humanos, a depender da complexidade da empresa.

Uma questão ainda a ser resolvida é se haverá realmente a necessidade da figura de um encarregado em pequenas empresas e qual será o critério para diferenciar uma pequena, uma média e uma grande empresa, em relação à necessidade ou não de se ter um encarregado.

2/7 Mapeie os dados

2/7 - Mapeamento de dados

Realizar um inventário de todos os dados pessoais já coletados e tratados por uma empresa pode ser uma tarefa hercúlea: é por esta razão que o processo poderá requerer urgência. Ainda mais difícil será no caso de a empresa ter, arquivados, dados pessoais de décadas atrás, o que é muito frequente. Sem uma finalidade para o arquivamento desses dados, devem ser eliminados o quanto antes (a eliminação não é um descarte, sendo recomendável, por questões de segurança, a destruição completa).

O inventário dos dados pessoais poderá ser feito com o auxílio de softwares, que podem identificar, analisar e classificar os dados. Porém, nem todo o mapeamento poderá ser feito de forma automatizada. Assim, mesmo em relação aos dados em sistemas informatizados, poderá ser necessária uma verificação manual nos servidores e bancos de dados da empresa.

A classificação pode se referir a atributos qualitativos definidos pela própria empresa ou Comitê, como dados provenientes de cadastros de clientes, de currículos de candidatos, de funcionários da empresa, de dados de origem financeira, classificando-os, ainda, por exemplo, como dados pessoais e dados pessoais sensíveis, de origem offline ou online.

Qual o tempo para o armazenamento dos dados?

A LGPD não prevê um tempo quantificado para o armazenamento dos dados.

O art. 40 da Lei dispõe que poderá a ANPD dispor sobre o tempo de guarda dos registros. O art. 15 dispõe que o término do tratamento de dados ocorre quando a sua finalidade foi alcançada, ou quando há o fim do período de tratamento, quando especificado, por exemplo, em cláusula contratual.

De modo específico, o Marco Civil da Internet dispõe a obrigação, aos provedores de acesso à Internet, de guardar os registros de conexão dos usuários pelo prazo de 1 ano, conforme o art. 13. Já em relação aos provedores de conteúdo de Internet, prevê a obrigação da guarda dos acessos pelo prazo de 6 meses. Frequentemente, esses dados detêm informações pessoais que podem identificar ou que já identifiquem, de imediato, um titular, o que pode caracterizá-los, portanto, como dados pessoais.

LGPD: 07 passos para o compliance

3/7 Política de Segurança da Informação (PSI)

3/7 - Política de Segurança da Informação

A Segurança da Informação deve estabelecer confidencialidade, integridade, disponibilidade, autenticidade e legalidade nas operações da empresa. Imprescindível é a intercomunicação entre os atos do setor da TI, de modo geral, com as políticas implementadas pela estrutura de governança em privacidade e proteção de dados.

Recomenda-se que a política defina uma estratégia geral (que detenha os planos e as diretrizes da política de segurança da informação), uma tática (padronização por normas) e uma operacional (que define os procedimentos dos processos), que leve em consideração as ameaças e as vulnerabilidades da empresa, com relação à segurança de seus dados. Daniel Donda explicita-as como as três camadas para uma boa política da segurança da informação.

Quais os riscos que preciso gerenciar?

Os riscos são gerenciados com base na Política de Segurança da Informação, cuja medição se dá, de forma específica, pela avaliação dos riscos, com base nas ameaças que devem ser consideradas e nas vulnerabilidades da empresa, para que sejam, então, identificados os riscos, a fim de se propor ações que objetivem mitigá-los.

Para o gerenciamento dos riscos, deve haver os seguintes questionamentos e análises:

Quais são os ativos da empresa? Quais são as ameaças para a empresa? Quais as vulnerabilidades dos ativos? Qual a probabilidade de uma ameaça se utilizar da vulnerabilidade de um dos ativos? Qual a magnitude do impacto que a ocorrência de um risco geraria para a empresa?

Esses questionamentos possuem atributos qualitativos ou quantitativos subjetivos à empresa considerada, uma vez que a reputação, o capital humano e os próprios dados pessoais possuem valores diversos, a depender da atividade da empresa e da essencialidade de cada atributo para o seu funcionamento.

4/7 Termos e Condições de Uso e Segurança, Política de Privacidade e Proteção de Dados, Cookies e Contratos

Modelos contratuais deverão ser revistos, em conformidade com a LGPD: por exemplo, em relação à coleta de consentimento livre, informado e inequívoco ao tratamento de dados pessoais (específicos) para uma finalidade determinada, ou também a possibilidade de tratamento com base no legítimo interesse da empresa (inc. IX, art. 7° e art. 10 da LGPD) ou em cumprimento de obrigação legal ou regulatória (inc. II, art. 7°). Além disso, é importante o destaque sobre o consentimento específico necessário para o tratamento de dados pessoais sensíveis.

