Pontos críticos a serem observados no ato da implantação da LGPD

Primeiramente cabe ser pontuado que a LGPD (lei Geral de Proteção de Dados) nasceu devido aos vazamentos de informações por empresas que expõem a privacidade das pessoas, e assim, acompanhando o que aconteceu na União Europeia em 2018, com a entrada em vigor do GDPR (General Data Protection Regulation - Regulamento Geral de Proteção de Dados), o Brasil criou a sua própria lei de Proteção de Dados, a LGPD (lei Geral de Proteção de Dados).

O presidente Jair Bolsonaro sancionou no dia 17/09/20 a Medida Provisória 959, que tratava do prazo da LGPD; e como o Senado havia determinado vigência imediata, a lei começou a valer no dia 18/09/20.

A mencionada lei veio regulamentar o uso de dados pessoais por parte das empresas ampliando as garantias de privacidade de pessoas naturais na web e fora dela, afetando todas as empresas (brasileiras e estrangeiras) que coletam, armazenam ou processam dados pessoais de indivíduos residentes ou localizados no Brasil.

Assim, para dar continuidade as explanações e poder possibilitar chegarmos juntos à identificação dos pontos críticos a serem observados no ato da implantação da LGPD, faz-se essencial ter em mente 04 definições específicas: Dados pessoais, Consentimento, Tratamento e Anonimização.

Dados Pessoais

Informações de pessoa física identificada ou identificável. Considerando como identificável aqueles dados que não identificam a pessoa diretamente, mas possibilitam que haja essa identificação por outros meios.

A verdade é que os dados pessoais são o principal ponto de atenção em relação à LGPD. Dentre eles pode-se destacar: nome, endereço, RG, CPF, números de telefone, números de IP etc.

Consentimento

Forma mais simples e de maior visibilidade para as empresas poderem tratar dados. Como o próprio nome diz, trata-se de autorização, por parte da pessoa física, para que a empresa faça o tratamento daquele dado.

A LGPD relaciona 10 formas de autorização legal para o tratamento dos dados, sendo o consentimento apenas uma delas. Caso tenham curiosidade as demais são as listadas abaixo:

1.  Atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
2. Cumprimento de obrigação legal ou regulatória;
3. Execução de contrato ou de procedimentos preliminares relacionados a contrato;
4. Exercício regular de direitos em processo judicial, administrativo ou arbitral;
5. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
6. Proteção da vida ou de perigo físico do titular ou de terceiros;
7. Proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
8. Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
9. Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

Tratamento

O conceito de tratamento no âmbito da LGPD é bastante amplo, mas, em resumo, refere-se ao ciclo de ponta a ponta durante o qual o dado pessoal está sob o poder da empresa.

São formas de tratamento de um dado: controle, armazenamento e processamento (qualquer transação envolvendo dados pessoais, independentemente do processo utilizado. Por exemplo: salvar, organizar, manter, editar, reconciliar com outros dados, transmitir etc.).

De forma macro, pela imagem abaixo podemos ver didaticamente como o ciclo de vida do dado pessoal se dá:

Anonimização

Obtida por meio da utilização de alguma tecnologia para tornar determinado dado não vinculado a uma pessoa, de forma que o dado perde a característica de dado pessoal. Isso acontece, por exemplo, quando uma empresa não tem mais o consentimento da pessoa física para tratar os dados dela, mas faz uso de recurso tecnológico para permanecer com parte daquela informação, mas sem a possibilidade de manter a identificação do titular.

Agora tratando da implantação da LGPD em uma empresa, a seguir temos breve e resumido passo a passo de como atender a lei:

Importante salientar que a não regularização imporá às empresas as seguintes penalidades: advertência, publicidade da infração, bloqueio ou eliminação dos dados pessoais tratados de forma ilegal ou insegura, multa simples por infração e multa diária até o limite máximo.

As multas podem chegar a até 2% do faturamento do grupo econômico no Brasil no último exercício, limitadas a R$ 50.000.000,00. E, além das penas, há responsabilidade civil: indenização por perdas e danos.

Por fim, depois de todo o exposto e visando auxiliá-los na implantação da LGPD, podemos relacionar os pontos considerados mais críticos e que devem necessariamente ser verificados no processo de implantação da LGPD. Quais sejam:

•   Realizar a confirmação:

- quais as áreas foram mapeadas e quais não foram possíveis a verificação e realização dos trabalhos. Informar a justificativa.

- se há áreas que foram mapeadas parcialmente ou que a consultoria tenha considerado frágil o levantamento das informações. Informar a justificativa.

- sobre cautelas (forma de coleta, armazenamento e compartilhamento das informações) quanto a(o):

- dados pessoais de funcionários;

- histórico de saúde de funcionários;

- dados pessoais de representantes legais de clientes;

- dados pessoais de fornecedores;

- dados pessoais de consumidores;

- dados pessoais de acionistas.

* Sugere-se que a depender do ramo de atuação da empresa os itens listados logo acima sejam revistos.

- se pela análise considera-se que a empresa possui equipe de TI preparada ou se há necessidade de ajustes.

- se foram identificados todos os tipos de armazenamento de dados, ou se houve apenas a identificação parcial, ou ainda se a consultoria tenha considerado frágil algum armazenamento. Informar a justificativa.

- base legal para guarda de cada tipo de dado.

- sugestão de formato para implantação de uma ferramenta de gestão de consentimento e de cookies (forma interna ou contratação de terceiro).

- avaliação da devida forma de Segurança da informação.

- ajuste de normas (Código de ética, termo de confidencialidade política de segurança da informação...).

- ajustes das minutas contratuais, com a inclusão de cláusula que regule a proteção de dados.

- periodicidade de treinamento para sensibilização dos colaboradores de toda a empresa (sugestão: incluir multas já aplicadas às empresas e processos administrativos, bem como, os judiciais que já estão surgindo).

- sugestão de formato de canais de denúncia (forma interna ou contratação de terceiro).

- forma de divulgação de canais de denúncia e

- criação de POP (Procedimento Operacional Padrão) de tratamento das denúncias recebidas.

- confecção de relatórios previstos na legislação, RIPD e LIA, para cada processo da empresa.

- contratação do DPO.