A LGPDLei Geral de Proteção de Dados, Lei nº 13.709 de 14 de agosto de 2018, que visa a proteção dos dados pessoais, estabelece um cenário completamente novo nas instituições com relação ao uso desses dados, uma vez que deverão ser tomadas várias ações que visam a proteção dos direitos fundamentais de liberdade/privacidade e o livre desenvolvimento da pessoa natural – agora, os donos dos dados passam a ter domínio sobre seus próprios dados!

 

Governança da Privacidade agora é Lei - www.governancas.com.br

Essa Lei define que deverão estar em conformidade tanto a portaria de um prédio, que registra os dados dos visitantes em um livro, quanto um laboratório de análises clínicas que registra os dados pessoais de seus funcionários na área de RH e disponibiliza os resultados das análises clínicas dos clientes na Web. Esta é a primeira Lei que punirá por inércia: além de as instituições serem obrigadas a se adequar à Lei, deverão demonstrar (evidenciar) a sua conformidade, tanto para o titular quanto para a autoridade nacional, para evitarem as penalizações.

 

 

Algumas definições são importantes para o entendimento da LGPD

 

  • Dado pessoal quaisquer dados que identifiquem ou possam identificar uma pessoa, como seu nome, RG, CPF ou telefone celular.
  • Dado pessoal sensível esses dados incluem, mas não se limitam a, dados de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização religiosa, filosófica ou política, dado referente à saúde ou à vida sexual e dado genético ou biométrico.
  • Dado anonimizado dado que não possibilita a identificação do seu titular, devido ao uso de técnicas como descaracterização (simples e irreversível) ou criptografia (complexa e reversível).
  • Banco de dados conjunto de dados pessoais armazenados de forma física ou eletrônica.
  • Titular é o dono dos dados pessoais que são alvo de tratamento.
  • Controlador PF ou PJ (empresa privada ou pública), responsável pelas decisões referentes ao tratamento de dados pessoais.
  • Operador PF ou PJ (empresa privada ou pública), responsável pela realização do tratamento de dados pessoais em nome do controlador.
  • Encarregado PF indicada pelo controlador, responsável pela comunicação entre o controlador e os titulares e a autoridade nacional.
  • Agentes de tratamento são o controlador e o operador.
  • Tratamento toda operação realizada com dados pessoais, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Anonimização operação técnica aplicada aos dados pessoais impossibilitando a associação, direta ou indireta, a um titular.
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (e por tempo determinado).
  • Bloqueio suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
  • Eliminação suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
  • Transferência internacional de dados transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
  • Uso compartilhado de dados comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
  • Relatório de impacto à proteção de dados pessoais documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
  • Órgão de pesquisa órgão ou entidade nacional (empresa pública ou empresa privada sem fins lucrativos), que possua missão institucional/objetivo social/estatutário pesquisa de caráter histórico, científico, tecnológico ou estatístico.
  • Autoridade nacional órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.

 

Os agentes responsáveis pelos dados pessoais (o controlador, a quem compete as decisões referentes ao tratamento dos dados pessoais; e o operador, responsável por executar as decisões de tratamento desses dados) passarão a ter responsabilidade legal sobre todo o ciclo de vida dos dados pessoais/sensíveis na instituição, desde a obtenção do consentimento formal pelo titular para o tratamento dos dados com uma finalidade determinada, até a conclusão previamente definida do tratamento ou a eliminação do dado por solicitação do titular.

Esta Lei deve ser aplicada a qualquer operação de tratamento realizado por PF ou PJ, quando os dados pessoais forem coletados ou tratados em território nacional (como operações B2C e B2B), executadas tanto de forma física como eletrônica (on-line e off-line). E estende-se às instituições de outras nacionalidades, desde que ela opere ou mantenha relação comercial em território brasileiro. Desta forma, deverão estar em conformidade à LGPD as portarias dos prédios, as operadoras de telefonia, as seguradoras de veículos, os consultórios dentários, os colégios/cursos públicos e privados que mantém registro de seus alunos, as oficinas mecânicas que registram os dados pessoais dos seus clientes, os laboratórios de análises clínicas, os hospitais, dentre muitas outras instituições que fazem tratamento de dados pessoais.

