LEI Nº 13.709, DE 14 DE AGOSTO DE 2018
Seção II
Das Boas Práticas e da Governança
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I – implementar programa de governança em privacidade …
Ao promover a elaboração e implantação de um programa de governança em privacidade e proteção de Dados, processo que se tornou necessário em razão da vigência da Lei Geral de Proteção de Dados no Brasil (Lei 13.709/18) como descrito no seu artigo 50, é essencial que a empresa ou empreendedor, na condição de controlador ou operador de dados pessoais, identifique seu nível de adequação à privacidade e proteção de dados pessoais de seus clientes e colaboradores.
Art. 5º
…
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
A pergunta essencial para iniciar essa verificação é: a empresa ou empreendedor faz o tratamento de dados pessoais?
Art. 5º
…
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
...
Em caso de resposta positiva, é preciso observar:
1 – quais as operações de tratamento eletrônicas/digitais realizadas? Elas incluem, a título de exemplo, rotinas de backups, criptografia, políticas internas de segurança da informação, política de privacidade para interna ou externa dirigida a colaboradores e clientes, termos de uso, política de cookies?
2 – quais as operações de tratamento são realizadas de forma física? Como são arquivados os documentos? Quem tem acesso a eles?
Para ambos os casos, é preciso saber com quem são compartilhados os dados físicos e eletrônicos?
Como e quando é feito o descarte dos dados pessoais físicos e eletrônicos?
Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Deve ser considerada ainda a criação de uma política de segurança da informação, a qual deve ser conhecida e estar disponível a todos os colaboradores, por meio escrito ou digital.
Esta é uma boa prática e pode ser o primeiro passo a envolver toda a equipe no projeto de implantação da conformidade legal.
Ainda em relação aos colaboradores, é prático firmar um acordo de confidencialidade.
Este acordo de confidencialidade também deve se estender a clientes e parceiros.
Como implementar esse compromisso com todos? Por meio de cláusulas contratuais específicas para cada caso.
Além deste compromisso, esses todos eles devem ser levados a entender a importância do tema “proteção e privacidade de dados pessoais”.
Conscientização coletiva é o segredo.
Todos os setores e colaboradores que compõem o agente de tratamento devem estar envolvidos no projeto de conformidade: o motorista, o porteiro, a recepcionista, os departamentos internos, a alta direção… todos devem estar cientes do seu papel e da importância do tema para si próprio, para a empresa e para os clientes e fornecedores.
Outra política a ser implementada para quem pretende manter sua conformidade legal com a privacidade de dados é a do controle de acesso aos bancos de dados e sistemas da organização, onde se deve relacionar as melhores práticas para a rotina de acessos (quem pode, quando pode, como pode…).
Também, deve ser traçado um plano de continuidade de negócios que possa ser regularmente testado.
Essa testagem ajuda a prever caminhos e soluções para se tratar as vulnerabilidades encontradas nos processos de negócios e ciclos de tratamento.
Utilizar políticas e procedimentos ágeis é igualmente importante.
Uma constante em meio a essas vulnerabilidades identificáveis e que é um ponto de destaque a ser considerado pelas empresas são os contratos firmados com clientes, funcionários e fornecedores.
Na maioria dos casos, esses instrumentos sempre são omissos e não possuem cláusulas referentes às obrigações legais em relação à proteção de dados pessoais, desconsiderando a autorização para coleta, processamento e uso do dado e sua finalidade clara e objetiva.
Os contratos sempre devem considerar em suas cláusulas, sejam padrões ou genéricas, as exigências trazidas pela LGPD em relação aos agentes de tratamento: controlador e operador.
Art. 5º
…
IX – agentes de tratamento: o controlador e o operador;
…
Outro requisito a se observar na busca pela conformidade legal é identificar se existe a transferência internacional e se é o caso de se informa ao titular e obter seu consentimento.
Art. 5º
…
XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
...
Essa transferência deve considerar se o agente de tratamento receptor externo está em conformidade com as leis de privacidade de dados pessoais na região em que atua.
A elaboração de instrumentos corretos e eficazes, como os aqui mencionados, facilitarão ao agente de tratamento identificar a necessidade de criar o relatório de impacto a proteção de dados, o qual deverá ser ajustado sempre… a verificação de sua efetividade e eficiência deve ser constante e ininterrupta.
Art. 5º
…
XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
…
A mudança das bases legais e finalidade aplicadas aos ciclos de tratamento dos dados pessoais que a organização possui em seus bancos de dados determinará as revisões ao projeto, que são obrigatoriamente contínuas e dinâmicas, devendo ser acompanhadas de perto pelo encarregado de dados, que é a pessoa indicada pelo controlador para atuar como ponte entre as partes envolvidas no tratamento dos dados, sendo eles os agentes, o titular dos dados e a AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS.
Art. 5º
…
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
…
XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Enfim, é consenso em todo projeto que todos devem participar da adequação, colaborando com ajustes, soluções e registros dos procedimentos que estão a seu encargo.
Todos devem compreender a importância de exercerem uma participação efetiva e prática durante todo o processo de conformidade, fazendo com que as orientações sejam aplicadas no dia a dia da empresa.
A cultura da privacidade deve ser a base de novos projetos, sempre.
E os projetos já existentes devem ser adaptados a ela.
Impor requisitos de privacidade de forma parcial ou apenas no final de um projeto não atende o artigo 46 da Lei Geral de Proteção de Dados e, consequentemente, não resultará na conformidade pretendida pela organização em relação à Lei Geral de Proteção de Dados.
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
...
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
O tema deve ser frequentemente tratado por meio de campanhas de conscientização, eventos internos e externos.
Essa é a nova cultura que deve prevalecer a partir de agora com a Lei Geral de Proteção de Dados: zelar pela garantia da proteção dos dados pessoais e da privacidade do seu titular em primeiro lugar dentro da organização.
Art. 5º…
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
…
Assim, estes são alguns dos pontos essenciais a serem considerados na elaboração de um Programa de Governança em Privacidade e Proteção de Dados.