A Política de Privacidade, para as atividades online da empresa, deverá também ser formulada ou reformulada, com eleição de foro competente para os conflitos a que possam advir entre a empresa e os usuários.  Deverão também ser constituídos os Termos e Condições de Uso e de Segurança do website.

Além disso, deverá também haver a instituição de uma Política de Cookies (arquivos instalados nos dispositivos do usuário que visam a otimização da navegação em websites), em formato de browse-wrap ou click-wrap, que definam, de forma específica, quais os tipos e quais as finalidades dos cookies utilizados.

5/7 Relatório de Impacto à Proteção de Dados (RIPD)

Está conceituado na LGPD pelo inc. XVII do art. 5°. O Relatório de Impacto à Proteção de Dados deve detalhar, de forma completa, o processo de tratamento de dados realizados pela empresa, especificando-o quanto a todo o ciclo de vida dos dados (da coleta à sua eliminação) e todas as bases legais utilizadas para o tratamento (pelo consentimento, pelo legítimo interesse, para o cumprimento de obrigação legal, dentre outras, como especificadas pelo art. 7° da LGPD).

Deve incluir uma análise sobre os riscos que existem quanto às operações da empresa, especificamente em relação à segurança das informações e dos dados pessoais (como abordados também na Política de Segurança da Informação), bem como a magnitude do impacto que esses riscos representam, no caso de suas respectivas ocorrências. Ainda, deverá demonstrar quais são as medidas técnicas de segurança e boas práticas adotadas para preveni-los (uma das razões pelas quais é necessária a comunicação entre os técnicos da TI com o Encarregado e com o setor jurídico, para a elaboração desse documento).

Este documento poderá ser requerido pela ANPD, a qualquer momento, como dispõe o art. 38 da LGPD. É possível que a Autoridade, futuramente, também disponha, de forma detalhada, sobre quais os requisitos mínimos que devem estar contidos em um RIPD.

6/7 Cultura da Privacidade e da Proteção de Dados

A conscientização dos funcionários e de todo o corpo operacional da empresa sobre como agir em relação aos documentos e instrumentos que contenham dados pessoais, bem como ao respeito de regras e procedimentos de acesso e de segurança da informação, por exemplo, são tão importantes quanto as ações mencionadas nos tópicos anteriores, já que uma empresa não é totalmente automatizada e é operada por um capital humano, também falível.

Para diminuir a possibilidade da incidência dessas falhas, é importante que o Comitê de Privacidade e Proteção de Dados se responsabilize pelo treinamento contínuo dos indivíduos que estão em contato direto com os dados pessoais tratados.

7/7 Auditoria

A auditoria externa permite o registro das operações de tratamento de dados pessoais realizadas por uma empresa, à semelhança do que requer o art. 37 da LGPD.

Nesse sentido, é um importante meio para a constituição de provas referentes à conformidade das operações com a LGPD, já que as operações podem ser, além de verificadas pelo Comitê de Governança em Privacidade e Proteção de Dados, ao estilo de uma auditoria interna, também auditadas de forma externa.

Considerações finais

A depender da complexidade da empresa, uma assessoria jurídica e um kick-off meeting poderão esclarecer os primeiros passos para este longo processo de implementação da LGPD, ao qual deverão se seguir muitas outras reuniões, a fim do contínuo monitoramento da atividade de tratamento dos dados pessoais.

Referências bibliográficas

BRASIL. Comitê Central de Governança de Dados. Guia de Boas Práticas – Lei Geral de Proteção de Dados (LGPD). Guia de Boas Práticas para Implementação na Administração Pública Federal. Brasília, Comitê Central de Governança de Dados, abril de 2020. Disponível em: <https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-lgpd.pdf>. Acesso em: 11 de novembro de 2020.

BRASIL. Lei n. 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Brasília, Diário Oficial da União, 24 de abril de 2014. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em: 11 de setembro de 2020.

BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Brasília, Diário Oficial da União, 14 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 11 de setembro de 2020.

COSO. COSO Internal Control– Integrated Framework Principles. Committee of Sponsoring Organizations of the Treadway Commission, 2013.

DONDA, Daniel. Guia prático de implementação da LGPD. São Paulo: Editora Labrador, 2020. Edição Kindle, p. 31.

LIMA, Cíntia Rosa Pereira de. PEROLI, Kelvin. Direito Digital: Compliance, Regulação e Governança. São Paulo: Quartier Latin, 2020.

Perfil do Autor

Graduando em Direito na Faculdade de Direito de Ribeirão Preto da USP, com experiência acadêmica na Seconda Università degli Studi di Napoli (Itália). Membro dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Pesquisa do CNPq. Integrante do Grupo de Estudos "Tech Law", do Instituto de Estudos Avançados da USP. Associado Fundador do Instituto Avançado de Proteção de Dados - IAPD. Membro do IBDCONT - Instituto Brasileiro de Direito Contratual. Autor de livro e artigos sobre Direito Digital.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima