Carlos Albuquerque Lemos[1]
RESUMO
O presente trabalho tem como primeira finalidade apresentar um breve panorama sobre a Lei Geral de Proteção de Dados Pessoas (LGPD) e sobre a sua importância para a proteção dos dados pessoais. Para isso, destacou-se o surgimento do Regulamento Geral de Proteção de Dados (GDPR), criado pela União Europeia e que serviu de base para a criação da LGPD. Na sequência, foram apresentados alguns desafios que as organizações públicas e privadas terão que enfrentar para se adequarem às normais trazidas pela nova lei, pois a LGPD trará impactos econômicos, financeiros e culturais para a sociedade brasileira. Assim, foram abordados os seguintes tópicos: projeto de adequação à LGPD, mapeamento dos dados pessoais, transparência no uso dos dados pessoais, relatório de impacto à proteção de dados pessoais e confiança da sociedade na lei. Durante a abordagem dos tópicos foram apresentadas recomendações importantes que poderão ser aplicadas pelas instituições públicas e privadas a fim de mitigarem os impactos advindos do processo de adequação à lei, contribuindo dessa forma para a transparência e desenvolvimento de uma cultura de confiança entre os atores envolvidos na proteção de dados pessoais, a saber, controladores, operadores, encarregados e titulares dos dados pessoais.
Palavras-chave: dados pessoais; segurança da informação. lgpd. anpd.
ABSTRACT
The main purpose of this paper is to present a brief overview of the General Law on Personal Data Protection (LGPD) and its importance for the protection of personal data. To this end, the emergence of the General Data Protection Regulation (GDPR), created by the European Union and which served as the basis for the creation of the LGPD, stood out. Following, some challenges were presented that public and private organizations will have to face in order to adapt to the rules brought about by the new law, as the LGPD will bring economic, financial and cultural impacts to Brazilian society. Thus, the following topics were addressed: project to adapt to LGPD, mapping of personal data, transparency in the use of personal data, impact report on the protection of personal data and society’s trust in the law. While addressing the topics, important recommendations were presented that could be applied by public and private institutions in order to mitigate the impacts arising from the process of adapting to the law, thus contributing to transparency and development of a culture of trust among actors involved in the protection of personal data, namely controllers, operators, persons in charge and owners of personal data.
Keywords: personal data; information security; lgpd; anpd.
1. INTRODUÇÃO
O advento da computação e da expansão da internet nos levou à Era da Informação Digital, causando transformações profundas na sociedade humana, com impactos na comunicação, nas pesquisas científicas, na democratização do ensino, na prestação de serviços, no comércio, no lazer, entre outros aspectos da vida moderna.
Os avanços da tecnologia da informação e comunicação possibilitaram o desenvolvimento de sistemas informatizados, do e-mail, das redes sociais e da comunicação em larga escala por meio da internet, o que resultou no armazenamento de uma quantidade colossal de dados que são processados e utilizados por instituições públicas e privadas.
Apesar do cenário bastante favorável ao desenvolvimento tecnológico, o armazenamento, o tratamento e a utilização de dados pessoais realizados por essas instituições trouxeram riscos a direitos fundamentais esculpidos na Constituição Federal, tais como privacidade, liberdade de expressão, informação, opinião, comunicação, inviolabilidade da intimidade, da honra e da imagem, e desenvolvimento econômico e tecnológico (PINHEIRO, 2020, p. 41).
São inúmeros os casos de utilização irregular de dados pessoais sensíveis atribuídos a instituições públicas e privadas. Em razão disso, constatou-se a necessidade de uma legislação que possibilite a proteção à privacidade e ao uso dos dados pessoais no Brasil, o que resultou na Lei
nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), cuja entrada em vigor ocorreu no dia 18 de setembro de 2020.
Apesar de a LGPD representar um grande avanço para a segurança dos dados pessoais, a sua implementação trará grandes desafios para as organizações, pois há muitos ajustes a serem feitos no que concerne ao tratamento de dados pessoais. Dessa forma, devem ser considerados os impactos advindos da adequação à LGPD, a fim de que os agentes responsáveis pelo tratamento desses dados cumpram as novas regras da Lei.
Nesse sentido, um fato digno de atenção é que as pesquisas indicam que a maioria das instituições não está preparada para a entrada em vigor da LGPD, pois não definiram claramente quais são as diretrizes para ajustarem os seus processos organizacionais relacionados ao tratamento de dados pessoais e não utilizaram bem a ampliação do prazo de 24 meses para a vigência da lei (vacatio legis).
