A Lei Geral de Proteção de Dados está em vigor desde 18 de setembro de 2020, com exceção da aplicabilidade de multas administrativas. A norma jurídica visa alcançar uma série de objetivos, tais como assegurar a transparência nas operações de tratamento de dados pessoais e dados sensíveis; o estabelecimento de uma norma legal padronizada para as operações de coleta, transferência, armazenamento e uso de informações pessoais; bem como garantir uma segurança jurídica entre o titular dos dados, os controladores e os operadores de dados.
A partir deste novo cenário regulatório, a forma como entidades públicas e privadas realizam o tratamento de informações pessoais passa a depender da adequação a uma série de requisitos legais definidos pela Lei n° 13.709/2018, popularmente conhecida como LGPD. Ante o exposto, apesar de ainda não ocorrer a aplicação de multas administrativas pela Autoridade Nacional de Proteção de Dados (ANPD) – órgão responsável pela fiscalização do cumprimento da LGPD – é recomendável que empresas de todos os mercados e de todos os tamanhos passem a adotar medidas para garantir o compliance com a referida legislação.
Isso ocorre a partir do momento em que se entende por “operações de tratamento de dados pessoais” todo e qualquer procedimento que envolva a coleta, o uso, armazenamento, transferência, processamento, acesso ou consumo de dados pessoais referentes a pessoas físicas identificadas ou identificáveis. Ato contínuo, todas as empresas estão abarcadas pelo escopo desta legislação, uma vez que existe o tratamento de dados pessoais tanto de funcionários, quanto de clientes (a depender das circunstâncias).
Logo, surge a necessidade de aplicação dessa norma. Para tanto, a lei estipula a criação da Autoridade Nacional de Proteção de Dados, instituição responsável por garantir a fiscalização e aplicação da LGPD. A ANPD é um órgão do governo vinculado à administração direta, incumbido da implementação da Lei Geral de Proteção de Dados, apresentando obrigações identificadas com a segurança da informação e segurança individual. A instituição é vinculada à Presidência da República e deve cumprir os requisitos da Lei nº 13.709/2018, fiscalizando o seu cumprimento e impondo multas administrativas àqueles que não se adequarem às respectivas previsões legais. Assim, é de boa medida indicar metodologias que possam auxiliar empresas a se adequarem à referida norma jurídica. Tais medidas variam desde, contratar um escritório ou consultoria jurídica especializada para realizar o projeto de adequação, em sua entrega integralidade, até como revisão de políticas de privacidade, termos e condições os serviços, redefinir o escopo do departamento jurídico ou mesmo criar um departamento jurídico, caso a instituição não possua.
Geralmente, um projeto de adequação legal à LGPD se subdivide em três grandes etapas, sendo elas: mapeamento de fluxo de dados, análise e mitigação de riscos, implementação de otimizações.
Seção 01 – Mapeamento de Fluxo de Dados
Na primeira etapa, a fase de mapeamento de fluxo de dados, busca-se compreender a forma como dados pessoais de pessoas físicas identificadas ou identificáveis ingressam no sistema de determinada instituição, sejam eles por meio físico ou digital. Como o nome implica, esta etapa busca identificar quais são as informações coletadas, porque são coletadas, como são coletadas, onde residem essas informações e quem tem direito de acessá-las.
Após a realização da etapa de mapeamento de fluxo de dados, é possível emitir uma série de relatórios e indicar de forma mais precisa o escopo do projeto de adequação, uma vez que são respondidas perguntas como: ocorre o tratamento de dados pessoais sensíveis? Existem operações de tratamento de dados de menores de 18 (dezoito) anos de idade? Há a aplicação de alguma das bases legais para o tratamento de dados?
A etapa de mapeamento de fluxo de dados tenta identificar quais são as atividades de tratamento de informações pessoais que ocorrem na instituição, quais são os tipos de informações tratadas, a quem pertence essas informações porque ocorre o tratamento de tais. Desta forma, aproveita-se esse momento para identificar possíveis medidas de segurança que já são implementadas para garantir a proteção dessas informações, bem como identificar situações em que possa ocorrer o compartilhamento de dados com terceiros ou mesmo o armazenamento dessas informações em sistemas terceirizados, tais como Google Drive, One Drive, Dropbox, ou outros.