 

 

Obtenção do consentimento

 

O consentimento é um ato temporário e pode ser revogado a qualquer momento pelo titular dos dados. Para isso, os controladores deverão disponibilizar os dados, de forma segura, gratuita e facilitada para consulta e alteração, além de informar a finalidade específica do tratamento e sua forma/duração em uma linguagem simples, clara, acessível e transparente, evitando a nulidade do consentimento, bem como deve informar sobre a possibilidade e consequências de não fornecer o consentimento. Além disso, o titular pode solicitar a portabilidade dos dados a outro fornecedor do serviço ou produto. Só estas ações já geram grande impacto nas instituições que deverão ter seus dados classificados, disponibilizados para visualização/alteração em meio seguro, e ter, ainda, suas finalidades para os tratamentos sendo versionadas e anexadas aos respectivos consentimentos, ou às suas negativas, bem como as futuras revogações dos consentimentos, visando criar prova de consentimento junto à autoridade nacional. Ainda, quando o tratamento dos dados pessoais for baseado em interesses legítimos, os agentes de tratamento deverão focar na transparência do tratamento, que poderá ser alvo de avaliação por parte da autoridade nacional de proteção de dados.

O titular pode, também, requerer ao controlador a confirmação da posse/acesso de seus dados pessoais e deverá receber a resposta do controlador em até 15 dias.

Na necessidade de coleta de dados pessoais sensíveis, os agentes de tratamento devem fazer informes especiais e destacados e coletarem esses dados apenas para finalidades específicas, como estudos, pesquisa ou tutela da saúde (profissionais da saúde ou entidades sanitárias). Os dados pessoais sensíveis não podem ser tratados por razões de interesse legítimo do controlador ou de terceiros, bem como de proteção ao crédito.

Esse nível de cobrança/complexidade eleva-se quando o tratamento se referir aos dados de menores: deverá ser obtido o consentimento de ao menos um de seus pais/responsáveis. Para a obtenção desse consentimento é permitida a coleta limitada (uma única vez e sem armazenamento) de dados pessoais desses menores, que viabilizem o contato com os respectivos responsáveis – e fica definido pela Lei que o controlador deve envidar todos os esforços razoáveis, considerando as tecnologias disponíveis, para obter o consentimento dos responsáveis.

A instituição pode optar por descaracterizar (anonimizar) os dados pessoais obtidos dos usuários e, assim, ficar de fora do escopo de atuação da LGPD, uma vez que, através dessa técnica, perde-se a possibilidade de associação, direta ou indireta, a um indivíduo. De qualquer forma, a instituição deve realizar uma análise de custo versus benefício no esforço de realizar a descaracterização que resultará, por fim, na perda da identidade de seus dados.

Lembrando que, a qualquer momento, a autoridade nacional poderá solicitar um relatório de impacto à proteção de dados pessoais/sensíveis referentes aos tratamentos de dados, contendo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia das informações, além da análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de riscos adotados.

E, em caso de incidente de segurança que possa acarretar riscos ou danos relevantes aos titulares, o controlador deverá informar sua ocorrência à autoridade nacional e aos próprios titulares, identificando os dados pessoais e seus respectivos titulares afetados, apresentando as medidas de segurança tomadas, os riscos e danos relacionados ao evento e as ações tomadas para reverter e/ou mitigar o impacto dos prejuízos.

No âmbito das instituições estrangeiras, a transferência internacional de dados pessoais será permitida quando houver o consentimento específico pelo titular para realização da transferência e quando o país receptor possuir proteção de dados adequada à essa Lei, sendo o nível de proteção de dados passível de avaliação pela autoridade nacional. A instituição estrangeira será notificada e intimada de todos os atos processuais previstos nessa Lei, pela autoridade nacional.

 

 

Tratamento dos dados pessoais

 

O tratamento dos dados pessoais somente poderá ser realizado nas seguintes condições:

Condições para tratamento - www.governancas.com.br

É imprescindível que as medidas tomadas nas operações de tratamento para conformidade à LGPD sejam demonstráveis, isto é, sejam geradas evidências de tais ações!