O objetivo deste trabalho é apresentar recomendações que auxiliem as instituições públicas e privadas no processo de implementação da LGPD, de modo a diminuir os impactos que essa nova lei trará. Para isso, serão abordados os seguintes assuntos: projeto de adequação à LGPD; mapeamento dos dados pessoais; transparência no uso dos dados pessoais; relatório de impacto à proteção de dados pessoais; e confiança da sociedade na lei.
2. REFERENCIAL TEÓRICO
O advento da internet trouxe transformações dinâmicas, o que levou a sociedade à Era da Informação Digital, na qual quase tudo pode ser realizado por meio da computação e da world wide web (rede mundial de computadores), resultando assim em um mundo virtual que funciona em concomitância ao mundo real (ARAÚJO, 2017).
A vida de uma sociedade transformada pela informatização pressupõe a atuação do direito para regular as relações criadas no meio digital e as atividades realizadas no ciberespaço, de forma a resguardar os direitos fundamentais da sociedade, permitindo o desenvolvimento humano de acordo com padrões éticos que devem ser aplicados em todas as relações sociais (PINHEIRO, 2020, p. 17).
Com o objetivo de mitigar os riscos de abusos na coleta, no tratamento, no uso e na transferência de dados, em 2016 foi publicado na União Europeia o Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR), tendo entrado em vigor em maio de 2018. O GDPR também se destina a proteger a “livre circulação desses dados, conhecido como ‘free data flow’” (PINHEIRO, 2020, p. 18).
A nova regulação afeta de forma direta e indireta as organizações públicas e privadas, abrangendo agências, anunciantes, plataformas e consumidores, independentemente de atuarem na União Europeia, resultando num efeito cascata, pois, pois quando uma empresa se adequa aos requisitos da GDPR, ela passa a exigir que outras empresas com as quais se relaciona também cumpram as novas regras.
Assim, o objetivo principal da GDPR é garantir uma “proteção ampla a todos os indivíduos que tiverem seus dados coletados de alguma forma por empresas ou instituições que realizam transferência de dados com organizações europeias”, de forma que, caso haja violações, tais organizações sejam responsabilizadas (MAGRANI, 2018).
No Brasil, o direito à liberdade de expressão é uma garantia constitucional que, por sua vez, aborda todos os direitos contidos nela, conforme o artigo 5º, incisos IV, V, VI, IX, e XIV da Constituição Federal:
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
…
IV – é livre a manifestação do pensamento, sendo vedado o anonimato;
V – é assegurado o direito de resposta, proporcional ao agravo, além da indenização por dano material, moral ou à imagem;
VI – é inviolável a liberdade de consciência e de crença, sendo assegurado o livre exercício dos cultos religiosos e garantida, na forma da lei, a proteção aos locais de culto e a suas liturgias;
…
IX – é livre a expressão da atividade intelectual, artística, científica e de comunicação, independentemente de censura ou licença;
…
XIV – é assegurado a todos o acesso à informação e resguardado o sigilo da fonte, quando necessário ao exercício profissional; (Brasil, 1988).
A fim de assegurar os direitos à intimidade, à honra e à imagem como fundamentos da proteção de dados pessoais, foi aprovada, em agosto de 2018, a Lei nº 13.709, conhecida como a Lei Geral de Proteção de Dados Pessoais – LGPD, que trata sobre as informações de cunho pessoal em sentido amplo, dedicando-se tanto aos dados pessoais existentes no mundo físico quanto aos do mundo virtual (Brasil, 2018; MONTEIRO, 2018).
É notório que a LGPD se baseou em grande parte nos conceitos existentes no Regulamento Geral de Proteção de Dados da União Europeia – GDPR, pois a legislação brasileira ainda carecia da conceituação de termos como dados pessoais sensíveis, controladores, operadores e encarregados envolvidos na coleta, armazenamento, processamento, tratamento e transmissão de dados.
Com efeito, o tratamento correto de dados pessoais é o maior desafio trazido pela LGPD e, nesse sentido, destacam-se as palavras de Castro:
O tratamento de dados pessoais pelos serviços públicos pode se revestir de um caráter muito diverso: do simples tratamento dos dados do nome, da morada e da instituição a que alguém pertence, para efeitos de envio de convites ou para outros contatos, até ao tratamento de dados sensíveis como os dados de saúde, v.g., no caso dos estabelecimentos de saúde públicos, ou os dados relativos a condições socioeconômicas, v.g., por parte de organismos com funções sociais, etc., são hoje várias as possibilidades, graças à quase infinita capacidade de armazenamento de informações dos computadores e às suas faculdades de cruzamento e de pesquisa de informação (CASTRO, 2005, P.187).
