A Lei Geral de Proteção de Dados (LGPD), sancionada em 14 agosto de 2018, começou a vigorar em 20 de setembro de 2020 e já se encontra em vigência, porém, em função da pandemia, a aplicação de penalidades para as organizações que a desobedecerem foi adiada para agosto de 2021.
Esta nova legislação apresenta bases legais para o tratamento de dados pessoais, dentre elas o consentimento e o interesse legítimo, nas quais o processamento de dados pessoais pode ser permitido e tratado. Ela engloba todos aqueles que manipulam dados pessoais independentemente, do meio utilizado, país de sua sede ou de onde estejam localizados os dados, desde que os tratamentos sejam realizados em território nacional.
No outro artigo já falamos sobre Impactos da LGPD sobre o direito à privacidade dos cidadãos, e, neste, nosso objetivo é demonstrar como as organizações devem se adequar à LGPD, de forma simples e ágil, seguindo todo o compliance nas áreas envolvidas, nos seus processos e na tecnologia da informação.
Para falarmos em adequação à LGPD temos de apresentar quais são os tipos de dados regulados pela lei
Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável.
Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Dado Pessoal Anonimizado: Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Base Legal
A LGPD apresenta 10 bases legais, sendo que o consentimento foi a base central delas, para o tratamento de dados pessoais. São elas:
- Mediante consentimento do titular.
- Para cumprimento de obrigação legal ou regulatória pelo controlador.
- Pela administração pública, para uso compartilhado na execução de políticas públicas previstas em leis, regulamentos ou respaldadas em contratos.
- Para realização de estudos por órgão de pesquisa.
- Para execução de contrato/procedimentos preliminares a pedido do titular.
- Para exercício regular de direitos em processo judicial, administrativo ou arbitral.
- Para a proteção da vida ou integridade física do titular ou de terceiros.
- Para a tutela da saúde, exclusivamente em procedimentos realizados por profissionais de saúde ou entidades sanitária.
- Para atender interesses legítimos do controlador ou de terceiros, exceto quando prevalecerem os direitos e liberdades do titular que exijam a proteção de dados.
- Para proteção de crédito.
Princípios de boa fé
Os dez princípios, apresentados na Lei, visam assegurar a efetiva e adequada atividade de tratamento dos dados pessoais.O processo de tratamento de dados pessoais deve seguir os princípios:
- Finalidade – Propósitos legítimos, específicos devem ser informados previamente e de modo explícito ao titular
- Adequação – As atividades realizadas com dados pessoais devem ser compatíveis com a finalidade informada ao titular.
- Necessidade – Tratamento de dados pessoais apenas será realizado quando realmente necessário para realização das finalidades.
- Livre Acesso – O titular tem o direito de obter consulta facilitada e gratuita a respeito da forma e da duração do tratamento de seus dados pessoais.
- Qualidade – Dados dos titulares devem ser mantidos atualizados, claros e exatos.
- Transparência – Dados dos titulares devem ser claras, precisas e de fácil acesso.
- Segurança – Utilização de medidas técnicas e administrativas de segurança.
- Prevenção – Adoção de medidas preventivas à ocorrência de danos, tais como auditorias periódicas, monitoramento, capacitações etc.
- Não Discriminação – Impossibilidade para fins discriminatórios ou abusivos.
- Responsabilização – Adoção de medidas pelo agente capaz de comprovar o compliance com a LGPD.
Quem são os sujeitos envolvidos
Direitos dos Titulares
O titular tem direito a pedir a confirmação de tratamento e acesso aos seus dados, desde a origem da coleta até os critérios aplicados e a finalidade de sua utilização. São direitos dos titulares:
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários;
- Portabilidade dos dados a outro fornecedor de serviço ou produto;
- Eliminação dos dados pessoais, cancelamento ou exclusão de dados desnecessários;
- Informação das entidades públicas e privadas com as quais o controlador os compartilhou;
- Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
- Revogação do consentimento a qualquer momento, mediante manifestação expressa;
- Oposição: titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, caso não estejam em conformidade com a lei.
