Jurídico e TI precisam atuar coordenadamente nos projetos de LGPD

Desde 20108, com a promulgação da lei 13.709/18 (Lei Geral de Proteção de Dados - LGPD), empresas que realizam tratamento de dados pessoais se viram diante da necessidade de adequarem suas operações às exigências normativas.

Passados mais de três anos da entrada em vigor apósdesse novo marco legislativo, as organizações ainda têm dúvidas quanto às boas práticas a serem adotadas e, principalmente, quanto ao processo de implantação e manutenção de um programa de governança de dados.

A LGPD, em seção dedicada às boas práticas e governança, elenca que o controlador de dados pessoais deve estar comprometido em adotar processos e políticas internas que assegurem a proteção de dados pessoais, de forma adequada à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados.

Ainda, prevê que, independentemente do modo como foi realizada a coleta de dados pelo controlador, este estabeleça salvaguardas adequadas, com base em processo de avaliação sistemática de impactos e monitoramento contínuo de riscos à privacidade. Deve, igualmente, ser capaz de responder e remediar incidentes de segurança, tão comuns nos dias atuais.

A Lei é responsável por uma mudança de paradigmas quanto à forma como os dados pessoais e, principalmente, a figura do titular são percebidos. Tamanha é a mudança que, em 20 de outubro de 2021, o plenário do Senado Federal aprovou a Proposta de Emenda à Constituição (PEC) 17/19, que torna a proteção de dados pessoais, inclusive nos meios digitais, um direito fundamental.  Assim, com o objetivo de estabelecer uma relação de confiança com o titular, a empresa deve manter uma atuação transparente e que assegure mecanismos de participação deste titular.

Percebe-se que, na prática, três pilares são fundamentais para uma adequação efetiva à LGPD. Para implementar a LGPD, é preciso ter oum entendimento fundamental de que a lei impacta toda impacta a todaorganização, independentemente do porte, segmento, seja ela privada ou pública. Fazer com que a empresa esteja adequada à lei vai exigir esforços de todas as áreas se baseando em três pilares: Jurídico, TI e Processos de Negócios.

O papel do jurídico é respaldar as atividades de tratamento do Controlador e garantir que estão em conformidade com a LGPD. A Lei elenca as bases legais que permitem o tratamento de dados, de modo que cada processo envolvendo dados pessoais precisará estar atrelado a uma ou mais bases. Desse modo, feito o mapeamento dos dados, o jurídico deve identificar se há um embasamento para os um dado processos identificados, indicar o período de retenção recomendado ou a necessidade de mudar ou interromper um tratamento, caso seja não tenha fundamentação legal. 

Cabe também ao jurídico incluir nos novos e nos contratos da empresa e nos já existentes da empresa previsões acerca da proteção de dados pessoais. Juntamente às áreas estratégicas da companhia, o jurídico deverá definir as medidas de segurança mínimas exigidas para a contratação de um terceiro, a aplicação de multa, em caso de descumprimento contratual, definir a posição como agente de tratamento de cada uma das partes envolvidas, bem como suas respectivas responsabilidades. Ainda, está sob sua responsabilidade assessorar, juntamente ao Encarregado pela Proteção de Dados, as áreas internas da organização empresa acerca da legalidade de suas operações aos olhos da LGPD.

A TI (tecnologia da Informação) será responsável por arquitetar e gerir toda infraestrutura tecnológica, passando por equipamentos (servidores, computadores, redes físicas, dispositivos móveis etc.), sistemas (Financeiro, Operações, CRM, GED etc.), SI (Segurança da Informação) e canais de comunicação (links de internet, e-mail, intranet, telefonia, dentre outros). Ações de Inventário de dados e registro das operações de tratamento deverão ter prioridade, bem como a área de Segurança da Informação terá forte demanda e um papel fundamental em todo processo. Será a responsável por implementar e treinar toda a empresa nas políticas de segurança estabelecidas através de normas de utilização dos recursos existentes, bem como recorrentes e constantes análises de vulnerabilidades visando sempre a proteção de dados e privacidade.