O tratamento adequado dos dados pessoais requer que as organizações sejam aderentes à segurança da informação, que pode ser definida como a capacidade de proteger e salvaguardar informações, recursos de processamento e sistemas informatizados, assim como proteção dos demais ativos, sejam estes digitais ou não.
A segurança da informação inclui as medidas necessárias para se detectar, documentar e combater as ameaças, permitindo que a organização proteja sua infraestrutura de sistema de informações contra agentes não autorizados. Essa proteção compreende também os computadores, as comunicações e as pessoas envolvidas na operacionalização desses instrumentos tecnológicos.
De acordo com a norma “NBR-ISO/IEC 27001” da Associação Brasileira de Normas Técnicas, são princípios basilares da segurança da informação:
a) Autenticidade: a garantia da veracidade da fonte de informações. Por meio de autenticação é possível confirmar a identidade da pessoa ou entidade que presta as informações;
b) Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;
c) Disponibilidade: propriedade de a informação estar acessível e utilizável por uma entidade autorizada;
d) Integridade: propriedade de salvaguarda da exatidão e completude de ativos.
Esses princípios da segurança da informação precisam ser aplicados a todos os processos organizacionais e tecnológicos, bem como ao tratamento de dados pessoais, conforme definido pela nova lei.
Assim, embora não reste dúvida de que a LGPD representa avanços importantes para a sociedade, a sua implementação traz grandes desafios para as instituições públicas e privadas no que concerne à adequação às normas da lei, além da necessidade de maior conscientização dos titulares de dados pessoais quanto aos seus direitos (CARVALHO, 2019).
3. METODOLOGIA
Trata-se de uma revisão sistemática de literatura por meio da qual foram selecionados e avaliados artigos existentes nas bases de dados do Google Scholar e na Biblioteca Digital Brasileira de Teses e Dissertações – BDTD, publicados entre janeiro de 2016 e abril de 2020. Procedeu-se a busca dos trabalhos empregando-se os seguintes descritores na língua portuguesa: “lei geral de proteção de dados”, “lgpd”, “segurança da informação” e “dados pessoais”.
Os critérios de inclusão definidos para a seleção dos artigos foram: artigos publicados em português, que permitissem o acesso na íntegra, que retratassem a temática referente à Lei Geral de Proteção de Dados Pessoais, que tratassem da segurança da informação, que abordassem o uso de dados pessoais, bem como que tenham sido publicados e indexados nos referidos bancos de dados nos últimos cinco anos.
Inicialmente, foi realizada a avaliação dos artigos pelo título e pelo resumo e, posteriormente, foram excluídos aqueles que não atenderam aos critérios de elegibilidade. Na sequência, foram excluídos os artigos que não atenderam aos critérios de inclusão.
Por fim, no estágio final, os artigos pesquisados foram classificados de acordo com a pertinência à Lei Geral de Proteção de Dados Pessoais, à segurança da informação e ao uso de dados pessoais e, em seguida, foram realizados os estudos do material coletado.
4. DESENVOLVIMENTO
4.1. PROJETO DE ADEQUAÇÃO À LGPD
O primeiro desafio que as empresas e instituições públicas deverão enfrentar para a adequação à LGPD é a formalização de um projeto que possibilite o entendimento sobre os dados pessoais existentes na organização e sobre o seu ciclo de vida, desde a coleta e armazenamento, passando pelo tratamento e utilização e finalizando com a eliminação das informações tratadas.
O projeto precisa ser patrocinado pela alta administração da instituição e deve ter um gerente de projeto, responsável por conduzir todas as fases do projeto de adequação. Recomenda-se que o gerente de projetos seja designado para atuar em tempo integral junto a equipe de projetos, a fim de que seja possível maior foco e possibilitar o acompanhamento efetivo das ações a serem executadas.
É recomendável o envolvimento de todos os atores da organização que tenham alguma ação relacionada ao fluxo de dados pessoais e ao ciclo de vida dessas informações. Nesse respeito, é interessante criar grupos de trabalho com colaboradores de diversas áreas da organização, tais como os setores de recursos humanos, marketing, vendas, logística, compras, atendimento ao cliente, jurídico, entre outros.
Na fase inicial do projeto, recomenda-se que seja designado o Data Protection Officer (DPO) que, de acordo com a LGPD, é o encarregado de dados pessoais, cuja missão é a de atuar no relacionamento entre o controlador (responsável pelo tratamento de dados), o operador (aquele que trata os dados), a Agência Nacional de Proteção de Dados Pessoais – ANPD (que fiscaliza a proteção dos dados) e os titulares, que são os verdadeiros donos dos dados pessoais.