 

 

Princípios a serem aplicados ao tratamento de dados

 

Princípios para o tratamento - www.governancas.com.br

A Lei define ainda sobre o tratamento de dados pessoais pelo Poder Público, que deve visar o atendimento de sua finalidade pública e na persecução do serviço público. Os prazos e procedimentos para o exercício dos direitos dos titulares se alteram, conforme as Leis: Lei do Habeas Data, Lei Geral do Processo Administrativo e Lei de Acesso à Informação. E, ainda abre concessões à transferência de dados a entidades privadas, quando ocorrer a execução descentralizada de atividade pública que exija essa transferência e dá tratamento diferenciado nesses casos específicos.

Os dados pessoais deverão ser eliminados ao término do tratamento, que poderá acontecer quando for obtida sua finalidade, quando terminar o período definido do tratamento, quando o titular revogar seu consentimento ou solicitar a eliminação de seus dados ou, ainda, por uma determinação legal.

 

 

Governança da Privacidade

 

Com relação às Governanças (a Governança dos Dados e, principalmente, a Governança da Privacidade), a LGPD fomenta a formulação de boas práticas, estabelecimento de políticas e padronização, ações educativas, organização, supervisão e mitigação de riscos. E, dispõe, ainda, sobre a implantação de um programa de Governança da Privacidade, o qual, no mínimo:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

Para o atendimento desse item, deverão ser definidos processos e políticas que tratem e apoiem normas e boas práticas voltadas à proteção dos dados pessoais, bem como o uso de apresentações, palestras e informativos (impressos e eletrônicos) que tratem e disseminem a mudança cultural da instituição, promovendo a importância sobre a manutenção da proteção dos dados pessoais.

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

As políticas e processos estabelecidos deverão estender-se a todos os dados pessoais sob o controle da instituição, independentemente da forma de coleta do dado (on-line ou off-line) e durante todo seu ciclo de vida, desde a entrada até o expurgo (podendo ocorrer por solicitação do titular ou, automaticamente, pelo término do tratamento).

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

As políticas e processos estabelecidos deverão moldar-se ao porte das operações da instituição, quanto maior e mais complexa a organização, maior deverá ser a segurança pretendida (maiores os riscos e os pontos de falha). E, quanto mais sensíveis forem os dados tratados (dados de análise de mapeamento genético para propensão a doenças, por exemplo), maior deverá ser o nível de segurança a ser garantido e mantido e, certamente, maiores serão suas punições em caso de incidentes.

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

As políticas e processos de proteção aos dados pessoais deverão estar dimensionados adequadamente aos impactos e riscos à privacidade previamente identificados e analisados de forma quantitativa e qualitativa, quanto maiores forem os impactos identificados, mais rígidos deverão ser o monitoramento e o controle da privacidade.

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

Devem ser promovidas ações de transparência junto aos titulares informando a finalidade e a temporalidade no uso de seus dados, obtendo o consentimento através de informes claros de como seus dados serão tratados e deve ser considerada a possibilidade de intervenção do titular a qualquer momento no ciclo de vida dos dados, através da permissão, em meio seguro, de consulta, alteração ou eliminação de seus dados pessoais.

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

Para atender essa necessidade, faça com que a implementação da Governança da Privacidade seja parte integrante da arquitetura atual da instituição, garantindo que o foco na privacidade dos dados pessoais permeie e seja o centro de todas as suas áreas de negócio (privacy by design). Estabeleça processos de supervisão e auditoria buscando gaps nas políticas, normas e processos (busca por compliance), bem como, proceda com ações de análises de vulnerabilidades na segurança dos dados pessoais por todo o ciclo de vida dos dados na instituição.

g) conte com planos de resposta a incidentes e remediação; e

Prepare planos de resposta a incidentes de vazamento de dados pessoais (obrigações do controlador), bem como, mantenha plano de remediação (reparação) dos danos, visando minimizar os impactos do incidente e realizar o cumprimento de suas obrigações legais. Esses planos devem ser periodicamente revisados e mantidos.