Como se adequar à LGPD
Se adequar à LGPD é um processo complexo e necessário. Na verdade, trata-se de um projeto, pelo qual deve-se realizar levantamentos cobrindo toda a esfera legal, seguindo os princípios e eliminando todo e qualquer risco.
Fica claro que, além da adequação em documentos, processos e sistema informatizados, o projeto impulsionará uma mudança na cultura organizacional das organizações. Isso demonstra a importância de que os colaboradores, clientes e fornecedores sejam conscientizados quanto à LGPD e que a consultoria atue sempre como parceiro estratégico.
Diagnóstico
Compreende todo o trabalho analítico, realizado com intenção de localizar e mapear cada fragilidade existente no processo. Podendo citar dentre outros:
- Inventário e elaboração de mapas de riscos dos dados pessoais de clientes, dos colaboradores e dos fornecedores.
- Avaliação do ciclo de vida de cada um deles, as falhas no processo de tratamento e os riscos de vazamento.
- Definição de estratégias a fim de que as informações sejam acessadas apenas por pessoas autorizadas e para as finalidades permitidas na LGPD.
Por meio desta avaliação, torna-se possível proceder, com máxima eficiência, à implementação de soluções específicas e eficazes.
Comitê Interno
- Criação de um grupo de trabalho multidisciplinar, composto por representantes de todas as linhas de negócios,sempre com o suporte do Jurídico, de Compliance e da área de Segurança da Informação.
- Definição dos pontos focais, de cada área responsável. A atuação do comitê, em linhas gerais, visa possibilitar que todos os processos estejam sendo realizados de acordo com a LGPD e ao Plano de Gestão da Segurança da Informação, voltado para a proteção de dados pessoais.
Implementação das Soluções
- Implementação Regulatória – Visa a adequação regulatória aos termos da LGPD, incluindo a avaliação de documentação de Recursos Humanos, Negócios, Operações, Suprimentos etc., objetivando o alinhamento destes processos ao compliance legal.
- Implementação de Processos – Trata do alinhamento das posturas cotidianas da empresa a uma rotina mais adequada ao conceito de Encarregado, por meio da revisão de fluxo de dados pessoais, processos internos e capacitação de pessoal.
- Implementação Tecnológica – Visa a adequação regulatória e dos processos à tecnologia da informação, nos sistemas informatizados, objetivando o alinhamento dos sistemas e infraestrutura de TI ao compliance legal.
Transparência do Negócio
Implementação de práticas adotadas para assegurar que os processos estejam de acordo com a LGPD, para conhecimento de todos. Elaboração de um manual, que inclua a política de privacidade, e que descreva, além do processo de tratamento, o que deverá ser seguido por todo o time. Transparência com o cliente, fornecedores ou usuários do seu serviço também é fundamental.
Avaliação Final
Elaboração de relatório final e validação do novo ambiente de segurança, com a realização de testes, avaliação de processos implementados, revisão das políticas de segurança e atendimento ao compliance, visando a elaboração de laudo que ateste a conjuntura da empresa, tanto para fins de referência quanto para apresentação como resposta-padrão a titulares de dados ou à própria ANPD.
Conclusão
O processo de adequação é complexo, demanda muito esforço e tempo, mas não é um “bicho de sete cabeças”. Contudo, exige uma metodologia simples, ágil e sem burocracia, além de uma equipe com profissionais qualificados para que sua execução seja eficiente. É de suma importância o envolvimento de toda estrutura organizacional, haja vista que tal fato impulsiona a uma mudança de cultura positiva, que impacta diretamente na atividade empresarial. Ressaltamos a importância de não deixarem o projeto “para a última hora”, porque os impactos podem não ser nada satisfatórios.
Podemos dizer que a adequação, de fato, é um desafio e uma grande oportunidade de avanço estratégico para as organizações na área de segurança da informação. E por fim, é de fundamental importância a transparência e a conscientização nas organizações que almejam uma conduta ética e confiável na privacidade de dados pessoais..
Portanto se sua organização ainda não iniciou o processo de adequação, a sugestão é: Inicie agora! A ConTI Consultoria pode ajudar sua empresa nas adequações da nova Lei Geral de Proteção de Dados. Entre em contato com nosso time.