Outra recomendação importante, ainda no início do projeto de adequação à LGPD, é que seja realizada uma campanha educativa que permita esclarecer os conceitos fundamentais sobre a proteção de dados pessoais, os impactos que a falta de adequação poderá trazer para a imagem da organização e como cada membro da instituição possui um papel fundamental no projeto. Para isso, podem ser realizados treinamentos e palestras sobre a LGPD e sobre o projeto de adequação a ser implementado.
É recomendável também que a organização faça um inventário das normas que sofrerão impactos da LGPD, o que compreenderá um levantamento das normas internas, dos procedimentos e da legislação específica utilizada pela instituição, pois em muitos casos será necessário fazer ajustes para a adequação à nova lei. Nesse respeito, o envolvimento da assessoria jurídica da instituição será fundamental para a realização do mapeamento a ser realizado.
Durante a realização do inventário de regulamentações da organização, será necessário verificar também a existência de políticas de proteção de dados pessoais, política de segurança da informação ou normas específicas às quais a instituição precisa ser aderente, tais como normas financeiras, contábeis, sanitárias, de telecomunicações ou de auditoria. Assim, será possível analisar se essas normas externas terão passado por alterações em função da LGDP, podendo impactar as normas internas da empresa ou da instituição pública.
Após a execução dessas etapas iniciais, chegará o momento de se definir o escopo do trabalho a ser realizado, suas fases, responsáveis e resultados esperados. É preciso ter em mente que cada etapa terá prazos e produtos entregáveis, sendo acompanhada de perto pelo gerente de projetos e pela alta direção da organização.
Dentre as fases de um projeto de adequação à LGPD, podem ser destacadas as seguintes: mapeamento de dados pessoais, procedimentos para implementar a transparência no uso dos dados pessoais, criação de relatórios de impacto à proteção dos dados pessoais e medidas para aumentar a confiança da sociedade na lei. Todos esses assuntos serão abordados com mais detalhes nos próximos tópicos deste trabalho.
4.2. MAPEAMENTO DOS DADOS PESSOAIS
Com a entrada em vigor da LGPD, o mapeamento dos dados armazenados nas instituições públicas e privadas talvez seja um dos maiores desafios a serem enfrentados. Isso ocorre porque muitas organizações não se preocupavam em diferenciar os dados pessoais dos demais tipos de informações armazenadas. A dificuldade torna-se ainda maior porque as regras da LGPD são aplicadas tanto aos dados armazenados em meio digital quanto àqueles armazenados em outros tipos de suporte, tais como os documentos impressos em papel.
O mapeamento de dados, também chamado de data mapping, é um documento de inventário de dados que pode ser feito por meio de planilha eletrônica ou mediante a utilização de software especializado. Nesse documento, devem ser registradas informações sobre como os dados pessoais entram na organização, como são armazenados, que tratamentos são empregados, quais medidas de segurança são utilizadas, qual a fundamentação legal para a coleta dessas informações e se elas são compartilhadas ou transmitidas para outras organizações.
O mapeamento de dados pessoais possibilita que instituições públicas e privadas efetuem um diagnóstico sobre como lidam com essas informações, com a privacidade e com as medidas de segurança que devem ser aplicadas. Esse diagnóstico também pode evidenciar se há dados pessoais coletados e armazenados desnecessariamente, o que poderia resultar em riscos para as organizações envolvidas, bem como para os titulares dessas informações.
Recomenda-se que, para realizar o mapeamento de dados pessoas, todos os setores da organização sejam envolvidos, o que inclui o setor de tecnologia da informação e a área jurídica. Além disso, é fundamental a realização de uma pesquisa com todos os setores da empresa que estiverem envolvidos em algum aspecto do tratamento de dados pessoais. Essa pesquisa pode ser realizada por meio de um formulário padronizado que pode ser enviado por e-mail a todos os responsáveis pelos setores da empresa ou mediante utilização de enquetes que podem ser criadas gratuitamente no Google Docs.
É recomendável que o formulário a ser utilizado na pesquisa contenha uma breve explicação sobre a LGPD e um glossário com a definição dos termos mais importantes trazidos pela nova lei, tais como dados pessoais, dados pessoais sensíveis, tratamento de dados, titular, anonimização, controlador, operador, encarregado de dados pessoais e a ANPD, que é o órgão público responsável pela fiscalização relacionada à proteção dos dados pessoais.
