7 perguntas e respostas – e alguns insights – sobre a adequação à LGPD
Atualizado em 30 de agosto de 22 | Geral por
A Lei Geral de Proteção de Dados Pessoais está próxima de ter suas sanções aplicadas e ainda assim há céticos sobre a sua eficácia. No Brasil, existe um imaginário popular de que uma lei pode “não pegar”, como se houvesse uma espécie de validação subjetiva sobre a relevância das disposições legais para que ela realmente seja exigível.
Parte desse problema é a incompreensão da esfera de proteção da LGPD, parte é na desconfiança sobre o respeito às regras vigentes no País e parte é desconhecimento, apesar dos 4 anos de vigência da Lei.
Para ficarmos todos na mesma página e construirmos uma sociedade que respeita a privacidade alheia, eu trouxe 7 perguntas e respostas – e algumas dicas - vamos lá?
1) O que é a LGPD, afinal?
É Lei criada para proteger direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade, protege dados pessoais de pessoas naturais, os Titulares, durante as operações de tratamento realizadas por pessoas físicas ou jurídicas de direito público ou privado no Brasil, para fins de oferta de bens ou serviços ao mercado brasileiro e/ou para tratamento de dados de titulares localizados no Brasil.
Repare que não é para empresas “com site”, “digitais” ou qualquer coisa assim, a LGPD resguarda direitos no mundo físico também!
2) O que é um dado pessoal?
Basicamente, é tudo que possa ser relacionado a uma pessoa natural identificada ou identificável, como o número do registro no CPF, o nome completo, os dados bancários e até mesmo preferências em serviços de streaming etc.
Dados pessoais podem ser categorizados como “sensíveis” se forem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Repare bem, dado pessoal é dado de pessoa física.
3) O que é uma atividade de tratamento?
É uma operação que pode ser realizada com um dado pessoal, como a coleta, produção, recepção, classificação, acesso, utilização, armazenamento, transferência, difusão, extração, processamento, transmissão, avaliação, análise, controle informação etc.
Não há taxatividade no rol, visto que a ideia é conferir proteção ao dado, qualquer que seja o formato adotado ao seu manuseio – e nem obrigação de existência no formato digital – aquele cadastro físico também é coleta de dados pessoais.
4) Quem são os agentes de tratamento?
A Lei trouxe a figura do Controlador e do Operador para estabelecer a responsabilidade sobre eventuais danos causados no tratamento de dados pessoais, distinguindo-os pelo seu “poder de decisão” sobre a finalidade de tratamento e elementos essenciais.
O Controlador é a pessoa a quem competem as decisões referentes ao tratamento de dados pessoais e o Operador é a pessoa que realiza tratamento de dados pessoais em nome do controlador.
Em algumas situações, pode-se ter um acordo sobre a finalidade do tratamento e dos elementos essenciais sobre sua realização, o que caracteriza a Controladoria Conjunta.
Atenção, gente, nem todo mundo é Operador, mas todos são Controladores de dados pessoais dos colaboradores da sua organização, hein?
5) Quais medidas podem ser adotadas para fazer uma boa gestão do relacionamento com o Operador?
É importante:
- (a) conhecer o terceiro com quem você interage, realize uma análise ampla do seu background check, incluindo seu comportamento no mundo digital, mas cuidado com os excessos de informação nessa avaliação;
- (b) auditar suas medidas técnicas, organizacionais e administrativas para verificação do status da proteção de dados pessoais na organização;
- (c) estabelecer o mapeamento do fluxo esperado para tratamento de dados pessoais porventura compartilhados na contratação;
- (d) definir contratualmente as exigências e limites de atuação de cada parte, incluindo preocupações com a confidencialidade, integridade, disponibilidade e privacidade dos dados tratados, bem como a devolução ou eliminação certificada, ao final da relação; e
- (e) monitorar a adequação do terceiro durante a contratação, para verificação do status de proteção e manutenção das boas práticas.
5) Quem é o Encarregado de Dados Pessoais (o “DPO”)?
O DPO é uma ponte entre a organização e a adequação à LGPD, podendo ser um colaborador interno ou um terceirizado.
Ele vai tratar comunicações e relatos de titulares, responde-lhes de forma eficaz e adotando as medidas necessárias ao cumprimento de suas solicitações legítimas; vai ser o elo com a ANPD e providenciar as adequações necessárias – nos limites da sua responsabilidade; vai orientar funcionários e contratados sobre as práticas de proteção de dados pessoais da organização; e vai executar as atribuições que lhe forem atribuídas.
6) Quais são os pilares da minha estrutura de adequação?
A proteção da segurança da informação, para garantia da confidencialidade, integridade e disponibilidade dos dados; a promoção da privacidade, para assegurar os direitos dos titulares; e a geração de valor para colaboradores, parceiros, fornecedores, clientes e comunidade, porque a adequação à LGPD não é “para cumprir a Lei”, mas para agir de forma pró-ativa na construção de uma sociedade mais livre.
7) Como deixar a adequação à LGPD viva na minha organização?
Foque na conscientização das pessoas, mapeamento dos ativos, análise de riscos para tomada de decisões assertivas, implementação de ações corretivas pontuais com planos de ação bem definidos e monitoramento dos indicadores de maturidade para não ter só a sua manutenção, mas a sua melhoria contínua.
Documente regras e boas práticas, registre objetivos e resultados e, se precisar, contrate especialistas para ajudar!
Portanto, pessoal, não posso suprir a desconfiança sobre o respeito às regras, mas posso dizer aos desconfiados que a LGPD não vai pegar, ela já pegou.
São mais de 3.000 processos judiciais e trabalhistas ocupando os fóruns, uma infinidade de métodos de exploração de vulnerabilidades para extorsão de organizações que estiverem em desconformidade com a Lei, inúmeras exigências contratuais para se relacionar com terceiros e, passados 4 anos de vigência legal com compartilhamento de medidas educativas e debates, a caneta vai começar a rabiscar multas que poderão chegar a R$ 50 milhões de reais por infração, sem prejuízo de outras medidas.
Avante!
Mariana é advogada com expertise na implantação e gestão de projetos de Compliance e LGPD, especialista em Direito Digital (FMP) e Auditora-Líder de Sistemas de Gestão de Compliance ISO 37301:2021, incluindo as normas ISO 37301:2017 e ISO 19600:2014.