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

Os planos que compõem o programa de Governança da Privacidade deverão estar sendo revisitados e atualizados através de processos sendo executados sob o ciclo DMAIC, garantindo que as ações sejam reavaliadas e que ocorram evoluções constantes em todo o programa.

 

 

Busca da conformidade à Lei

 

Para obtenção da conformidade à LGPD, serão necessárias várias ações alinhadas, através do estabelecimento de um programa de compliance à LGPD. Algumas ações em nível macro foram enumeradas, mas não se limitam a:

  • Defina o profissional que será o Data Protection Officer, responsável pela privacidade dos dados e pela equipe de proteção aos dados e, consequentemente, pela conformidade à Lei.
  • Conheça os dados pessoais e sensíveis coletados pela instituição através do mapeamento de seus pontos de entrada e entenda como a LGPD o afeta.
  • Faça um assessment (avaliação de gaps) para alcance da conformidade, visando a construção de planos de ação.
  • Faça a avaliação e controle dos riscos, visando priorização de ações na eliminação ou mitigação dos mesmos.
  • Faça uma análise de conformidade das políticas (Governança de Dados, Governança da Informação e Governança da Privacidade), documentos, processos e contratos que atuem com dados pessoais de empregados, terceirizados e clientes, visando suas evoluções em busca da conformidade legal.
  • Estabeleça um programa de mudança cultural visando disseminar a proteção dos dados como centro dos negócios, buscando atendimento às obrigações da LGPD.
  • Defina a política de tratamento de incidentes, visando conformidade à Lei através de comunicação aos titulares e à autoridade nacional, além de ações de remediação, em caso de incidente com dados pessoais.
  • Revise sua Política de Segurança da Informação e estabeleça a política de Governança de Privacidade.
  • Estenda a política de Governança de Privacidade junto aos seus fornecedores e parceiros, visando total conformidade.
  • Faça o planejamento evolutivo dos pontos de entrada de dados visando apresentar as informações obrigatórias legais sobre o tratamento dos dados pessoais e obter o consentimento dos titulares.
  • Nas entradas de dados, informe clara e adequadamente, e obtenha (ou não) o consentimento. Faça o versionamento dos informes e seus respectivos consentimentos de uso de dados pessoais (ou das negativas) visando produção de provas de consentimento.
  • Faça o planejamento da evolução de arquitetura, infraestrutura e entrada de dados da instituição: segurança em conexões, transferências, compartilhamentos, transações, interfaces, conexões, bancos de dados locais e na nuvem, arquivos no file system, controle de acessos e permissões, etc. Mapeie, avalie e garanta a segurança em cada ponto.
  • Registre as operações e tratamento de dados, visando criação de evidência de conformidade à Lei.
  • Utilize com regularidade de ferramentas e técnicas que apoiem a precaução de incidentes: análise e gestão de vulnerabilidades, análise de tráfego, prevenção contra intrusos, proteção contra ameaças, etc.
  • Garanta que os titulares tenham seus direitos exercidos de forma facilitada, transparente, clara e gratuita.

 

Direitos e deveres - www.governancas.com.br

 

As penalizações por infração cometida à LGPD, além da advertência, poderão ser de até 2% do faturamento, sendo limitada ao valor de R$50 milhões; multa diária; publicização da infração (marketing negativo); bloqueio e eliminação dos dados que sofreram a infração. O prazo para as instituições estarem em conformidade à Lei é até 15 de fevereiro de 2020, isto é, menos de 11 meses… sim, é um trabalho imenso para ser executado em um prazo curtíssimo!

 

O lado negro da força sempre tentará atacar, mas a conformidade à LGPD deixará a segurança dos dados nas instituições em alto nível. Como você está tratando a aderência à Lei da Governança da Privacidade na sua instituição?

 

Solicite apoio do Governanças na busca de sua conformidade à LGPD. Faça-nos uma consulta!

 

Baixe essa publicação aqui!

 

 

 

REFERÊNCIAS

 

Governancas.com.br

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018

LEI Nº 12.527, DE 18 DE NOVEMBRO DE 2011

Sete importantes considerações sobre Governança de Dados

Understanding data governance

Governanças – O Livro

Deixe uma Resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode usar tags e atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>