Após a definição dos principais termos utilizados pela LGPD, é preciso desenvolver a parte do formulário que contém o questionário. Para isso, devem ser preparadas perguntas sobre se o setor instituição lida com dados pessoais, quais os tipos de dados pessoais, quem possui acessos a esses dados, se a área realiza algum tipo de tratamento de dados, se há armazenamento dos dados, se existe controle do tempo de retenção dos dados, se existe integração dos dados com fontes externas, se existe compartilhamento de dados, entre outras questões que podem ser feitas de acordo com as características da organização.
Quando todos os setores da instituição responderem à pesquisa sobre o mapeamento de dados, será o momento de fazer a consolidação das respostas contidas no questionário. O resultado obtido com essa consolidação permitirá a realização de um diagnóstico inicial sobre os dados pessoais existentes na organização, possibilitando que seja verificado se há justificativa para o armazenamento e tratamento de dados pessoais, se há dados armazenados em excesso, se há ajustes a serem feitos para fins de adequação à LGPD e se há alguma ação para a mitigação de riscos potenciais quanto à segurança das informações pessoais.
Uma vez que tanto o mapeamento de dados como o diagnóstico tenham sido realizados, terá chegado o momento para a criação de um plano de adequação às normas da LGPD. Vale ressaltar que a implementação desse plano de adequação precisa contar com os responsáveis pelas áreas da instituição, com a área jurídica e com o pessoal da área de tecnologia da informação, que é responsável pela administração dos sistemas de informação, pelos bancos de dados institucionais e por todos os recursos tecnológicos referentes à segurança da informação.
Portanto, o mapeamento de dados pessoais é uma das primeiras atividades a serem desenvolvidas para que as instituições públicas e privadas se adequem à LGPD, possibilitando a realização de um diagnóstico eficaz sobre a existência dos dados pessoais, sobre a forma como essas informações são processadas e sobre as medidas de segurança utilizadas no tratamento de dados pessoais.
4.3. TRANSPARÊNCIA NO USO DOS DADOS PESSOAIS
Uma das coisas mais comuns desde o surgimento do comércio eletrônico tem sido o fornecimento de dados pessoais (CPF, RG, e-mail, número de telefone, etc.) quando o consumidor precisa fazer um cadastro em uma loja ou sítio eletrônico de compras. Em muitos casos, esses dados pessoais passaram a ser usados de forma abusiva por instituições comerciais para o envio de ofertas, pesquisa de perfil de consumidores e outros fins não autorizados pelos verdadeiros donos dessas informações.
Com a entrada em vigor da LGPD, esse tipo de abuso não deveria mais acontecer, pois processos de tratamento de dados pessoais como coleta, armazenamento, extração, distribuição e transferência passam a ser regulados pela nova lei, sendo necessária a observância dos princípios da boa-fé, da finalidade, da necessidade, da adequação, da segurança e da transparência.
A implantação bem sucedida da LGPD numa organização requer transparência no uso dos dados pessoais e, para enfrentar os desafios da adequação à nova lei, são apresentadas algumas recomendações importantes que empresas e instituições públicas deverão aplicar com o objetivo de tornar mais transparente o relacionamento com os titulares dos dados pessoais.
Em primeiro lugar, é preciso que seja criada uma política clara de utilização de dados pessoais que defina bem quais são as finalidades, a extensão e os limites das informações coletadas e processadas para a realização das atividades, tanto empresariais quanto governamentais. Essa política deve ser aprovada pela alta administração da organização e deve ser bem divulgada, de modo que todos os membros da organização entendam e coloquem em prática o princípio da transparência em respeito aos titulares dos dados pessoais.
Adicionalmente, é preciso que as instituições criem termos de consentimento para a coleta e tratamento de dados pessoais, por meio dos quais os titulares (clientes, fornecedores, parceiros, usuários de serviços públicos) concordem com o tratamento dos seus dados coletados para finalidades específicas. É necessário que haja clareza sobre as informações coletadas, tais como: nome completo, data de nascimento, endereço, número do telefone, número da Carteira de Identidade (RG), número de Cadastro de Pessoas Físicas (CPF), endereço, estado civil, dados bancários, raça, cor etc.
É muito importante que as organizações que coletam e tratam dados pessoais criem mecanismos que permitam aos seus titulares o acesso facilitado às suas informações, seja apenas para tomar conhecimento ou mesmo para solicitar a retificação ou exclusão dos dados. Canais tais como ouvidoria, fale conosco, telefone e e-mail institucional poderão ser utilizados pelas instituições públicas e privadas para facilitar o acesso aos dados pessoais pelos seus titulares.
Ademais, outra recomendação importante para a transparência no uso de dados pessoais é a criação de um canal de comunicação a ser utilizado quando eventualmente ocorrer algum incidente de segurança da informação que resulte em exposição de dados pessoais, pois, de acordo com a LGPD, as empresas e instituições públicas são obrigadas a informar a ocorrência de vazamentos e de outros incidentes que possam trazer danos aos titulares dessas informações.
