Algumas ações a serem tomadas para estar “em conformidade”.
A LGPD (Lei Geral de Proteção de Dados Pessoais) prevê uma série de regras e normas que devem ser observadas para que a empresa esteja em conformidade com ela, seja do setor público ou privado. Por conta da pandemia, o início da vigência da lei foi, em princípio, alterado para janeiro de 2021, e as multas valerão a partir de agosto do mesmo ano. Ganhamos um tempo adicional para nos prepararmos para a adequação à Lei, não vamos desperdiçá-lo.
Mas, demorando um pouco mais ou não, devemos nos preparar para a Lei e aqui vão algumas observações a serem levadas em conta pelos gestores de empresas e cooperativas, com relação a consentimento, dados sensíveis, pessoal envolvido e segurança.
Consentimento e finalidade
Dados pessoais são valiosos para as empresas. Algumas vivem deles, como por exemplo, Facebook e Google; e a lei chega para regular a relação entre as instituições que fazem esse uso, sejam públicas ou privadas, e a sociedade. O que precisa ser feito é que o processo para a aplicação da lei seja o mais suave possível, de forma equilibrada. Um princípio, Finalidade, é o ponto de partida e, nesse contexto, está o Consentimento. Não é permitido dizer que o dado vai ser usado para um fim e partir para outra atividade diferente, ou mesmo vende-lo para um terceiro. Esse é o principio base da lei. E o consentimento é outra base na lista de requisitos para tratamento dos dados, desde a obtenção até a exclusão. Indica que o Titular do Dado ou dono da informação (cliente, usuário) autoriza ou dá CONSENTIMENTO para a utilização das informações dentro de uma FINALIDADE específica. O ponto é preservar o cidadão e impedir o uso indevido dos dados pessoais e também os considerados dados sensíveis. Caso a finalidade de uso seja alterada, novo consentimento deve ser pedido ao dono do dado. Guarde os consentimentos e vincule-os a um projeto, isso é segurança e conformidade.
Dados sensíveis
Quando a lei trata de dado pessoal refere-se a informações gerais sobre um indivíduo, ou seja: nome, CPF, idade, gênero, etc. A partir daí, surgem os dados pessoais sensíveis, relacionados a filiação partidária, crença religiosa, raça, orientação sexual, dados de saúde e biométricos entre outros, sendo tratados de forma muito mais rigorosa pela lei. A situação desses dados será sempre objeto de cuidado maior, desde a obtenção até o descarte após serem utilizados. Dados sensíveis, consentimento e finalidade sempre andam juntos.
Segurança e governança
Contar com uma estrutura eficiente de segurança de dados, apoiada em soluções de tecnologia, é um bom caminho para a conformidade, ficando atento aos pontos destacados pela lei para não sofrer penalidades e/ou multas. A lei indica uma série de ações e hipóteses de responsabilização quando os dados não são protegidos adequadamente.
A preparação com uma estrutura de segurança baseada em padrões formais (ISO27701, por exemplo) ajuda nessa estruturação. Mesmo numa hipótese de vazamento, se houver um esforço adequado para proteção, será mais bem visto para atenuação dos danos.
As multas são pesadas, chegando a 2% do faturamento anual da empresa, limitadas a 50 milhões de reais, por infração.
Privacidade desde o projeto até a execução
A LGPD orienta que todo produto ou serviço envolvendo processamento de dados pessoais utilize uma metodologia que contemple o cuidado com privacidade desde o início do projeto até sua transformação em um produto final. Esse processo, denominado “Privacy by Design”, estabelece passos e geração de documentos para comprovação dessa condição. A empresa deve, então, apresentar todos os seus projetos, desenvolvimento de software, planejamento estratégico alinhados com esse conceito de privacidade, considerando a máxima proteção do usuário ou cliente.
Com esse conceito de “Privacy by Design”, o órgão controlador proposto na lei, a ANPD (Agencia Nacional de Proteção de Dados) poderá solicitar documentos e registros para comprovação dessa arquitetura de segurança. Esses princípios devem ser incorporados aos processos de desenvolvimento de aplicações e gerenciamento de dados de todas as empresas.
Dentro da empresa, segundo a lei, alguns atores deverão estar presentes para viabilizar e consolidar sua execução. São, além de todo pessoal da empresa, três novas atividades:
. Controlador de Dados – responsável pelo uso de dados na empresa e irá controlar a forma como são utilizados os dados;
. Operador de Dados – responsável pelo processamento dos dados na empresa, irá armazenar e operacionalizar os dados seguindo a orientação do Controlador;
. Encarregado de Dados – responsável pela interface da empresa com o titular dos dados (cliente), e funcionando como um elemento de ligação entre a empresa e a agencia de controle ANPD. A função é conhecida pela sigla DPO.
Essas funções, diferentemente da lei européia, podem ser executadas também por pessoas jurídicas, abrindo uma possibilidade maior para as empresas que poderão terceirizar essas funções.
Apesar da possível prorrogação para o início de 2021, o tempo continua NÃO sendo nosso aliado e estamos prontos a participar do processo de conformidade de sua empresa.
