Para implementar a LGPD você precisa dominar estes conceitos

Se pararmos para analisar as leis de proteção de dados, convenhamos, elas não trouxeram nada de novo para as organizações, a não ser a obrigação de fazer algo que muitas já faziam, porém seguindo algumas novas condições aplicados à um tema específico: os Dados Pessoais.

Porém, percebe-se que grande parte das dúvidas sobre como atender a regulamentação vem da falta de reflexão sobre os objetivos da lei. Compreender os objetivos da lei e alguns princípios permite abrir a mente para sugerir ações de forma muito mais fácil e prática sem depender integralmente de especialistas para explicar os conceitos mais óbvios.

Por isso, organizamos um conteúdo claro e objetivo para que você consiga tirar todas as dúvidas e tomar as primeiras decisões rumo a implementação.

Este conteúdo foi organizado nos seguintes tópicos:

• A LGPD gira em torno de que?
• Qual a diferença entre dados pessoais e dados sensíveis?
• Em qual contexto a LGPD se aplica?
• Quem deve seguir a lei?
• Quais os principais aspectos abordados pela lei?
• Quais as obrigações a LGPD gera para as organizações?
• Quais são as penalidades?
• Quais princípios devem ser considerados para tratar dados pessoas?

A LGPD gira em torno de que?

Resposta: Proteger dados pessoais e dados sensíveis dos indivíduos.

O objetivo é dar às pessoas o controle sobre os seus próprios dados pessoais, permitindo que os indivíduos tenham poderes para escolher quem, quando, onde e como seus dados serão utilizados.

Mas qual a diferença entre dados pessoais e dados sensíveis? Não é a mesma coisa?

Resposta: Possuem correlação, mas com diferenças quanto ao impacto que geram no titular dos dados. Entenda:

Dado pessoal é uma informação relacionada à pessoa já identificada ou que a torna identificável. Digamos que são dados que podem ser utilizados para identificar diretamente alguém ou se agrupados em certo conjunto, podem ser utilizados para identificar um indivíduo específico. Exemplo: CPF, RG, Email, CNH, endereço, telefone, IPs de acesso a internet, entre vários outros.

Dado sensível é um dado que pode levar à discriminação ou constrangimento de alguém, tais como origem racial ou étnica, convicção religiosa, opinião política, dados sobre estado de saúde, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, entre outros.

Em qual contexto a LGPD se aplica?

Resposta:

Para todo tratamento de dados realizado em território nacional;
ou cujo objetivo seja a oferta ou o fornecimento de bens e serviços no Brasil;
ou de dados de indivíduos localizados ou coletados em território nacional.

Quem deve seguir a lei?

Resposta:

• Pessoas naturais (Como você), desde que se enquadre no contexto acima.
• Pessoa jurídica de direito privado e público (Sua própria empresa ou a empresa à qual você trabalha)

Quais os principais aspectos abordados pela lei?

Resposta:

• Regulação será realizada pela ANPD – Autoridade Nacional de Proteção de Dados
• As Bases Legais para o tratamento dos dados devem ser respeitadas (Falaremos sobre isso abaixo)
• Nomeação de um encarregado pelo Tratamento de Dados Pessoais (DPO – Data Protection Officer)
• Implementação e adequação de políticas e normas
• Aumento do nível da segurança cibernética
• Comunicação de Incidentes (Violação de Dados Pessoais)
• Elaboração de um Relatório de Impacto à Proteção de Dados Pessoais – RIPD (DPIA)
• Programa de Governança de Privacidade

Quais obrigações a LGPD gera para as organizações?

Resposta: Organizações coletam, manipulam, armazenam, transferem e apagam dados pessoais constantemente, o que as coloca como epicentro de riscos associados à vazamentos de dados. Com isso, elas passam a assumir a responsabilidade pela proteção destas informações e claro, obrigações.

Logo, as empresas devem:

• Implementar controles mais rígidos sobre como elas coletam, armazenam, manipulam e descartam os dados pessoais que possuem, sejam dados de colaboradores, clientes, fornecedores ou qualquer outro indivíduo, incluindo crianças que – no caso – tem tratamento diferenciado.
• Implementar novos processos internos e adaptar processos existentes, incluindo sistemas de software (quando aplicável). Se for necessário, ferramentas e sistemas devem ser adquiridos ou substituídos para registrar, armazenar evidências e automatizar algumas funções que – dependendo do volume – podem ser tornar inviáveis através de execução manual.
  • Nota: Recomenda-se que consultorias externas sejam contratadas para avaliar cada cenário e propor ações de adequação, bem como soluções de software que possam ser utilizadas para tornar as mudanças menos onerosas
• As organizações devem monitorar e documentar seu riscos periodicamente, visando conformidade com a lei de forma contínua. A LGPD é desafiadora, complexa e traz requisitos que exigem controles rígidos de segurança para todas as áreas. É necessário monitoramento constante e uso de tecnologias para automatizar atividades.