A clareza no fornecimento de informações sobre o tratamento dos dados pessoais aumentará a transparência e a confiança dos seus titulares. As informações fornecidas pelas empresas e instituições públicas precisam ser, não apenas precisas, mas também aderentes aos prazos definidos em lei quando forem solicitadas pelos seus titulares.
A transparência é, portanto, fator primordial para a adequação à LGPD e para a mitigação dos impactos resultantes da aplicação das regras oriundas da nova lei, que certamente afetará os processos organizacionais e o modelo de negócios, tanto do setor privado quanto do setor público.
4.4. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS
Os artigos 37 e 38 da LGPD especificam importantes responsabilidades dos responsáveis pelo tratamento de dados pessoais, a saber:
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial (Brasil, 2018).
Como destacado, os controladores e os operadores precisam manter registro das operações de tratamento de dados pessoais, pois a ANPD poderá determinar que sejam elaborados relatórios de impacto à proteção de dados pessoais, os quais deverão conter a descrição dos dados coletados, as medidas de segurança aplicadas e os mecanismos de mitigação de riscos.
Além disso, essas informações também poderão ser solicitadas pelos titulares dos dados pessoais, a fim de tomarem ciência sobre os dados armazenados, sobre os tratamentos que são aplicados, sobre as finalidades da coleta e do tratamento, bem como sobre a existência de consentimento para a utilização dessas informações para fins institucionais.
A LGPD não especifica os detalhes do relatório de impacto à proteção de dados pessoais, porém, tendo como base as boas práticas já utilizadas para elaboração de relatório de impacto à privacidade, é recomendável que as empresas e instituições públicas efetuem algumas etapas importantes para a preparação desse documento.
Em primeiro lugar, é preciso que sejam identificadas as situações nas quais, segunda a LGPD, o relatório de impacto poderá ser solicitado, a saber: quando o tratamento de dados se fundamentar no interesse do controlador; quando o tratamento de dados gerar riscos às liberdades e direitos fundamentais; quando ocorrer tratamento de dados pessoais sensíveis; quando ocorrer tratamento de dados provenientes de fora do território nacional ou quando ocorrer transferência internacional desses dados.
Uma vez detectada a necessidade do relatório de impacto à proteção de dados pessoais, é necessário descrever como o tratamento de dados é realizado pela organização, ou seja, é preciso detalhar as operações de coleta, armazenamento, tratamento, consentimento, utilização e descarte das informações após o seu ciclo de vida, bem como as medidas de segurança que são utilizadas.
Em seguida, é recomendável que a instituição avalie a real necessidade e a proporcionalidade dos dados pessoais. Deve-se identificar a base legal para a coleta e tratamento dos dados pessoais e se realmente a organização precisa dessas informações para os seus processos de negócio.
Outra tarefa fundamental na preparação do relatório é a identificação e a avaliação dos riscos resultantes do tratamento dos dados pessoais, a fim de que sejam analisadas todas as ameaças, vulnerabilidades, probabilidades e impactos que poderão advir aos direitos e às liberdades dos titulares dessas informações.
Por fim, recomenda-se que a organização identifique as medidas necessárias para tratar os riscos identificados. Para isso, podem ser implementados controles que permitam a eliminação ou a mitigação de riscos, a fim de que a probabilidade e os impactos se encaixem em níveis aceitáveis, tanto para a instituição quanto para os titulares dos dados pessoais.
A aplicação de forma proativa das recomendações mencionadas fará com que as empresas e instituições públicas mantenham a aderência às normas trazidas pela LGPD e estejam preparadas para enfrentar os riscos potenciais identificados durante o projeto de adequação à lei.
4.5. CONFIANÇA DA SOCIEDADE NA LEI
O sucesso da implantação da LGPD numa organização depende do desenvolvimento da confiança da sociedade na lei e de uma relação transparente por meio da qual as normas se tornem claras e possam produzir os efeitos esperados. Assim, pode-se ter um círculo virtuoso no qual um indivíduo confia na autoridade, a população confia no governo ou na empresa, as pessoas acreditam nas leis que as protegem e assim cumprem as regras, muitas vezes sem a necessidade de fiscalização ou de punição.
Para gerar confiança na LGPD, recomenda-se que a organização implemente mecanismos de informação que esclareçam a sociedade sobre os conceitos e o alcance da lei, sobre os direitos que cada cidadão tem, bem como a respeito dos meios disponíveis para a obtenção de informações acerca dos dados pessoais. Isso permitirá que os titulares dessas informações tomem ciência sobre como os seus dados são coletados e utilizados, tanto pelas instituições públicas quanto pelas instituições privadas.