A área de Processos de Negócios ou Governança atuará integrando todas as áreas, como RH, Finanças, Marketing e Vendas. Este pilar precisará elaborar um programa de conscientização e treinamento ao longo do processo de adequação e até mesmo posteriormente para manter e atualizar tudo que venha a ser adequado. Também será necessário fazer gestão de terceiros e alinhar com o Jurídico e TI sobre as políticas de privacidade, políticas de SI e como serão tratados e comunicados os eventuais incidentes.

Desde que a LGPD foi sancionada temos visto ao longo do tempo certa disputa de maior ou menor importância no processo de implementação da lei. O Jurídico e a TI são as duas áreas que inegavelmente têmtem se destacado na adequação à LGPD. Contudo, ainda que ambas as áreas realmente tenham maior demanda e destaque em todo o processo, sem a colaboração uma da outra não será possível ter uma jornada totalmente eficaz, pois ambas são essenciais.

Podemos citar alguns exemplos onde a colaboração entre TI e Jurídico é  sãofundamentalis para o processo de adequação à LGPD: Este é um trabalho que realmente precisa de muita harmonia entre o Jurídico e a TI. Políticas de segurança da informação precisam prever questões de adequação a normas, tais como utilização de internet, de equipamentos, backup, de respostas a incidentes, normas e procedimentos de recuperação de desastres, dentre outros que podem afetar a continuidade do negócio. Muitas delas podem estar estabelecidas em diretrizes e até mesmos em leis de uma área específica e podem impactar uma base legal. Uma vez que o jurídico identifique e estabeleça o que precisa ser cumprido, a TI precisará elaborar e implementar sistemas de segurança da informação que garantam a proteção e privacidade dos dados. 

A LGPD cria a corresponsabilidade da proteção dos dados entre as empresas no que ela define como Controlador e Operador de dados. Para esclarecer o papel de cada um podemos pegar a situação em que o corretor de seguros coletará os dados do funcionário da empresa que será cadastrado no plano de saúde, por exemplo. Nessa situação a empresa empregadora é a Controladora de dados do funcionário e o corretor é o Operador. Nesse caso, temos ainda a seguradora que também será a operadora de dados. Mas, quantas empresas terceiras podemos ter que gerenciar? Contador, corretor de seguros, empresa de benefícios, franquias, dentre outras, não é mesmo?

A dobradinha Jurídico e TI precisará trabalhar em sintonia mais uma vez. O jurídico estabelecendo as regras e normas nos contratos de prestação de serviços e como esses terceiros deverão atuar e prestar contas. A TI precisará garantir armazenamento e tráfego de dados de forma segura, além de toda a política de segurança da informação como já dito acima.

A política de privacidade é o documento onde a organização indica como realiza o tratamento de dados pessoais, onde armazena, por quanto tempo, quais bases legais fundamentam esses tratamentos e a forma de exercício (canais de comunicação, especialmente o canal de comunicação do DPO/Encarregado de Proteção de Dados), pelos titulares de dados pessoais, de seus direitos. A boa prática é no sentido de informar o titular, nesse normativo, quais direitos ele pode exercer.

A publicação de política de privacidade alinhada com a forma efetivamente utilizada pela organização para tratar dados pessoais configura a concretização do princípio da transparência e demonstra boa-fé. Esse normativo, repise-se, deve estar alinhado com as práticas internas da organização, o que somente é possível após a realização de um minucioso mapeamento de dados pessoais e muita colaboração e sinergia entre as áreas.

Conforme se pontuou ao longo do texto, é essencial a colaboração para a implementação e gestão do programa de governança em privacidade. Além de estabelecer boas práticas, processos e procedimentos em obediência à LGPD e demais normativos relacionados à proteção de dados, deve-se manter essas práticas sob monitoramento e, invariavelmente, atualização e melhoria constante.