Quais são as penalidades em caso de não cumprimento?

Resposta:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, limitada a R$ 50 milhões por infração;
• Publicização da infração, que ainda pode gerar danos reputacionais graves à organização. Impactos à imagem/marca são intangíveis.
• Bloqueio/eliminação dos dados referentes à infração;

Quais princípios devem ser respeitados para tratar dados pessoas?

Princípio 01 – Boa-fé (Não omita nada dos titulares)

É um princípio geral do Direito que presume que as pessoas agem com boas intenções. Isso quer dizer que se você disser que irá coletar somente idade e gênero, mas também coletar o CPF, está infringindo o princípio.

Princípio 02 – Finalidade (Vai utilizar o dado pra que? É somente isso mesmo, tem certeza?)

Os dados devem ser tratados para propósitos específicos e determinados. Estes propósitos  devem ser informados ao titular dos dados antes da coleta, de modo claro, explícito (se possível destacado) e sem a possibilidade de utilizar os dados para outros fins diferentes do que foi declarado.

Logo, se sua organização coleta dados como um endereço residencial para enviar um produto comprado no seu e-commerce, você não pode utilizar este endereço para encaminhar correspondências ou gerar estudos estatísticos e logísticos por exemplo. Caso decida fazê-lo, deve informar isso antes de coletá-los ou solicitar uma nova autorização para o titular.

Princípio 03 – Adequação (Trocar CPF por desconto está errado)

A coleta dos dados tratados deve ser compatível com a finalidade informada pela organização. Ou seja, sua justificativa deve ter coerência com o caráter da informação que é pedida.

Exemplo 1: Nós da El Canary, não precisamos coletar dados sobre seu gênero ou orientação sexual para fornecer treinamentos por um motivo óbvio: Estes dados não são necessários para atender este objetivo.

Exemplo 2: Em um e-commerce de produtos eletrônicos, não faz sentido pedir dados sobre a saúde dos compradores, o que fere o princípio pelo uso inadequado.

Princípio 04 – Necessidade (Você precisa mesmo deste dado?)

O tratamento deve ser restrito ao mínimo necessário para a realização do objetivo que foi informado ao titular.

As organizações devem utilizar apenas os dados estritamente necessários para alcançar as suas finalidades. É imprescindível fazer uma ponderação entre o que é realmente essencial para o negócio e o que é apenas conveniente.

Nota: Quanto mais dados uma organização custodia, maior os riscos que ela assume e responsabilidades em protegê-los. É como o velho ditado: “evite dar passos maiores que suas pernas.”

Princípio 05 – Livre Acesso (Se o titular fizer solicitações, não dificulte a vida dele)

Os titulares tem direito a consulta facilitada e gratuita de forma integral ao conteúdo sobre como seus dados são tratados, incluindo o período que eles são retidos. Caso o titular realize a solicitação (conhecido como DSR), será necessário disponibilizar todos os dados que você possui sobre ele (Exemplo: um arquivo ZIP com documentos em PDF, CSV, TXT, imagens, entre outros. A lei não especifica o formato). Tudo isso sem realizar nenhum tipo de cobrança ou repassar ao titular o esforço de buscar/encontrar os próprios dados.

Princípio 06 – Qualidade dos dados (Não adianta custodiar dados, se eles estão incorretos, desatualizados ou não são confiáveis)

Imagine uma situação onde um titular de dados tem o fornecimento de um produto/serviço negado ou interrompido devido um cadastro preenchido errado.

Quantas vezes você precisou confirmar sua identidade via atendimento telefônico e foi informado pelo atendente que o dado fornecido por você não está condizente com os dados apresentados no sistema?

Como dito anteriormente, fazer a custódia de dados pessoais traz responsabilidades e obrigações. Garantir que os dados estejam corretos e atualizados é uma das formas de manter a conformidade e segurança dos titulares. O tratamento de dados desatualizados ou inexatos podem gerar prejuízos aos titulares e consequentemente à organização.

Princípio 07 – Transparência (Tá tudo claro e acessível?)

Já ouviu falar no conceito “Right to be Informed” (Direito de ser informado)? Ele traz a ideia de que as pessoas naturais como nós, têm o direito de serem informados sobre a coleta e o uso de seus dados pessoais, incluindo: seus propósitos de uso e tempo de retenção para esses dados pessoais e com quem serão compartilhados.