Ainda no processo de mapeamento, preconiza a identificação de possíveis níveis hierárquicos internos da instituição para acessar essas informações, possível compartilhamento de dados dentro da própria instituição (a exemplo, o setor financeiro compartilha informações de pagamento e dados pessoais dos funcionários com o departamento de RH), possivelmente diagnosticar o período pelo qual essas informações são retidas pela empresa e, por consequência, se ocorre a eliminação após o vencimento do prazo de retenção. Ato contínuo, a etapa materializa a possível incidência de bases legais para o tratamento de informações, no momento da coleta, bem como a ocorrência de decisões automatizadas.
Comumente, a primeira fase do processo de adequação à Lei Geral de Proteção de Dados é a mais demorada, dado que depende diretamente da interação entre diversos setores da empresa e do responsável pelo projeto de adequação. Vale ressaltar que, quanto mais minucioso for o processo de mapeamento, mais fácil será de identificar possíveis gaps que ocorrem nos procedimentos de tratamento de dados pessoais, em determinada instituição.
A forma como esse procedimento incidirá sobre a instituição ficará a encargo do responsável pelo projeto de adequação legal, optando por realizar entrevistas, palestras, questionários, gravações, teste de produtos, etc.
Seção 02 – Análise e Mitigação de Riscos
Na segunda etapa do projeto de adequação legal, busca-se analisar possíveis falhas no processo de tratamento de informações pessoais da instituição. Para que esta etapa ocorra, é necessário que a primeira fase do projeto de adequação preceda a esta. Isso se deve ao fato de que, é de extrema dificuldade realizar uma análise precisa e indicar soluções adequadas para mitigação dos riscos que incidem sobre os procedimentos de tratamento de dados pessoais, sem que antes haja a identificação de quais informações são tratadas, de que forma são coletadas, armazenadas, transferidas, acessadas e protegidas.
Nesta fase, é recomendado que o responsável faça uma revisão contratual e documental internas – tais como Políticas de Privacidade e Termos e Condições de Uso. Através da análise dos dados obtidos a partir da primeira fase do projeto de adequação, o responsável cria condições de identificar pontos em que a instituição peca aos olhos da LGPD.
Vale ressaltar que, a LGPD não busca punir instituições que realizam tratamentos de dados pessoais, mas sim garantir que a forma como estas operações ocorrem sejam legalmente fundamentadas e garantam a segurança jurídica tanto para instituição, quanto para os titulares dos dados pessoais. A norma não tem fator proibitivo, mas sim garantidor de que tais procedimentos sejam regrados. Tão somente, a referida norma jurídica estipula bases legais para que o tratamento de informações pessoais possa ocorrer, ou seja, constam de justificativas jurídicas para a realização dos procedimentos de tratamento de dados, sendo:
Além de possibilitar a identificação de bases legais que possam incidir sobre as operações de tratamento de dados pessoais, esta fase do projeto de adequação legal busca, também, identificar falhas de segurança, acessos desnecessários ou indevidos aos dados pessoais tratados, ou mesmo otimizações nos procedimentos e operações diárias da instituição.
Seção 03 – Implementação de Otimizações
Por fim, temos a etapa de implementação de otimizações, ou simplesmente implantação. É nesta fase que otimizações e correções apontadas na etapa anterior serão implementadas. Ao final do projeto de adequação legal, é o momento onde instrumentos para transferências internacionais de dados são elaborados, onde possíveis procedimentos que estejam em desacordo com o texto da LGPD são revistos e modificados para garantir seu compliance e é o momento no qual a forma como os dados são coletados, armazenados, transferidos, acessados e assegurados possivelmente sofre alguma alteração.
É de bom costume revisar contratos que lidem com dados pessoais, sejam eles entre controladores e operadores, instituição e pessoa física, ou mesmo perante relações com o Estado. Recomenda-se também, a revisão de políticas internas e externas da empresa, definir a figura do encarregado, elaborar um plano de resposta aos incidentes para lidar com eventuais casos de vazamento de dados, realizar treinamentos da equipe – não só do departamento jurídico, mas de toda a instituição, uma vez que o tratamento de informações pessoais se refere não apenas à informações de clientes e terceiros, mas de funcionários também.
Reitera-se que recomendações e medidas direcionadas para a etapa de implantação dependem diretamente da situação específica de cada instituição, resultando em recomendações distintas a depender das circunstâncias. Com relação à adaptação do ambiente digital para garantir segurança aos dados que lá se encontram, é indicado que a instituição procure uma empresa responsável por atuar diretamente com a segurança no espaço digital.