Recomenda-se que, durante a fase de adequação à LGPD, a organização disponibilize um sítio eletrônico no qual constem informações sobre os principais conceitos da lei, sobre os atores envolvidos no tratamento de dados pessoais e sobre o que a instituição está fazendo para garantir a proteção dessas informações.
É muito importante também que a instituição indique outros canais disponibilizados a fim de que os cidadãos possam exercer os seus direitos, ajudando aos titulares dos dados a compreenderem o conceito de proteção de dados pessoais. Para isso, podem ser disponibilizados alguns canais, tais como: fale conosco, endereço de e-mail institucional para contatos, números de telefone da ouvidoria, etc.
Ainda cabe destacar o papel do Data Protection Officer – DPO, que é o encarregado da proteção dos dados pessoais. De acordo com o artigo 41 da LGPD, esse profissional possui atribuições importantes, tais como: aceitar reclamações dos titulares, prestar esclarecimentos, adotar providências, receber comunicações da ANPD, orientar funcionários e contratados da entidade a respeito das práticas de proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (Brasil, 2018).
Uma vez que a empresa ou instituição pública designe o DPO, este desempenhará um papel fundamental para aumentar a confiança da sociedade na lei, pois será o ponto de contato entre a empresa ou órgão público, a ANPD e os titulares dos dados pessoais. O DPO poderá utilizar variados canais de contato com os cidadãos ou clientes, como, por exemplo, a ouvidoria.
Outra recomendação importante para o desenvolvimento da confiança da sociedade na LGPD é a disponibilização de materiais educativos no sítio eletrônico da instituição, tais como apresentações sobre a LGPD e vídeos institucionais que poderão ser bastante úteis aos cidadãos e clientes, resultando assim em um efeito pedagógico minimizador dos impactos da adequação à lei.
Nesse sentido, algumas instituições têm oferecido à sociedade cursos gratuitos sobre a LGPD no formato EaD (ensino a distância). Esse tipo de iniciativa pode contribuir de forma efetiva, não apenas para o esclarecimento da população, mas também para aumentar a confiança da sociedade na lei.
Embora todas as recomendações mencionadas sejam importantes, de nada valeria implementá-las se as instituições públicas e privadas não aplicarem as normas trazidas pela LGPD, providenciando canais apropriados para acesso facilitado a informações, praticando um código de ética transparente e respeitando de fato os direitos dos titulares dos dados pessoais, sejam eles cidadãos utilizadores de serviços públicos ou clientes de empresas privadas, fornecedoras de bens e serviços para a sociedade.
5. CONSIDERAÇÕES FINAIS
O presente trabalhou analisou a importância da Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) e os impactos para as instituições públicas e privadas durante o processo de adequação às normas da lei. Foram analisados cinco aspectos que podem causar impactos às organizações, tendo sido apresentadas importantes recomendações que poderão ajudar empresas e instituições públicas no enfretamento do desafio da adequação às novas regras trazidas pela lei.
Inicialmente, destacou-se a necessidade de implementação de um projeto de adequação à LGPD e que deve ser aprovado e patrocinado pela alta administração. Mostrou-se a necessidade de designação de um gerente de projetos, de um encarregado de dados pessoais (Data Protection Officer – DPO) e do engajamento de todas as áreas da instituição envolvidas no fluxo de dados pessoas coletados e tratados pela organização. Além disso, destacou-se a necessidade de uma campanha educativa sobre a LGPD em toda a organização, bem como a importância da definição de etapas do projeto de adequação, a saber: mapeamento de dados, procedimentos para implementar a transparência no uso de dados, criação de relatórios de impacto à proteção de dados pessoas e medidas para aumentar a confiança da sociedade na lei.
Na sequência, frisou-se a importância do mapeamento de dados com envolvimento de todos os setores da organização, incluindo o setor de tecnologia da informação e a assessoria jurídica. Foram oferecidas várias recomendações para a criação de um formulário a ser utilizado pela instituição para realização de uma pesquisa com todas as áreas da organização envolvidas no tratamento de dados pessoais, o que possibilitará a execução de um diagnóstico da situação atual referente ao tratamento dos dados pessoais e do que será necessário fazer para que empresas e instituições públicas se adequem à LGPD.