Além disso, o titular de dados deve ter fácil acesso à estas informações de tratamento, para qualquer organização que os custodie. Se sua organização coleta dados pessoais, ela tem a obrigação de ser transparente quanto ao uso dos mesmos.

Princípio 08 – Segurança (Proteja estes dados onde quer que estejam)

Aqui está um dos pontos que provavelmente gerarão aumento considerável de custos para as organizações: A implementação de controles de segurança, técnicos ou administrativos. Praticamente impossível sem apoio de profissionais especializados no tema.

As organizações devem adotar medidas de segurança para proteger os dados de acessos não autorizados. A própria Autoridade Nacional de Dados poderá dispor de padrões técnicos mínimos aceitáveis que deverão ser seguidos pelas organizações, mas até a data deste artigo, estes padrões não foram oferecidos.

Além disso a lei introduz o conceito de Privacy by Design, que passa a ser obrigatório em processos de coleta de dados, armazenamento, transformação e movimentação no uso dos dados. Neste caso, toda as áreas da organização que manipulam dados pessoais deverão passar por uma extensa avaliação dos processos internos e como eles deverão ser readaptados para atender critérios mais seguros de manipulação de dados.

Princípio 09 – Prevenção (Não adianta tomar providências depois do problema)

Basicamente, as organizações devem pensar e agir de modo preventivo. Não basta mais agir de modo reativo, ou seja, após uma violação. Se controles de segurança preventivos não forem adequadamente implementados, poderá cair sobre a organização ações de responsabilidade civil.

Aproveito para citar alguns conceitos para melhorar o entendimento sobre tipos de controle:

• Controles Preventivos: Previnem acidentes incidentes de segurança, violações de dados, falhas em processos. Exemplo: Treinamentos.
• Controles Detectivos: Geram alertas de que algo errado ocorreu e que é preciso corrigir um sistema ou processo rapidamente.
• Controles reativos: São acionados automaticamente quando algum problema ou falha ocorre, focando em conter danos. (Exemplo: Um plano de resposta à incidentes de violação de dados)
• Controles corretivos: São ações tomadas para corrigir problemas ou falhas identificadas e garantir que tudo volte ao normal de acordo com a situação ideal.

Princípio 10 – Não discriminação (O tratamento deste dado pode gerar algum tipo de discriminação ao titular ou colocá-lo em situação de desvantagem perante outro?)

Este é um dos princípios mais discutidos e dividem opiniões, pois podem envolver dezenas de critérios éticos, sociais e políticos, onde basicamente defende que: Todo tratamento de dados deve respeitar um fim neutro, ou seja a impossibilidade de tratamento para fins discriminatórios.

A discriminação pode ser direta ou indireta:

• Direta, quando os resultados do tratamento geraram um efeito negativo direto e injustificável para alguém. Por exemplo, negar um empréstimo bancário puramente por causa da religião de alguém.
• Indireta, quando os resultados do tratamento colocam pessoas de uma dada condição – racial ou étnica, por exemplo – em uma situação de desvantagem, comparativamente a outras pessoas. Para sermos mais práticos, imagine um sistema de inteligência artificial que – com base histórica – aprendeu a descartar currículos de pessoas por causa de sua orientação sexual ou condição física, repetindo padrões humanos utilizados no passado por pessoas preconceituosas.

Princípio 11 – Responsabilização e Prestação de Contas (Tem que poder por a culpa em alguém e mostrar uns relatórios)

Basicamente, as organizações deverão manter evidências (documentações) que comprovem que o tratamento está ocorrendo em conformidade com a lei. Aqui entra o papel fundamental dos Controladores, Operadores de dados e o Encarregado de dados que passam a ter responsabilidade direta pelo compliance com as leis.

A Autoridade Nacional de Proteção de Dados (ANPD) irá dispor sobre o relatório de impacto à proteção de dados pessoais, que as empresas deverão manter atualizados e disponíveis. A periodicidade deste relatório não foi definida.

Conclusão

Sabemos que o domínio sobre leis de privacidade depende de um extenso estudo, dedicação e entendimento do “core” das legislações, porém você não precisa ser um especialista em direito ou segurança para compreender os fundamentos da proteção de dados.

Dominar os conceitos fundamentais gera senso crítico e abre um mundo para novos debates, aprendizados e idéias que ajudam a desenvolver ainda mais o mercado e a maturidade dos serviços de privacidade.

Gostou deste conteúdo? Assine nosso editorial no formulário e receba conteúdos exclusivos diretamente no e-mail.