top of page

LGPD uma implantação na prática

Apesar da marcha do tempo e do fato de estarmos entrando na reta final (em um jogo de basquete - estaríamos no último quarter) para a finalização do prazo de dois anos, ainda vemos muitas empresas aqui no Brasil sem ter dado um único passo na direção da conformidade (compliance) com a LGPD (Lei Geral de Proteção de Dados Pessoais). Mesmo com a indefinição sobre a estrutura da ANPD (Autoridade Nacional), ameaçando a efetiva operacionalização e fiscalização da Lei, com reais possibilidades de adiamento do anúncio do “Tá valendo!” é difícil entender porque ainda estas empresas não se preocuparam com a questão, uma vez que regulamentar o uso de dados pessoais na operação dos negócios possui um viés de elevado interesse para o público em geral. Afinal, apenas lembrando “todos somos consumidores e titulares de nossos dados pessoais” e de fato é notória, crescente e legítima a preocupação com aspectos de privacidade e segurança no tratamento de nossas informações.

Além do risco de notificações e autuação com a aplicação de multas pesadas previstas na LGPD existe sempre a possibilidade da imagem e reputação da empresa serem arranhadas e desgastadas, fazendo com que a relação de confiança com clientes e parceiros na nova ordem do mundo globalizado e sustentável seja quebrada.

O objetivo deste artigo é apresentar itens práticos para que você tenha a dimensão correta de um projeto de implantação e adequação da LGPD na empresa, assim acredito que o primeiro ponto a ser abordado deva ser a questão da abrangência da Lei.

A regulamentação de proteção de dados está presente em todos os aspectos de nossas vidas e das empresas. A LGPD provavelmente será relevante para sua empresa mesmo que ela de fato não segmente seus clientes usando os dados pessoais deles. Na verdade todos os registros de recursos humanos são dados pessoais - Você possui algum sistema de segurança ou de acesso? Bom, eles também produzem dados pessoais bem como os sistemas de informação, telefonia, CFTV, bancos de dados, boletins periódicos, registros online etc. Os dados pessoais estão literalmente espalhados por toda parte na empresa de hoje. Além disso, se estes dados pessoais estiverem sendo manipulados por terceiros como, folha de pagamento, guarda de documentos físicos ou empresas de TI (sendo para armazenamento ou processamento de informação) é necessário que haja um contrato com estes fornecedores ou parceiros de negócio prevendo obrigações específicas em relação a proteção de dados pessoais. Você está transferindo dados pessoais para o exterior? Neste caso, medidas preventivas precisam ser tomadas para garantir um nível adequado de proteção.

Estas são apenas algumas das várias obrigações que decorrem da regulamentação de proteção de dados e que devem ser avaliadas caso a caso conforme a necessidade do negócio. Com base na definição ampla de dados pessoais como “qualquer informação relativa a um indivíduo identificado ou identificável”, podemos afirmar e assumir que efetivamente qualquer empresa será afetada pela LGPD.

A LGPD demanda a manutenção e atualização de registros internos para garantir que as empresas implantem uma cultura interna de proteção de dados em seu cotidiano operacional, nesta linha, a “responsabilização” obriga os controladores e seus operadores a demonstrar conformidade com os princípios exigidos.

A LGPD introduz o princípio de “prestação de contas” como fundamental para proteção de dados, exigindo que os controladores implementem um programa capaz de monitorar a conformidade em toda a organização demonstrando à autoridade nacional (ANPD) e aos titulares de dados que está tratando dados pessoais de acordo com a Lei. Ao se referir especificamente a prestação de contas é provável que a LGPD altere a maneira com a qual as organizações abordem o tema de conformidade para proteção de dados, incentivando os controladores de dados a fazê-lo de forma mais proativa e eficaz. As ações para cumprir o princípio da responsabilidade inclui:

  • Implementar políticas externas e procedimentos de conformidade;

  • Manter uma documentação detalhada e atualizada sobre o processamento de dados pessoais;

  • Realizar avaliações de impacto de risco para proteção de dados nas operações críticas de processamento;

  • Aplicar mecanismos de proteção de dados considerando o ciclo de vida da informação e considerar o uso de mecanismos e ferramentas de tecnologia para a “anonimização” e ou criptografia dos dados;

  • Garantir segurança e confidencialidade de todos os envolvidos (áreas internas e externas) nas operações de processamento de dados;

  • Realizar auditorias e conquistar certificações; e

  • Nomear um responsável (DPO (Data Protection Officer)) como ponto focal e referência para as iniciativas relacionadas ao tema.