Após isso, enfatizou-se a necessidade de transparência no uso de dados pessoais, a fim de se evitar abusos na sua utilização e infringência à LGPD. Destacou-se que para isso é necessária a criação de uma política de utilização de dados pessoais, aprovada pela alta administração e internalizada por meio da divulgação a todos os membros da organização. Adicionalmente, mostrou-se a necessidade da elaboração de um termo de consentimento para a autorização dos titulares dos dados pessoais, bem como recomendou-se a criação de canais que permitam acesso facilitado aos titulares dessas informações.
Ademais, abordou-se a necessidade da criação de relatório de impacto à proteção de dados pessoais, conforme exigências da LGPD aos controladores e operadores. Foi ressaltado que tanto a ANPD quanto os próprios titulares de dados pessoais poderão requerer esclarecimentos pormenorizados sobre como essas informações são coletadas, armazenadas, processadas e utilizadas. Foram oferecidas várias recomendações que poderão ser utilizadas pelas organizações para a preparação dos relatórios de impacto e mostrou-se a necessidade da aplicação de medidas de segurança para a mitigação de riscos potenciais e para a garantia dos direitos e da privacidade dos titulares de dados pessoais.
Finalmente, salientou-se a importância de se desenvolver a confiança da sociedade na lei, pois o sucesso da implantação da LGPD depende de como as instituições irão se relacionar com os titulares de dados pessoais e da conduta transparente das instituições públicas e privadas, a fim de que sejam produzidos os efeitos esperados. Para isso, foram feitas algumas recomendações no sentido de que sejam implementados os mecanismos que possibilitem aos cidadãos a obtenção de informações pessoais por meio de sítios eletrônicos, da ouvidoria, de e-mail institucional, bem como mediante contatos com o encarregado de dados pessoais – o DPO. Recomendou-se que as instituições desempenhem um papel educativo, disponibilizando em seus portais corporativos informações úteis sobre a LGPD e até mesmo treinamentos na modalidade a distância.
Portanto, fica evidente que a LGPD certamente trará relevantes mudanças organizacionais, econômicas e sociais, representando um grande avanço para a sociedade brasileira. As recomendações apresentadas neste trabalho poderão auxiliar as instituições públicas e privadas a enfrentarem o desafio da adequação dos seus processos de negócio às regras trazidas pela nova lei, contribuindo para a transparência no tratamento de dados pessoais e desenvolvimento de uma cultura de confiança entre os atores envolvidos na proteção dessas informações.
REFERÊNCIAS
ARAÚJO, Marcelo Barreto de. Comércio Eletrônico; Marco Civil da Internet; Direito Digital. Rio de Janeiro: Confederação Nacional do Comércio de Bens, Serviços e Turismo, 2017.
BRASIL. Constituição da República Federativa do Brasil. Brasília, DF, outubro de 1988.
BRASIL. Decreto nº 10.474, de 27 de agosto de 2020. Brasília, DF, agosto de 2020.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF, agosto de 2018.
CARVALHO, Luiz et al. Desafios de Transparência pela Lei Geral de Proteção
de Dados Pessoais. In: Anais do VII Workshop de Transparência em Sistemas.
SBC, 2019. p. 21-30.
CASTRO, Catarina Sarmento e. Direito da Informática, Privacidade e Dados Pessoais. Coimbra: Almedina, 2005.
MAGRANI, Eduardo. Seis pontos para entender o Regulamento Geral de Proteção de Dados da UE. 2018. Disponível em: < http://eduardomagrani.com/seis-pontos-para-entender-o-regulamento-geral-de-protecao-de-dados-da-ue/>. Acesso em: 13 abr. 2020.
MONTEIRO, Renato Leite. Lei Geral de Proteção de Dados do Brasil – Análise. 2018. Disponível em: <https://baptistaluz.com.br/wp-content/uploads/2018/07/artigo-baptista-luz-pt-lei-geral-de-Protec%CC%A7a%CC%83o-de-dados-do-Brasil.pdf>. Acesso em: 13 mar. 2020.
NBR-ISO/IEC 27001. Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Associação Brasileira de Normas Técnicas. 2013. Disponível em:
<https://www.abntcatalogo.com.br/norma.aspx?ID=306580>. Acesso em: 13 abr. 2020.
PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei
n. 13.709/2018 (LGPD). São Paulo: Saraiva Educação, 2020.
[1] Auditor de Controle Externo do Tribunal de Contas do Município de São Paulo e membro do Grupo de Auditoria de Tecnologia da Informação – GATI da Subsecretaria de Fiscalização e Controle. Engenheiro de Software pela UniCesumar/PR, Analista de Sistemas pela UniCesumar/PR, Tecnólogo em Redes de Computadores pela UCB/RJ e Especialista em Gestão de Projetos pela UGF/RJ. E-mail: clemos05@hotmail.com.