Uma violação de dados pessoais é “uma violação de segurança que leva a destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados ​​de outra forma”. Uma violação portanto, não se limita a um ataque malicioso no sistema, mas também pode resultar de uma falha ou negligência por parte dos colaboradores do controlador ou do processador contratado. Conforme a LGPD, os controladores são obrigados a notificar as violações de dados a ANPD de forma ágil (exceto quando razoavelmente justificado ou quando não resulte em risco para os direitos e liberdades individuais). Quando necessário, a notificação deve: (i) descrever a natureza dos dados pessoais violados, incluindo a quantidade e categorias dos titulares e registros de dados afetados; (ii) fornecer os detalhes de contato do responsável pela proteção de dados (DPO); (iii) descrever as prováveis ​​consequências da violação ocorrida; e (iv) descrever como o assunto será abordado, incluindo as medidas de mitigação tomadas ou propostas. Quando a violação “provavelmente resultar em risco para direitos e liberdades individuais”, sujeito à limitações e exceções, o controlador também deverá comunicar "sem demora injustificada" informações relacionadas à violação ao titular dos dados. Os controladores devem se preparar para esta obrigação adotando políticas claras para o gerenciamento das violações de dados, estabelecendo responsabilidades e procedimentos a serem seguidos dentro dos prazos impostos pela LGPD.

A LGPD, faz a seguinte distinção entre controladores e processadores. Os controladores determinam o “propósito e os meios” do uso de dados pessoais, enquanto os processadores processam os dados pessoais "em nome do responsável pelo tratamento". Processadores podem assumir muitas formas, de provedores de serviços externos gerais a grupos de empresas, fornecedores de software, call centers, serviços de hospedagem, suporte de TI, etc. Qualquer parceiro externo que tenha acesso a dados pessoais e é contratado pelo controlador é considerado como um "processador". Se o controlador desejar contratar um processador, o controlador deve selecionar um “fornecendo garantias suficientes e implementar medidas técnicas e organizacionais apropriadas” para garantir a proteção dos direitos do titular dos dados em conformidade com a LGPD. Em seguida, o controlador deve estabelecer um contrato com o processador, definindo o objeto e a duração do processamento, a natureza e a finalidade, o tipo de dados pessoais e a categoria dos seus titulares e as obrigações e direitos do controlador, incluindo as medidas de segurança apropriadas.

A LGPD também oferece aos controladores uma melhor visão sobre a utilização de subcontratados. Desta forma o processador não pode terceirizar o processamento para um subprocessador sem a devida anuência e registro do consentimento do controlador.

A LGPD impõe responsabilidades e passivos ao processador de dados, que precisa possuir garantias suficientes em termos de conhecimentos especializados, confiabilidade e recursos, normas técnicas e organizacionais visando garantir segurança e confidencialidade para o processamento. O processamento deve ser feito em conformidade com as instruções do controlador e os requisitos estabelecidos por Lei, assim o processador deve manter registros de sua atividade de processamento que comprovem os devidos cuidados tomados.

Se o processador se utilizar de outro parceiro (processador subcontratado), o envolvimento desta parte precisará ser acordado com o controlador, sendo que ela também estará sujeita aos mesmos requisitos legais cabíveis ao processador inicial. O contrato de processamento, vinculando o processador ao controlador deve levar em conta as tarefas e responsabilidades específicas do processador no contexto da atividade, e o risco inerente para os direitos e liberdades do titular dos dados.

Após a conclusão das atividades de processamento, o processador deve retornar os dados para o controlador, ou eliminá-los, conforme a especificação do controlador. Além disso, no caso de danos materiais ou imateriais decorrentes de violações da LGPD, controladores e processadores podem ser responsabilizados conjuntamente. Um processador só estará isento de responsabilidade se puder provar que não é de forma alguma responsável pelo evento que deu origem ao dano.

Concluindo a LGPD reacende e amplia discussões sobre direitos individuais, empresas, prestação de serviços e segurança da informação sob a ótica e necessidade da economia 4.0, demandando uma estrutura de projeto e operação de forte aculturamento, comunicação e gestão operacional que possui complexidade variável de acordo com o modelo de negócio, considerando o dinamismo das mudanças intrínsecas à atividade e a geração de novas interfaces e relacionamentos com os parceiros e o mercado.

LGPD

Tags:

Posts Em Destaque
Posts Recentes
Arquivo
Procurar por tags
Siga
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page