Lei Geral de Proteção de Dados: Como Adequar (na Prática) a sua Empresa para estar em Compliance com a Lei

 

Em 18 de setembro de 2020 entrou em vigor a Lei 13.790/2018, conhecida como LGPD – Lei Geral de Proteção de Dados. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da pessoa natural. Todas as organizações ou pessoas que tratam com dados pessoais de pessoa natural, precisam proteger estes dados e se adequar à Lei. As sanções vão de advertência, multa, publicização do incidente, até eliminação ou bloqueio do tratamento dos dados pessoais. 

 

Não existe um produto ou uma ação única que garanta a adequação de uma empresa à LGPD. Na adequação à LGPD há um aspecto transdisciplinar envolvido, compreendendo os aspectos legais, tecnológicos e de processos de gestão. A atuação transdisciplinar se dá em itens como políticas e normas, acesso à informação, classificação da informação, gestão de incidentes, revisão de contratos, atualização de equipamentos, dentre outros. 

 

É importante lembrar os principais conceitos do Artigo 5º da LGPD: 

 

*Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.  

 

*Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.  

 

*Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. 

 

O objetivo deste artigo é informar ao leitor quais os pontos principais para adequar sua empresa para estar em compliance com a LGPD. De forma básica e prática, vê-se um cenário com quatro aspectos principais: entender os operadores dos dados, a nomeação do DPO, conhecer todos os direitos dos titulares envolvidos e criar uma cultura e processos de proteção de dados. 

 

Aspecto 1 – Operadores de Dados 

 

O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. É a empresa que demanda o tratamento, podendo ela mesma realizá-lo ou contratar um operador. 

 

O operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. O operador deve seguir as diretrizes trazidas pelo controlador e tratar os dados de acordo com as políticas de privacidade referentes e ao ordenamento jurídico. 

 

Figura 1 – Controlador e Operador 

 

 

No caso de uma infração (incidente, vazamento, compartilhamento indevido, etc.) durante a transação, ambos (controlador e operador) serão responsáveis de forma solidária. Todos aqueles que manusearam esses dados serão responsabilizados. Lembre-se que será obrigação da organização detentora destes dados informar qualquer incidente às autoridades. É a autodenúncia. 

 

A LGPD também impede as operadoras de planos privados de assistência à saúde, o uso do tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, como a atenção domiciliar, assim como na contratação e exclusão de beneficiários. 

 

Aspecto 2 – Nomeação DPO 

 

O DPO (data protection officer), ou “encarregado” (na nomenclatura brasileira) é uma pessoa (ou equipe) indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado terá pelo menos as seguintes funções: 

 

*Informar e aconselhar os responsáveis e os funcionários sobre suas obrigações os regulamentos de proteção de dados; 

 

*Monitorar o cumprimento desses regulamentos e as políticas do encarregado;

 

*Fornecer conselhos sobre a avaliação do impacto da proteção de dados e monitorar sua implementação; 

 

*Cooperar com a autoridade de supervisão e agir como um ponto de contacto com a autoridade de supervisão.

 

O responsável pela proteção de dados deve realizar as suas funções com a devida atenção aos riscos associados às operações de transformação, tendo em conta a natureza, o âmbito, o contexto e os propósitos do processamento. 

 

Aspecto 3 – Direitos dos Titulares 

 

A LGPD estabelece uma classificação específica dos chamados dados pessoais sensíveis, assim compreendidos como os dados pessoais “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. O Setor de Saúde é ambiente extremamente regulado no Brasil, (ANS, ANVISA), e a LGPD prevê “o cumprimento de dever legal ou regulatório” (artigo 7º, II) 

 

Os documentos oriundos da digitalização de prontuários de pacientes devem ser controlados por meio de sistema especializado de gerenciamento eletrônico de documentos. Devem ter proteção contra acesso, uso, alteração, reprodução e destruição não autorizados. 

 

Os procedimentos e documentos de coleta de dados pessoais deve ser revisado para garantir a adequação à LGPD mediante fornecimento de consentimento por escrito pelo titular dos dados pessoais, em cláusula destacada das demais cláusulas contratuais. O titular dos dados precisa estar informado sobre cada direito dele e de como isso é garantido. 

 

Aspecto 4 – Criar uma Cultura e Processos de Proteção de Dados 

 

As normas ISO 27001:2013 e a ISO27701:2019 vêm sendo utilizadas pelas empresas como uma das componentes da estratégia na mitigação de riscos, pois especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gerenciamento de segurança da informação no contexto da organização. São aplicáveis à todo tipo de organização, independentemente do tipo, tamanho ou natureza. Em outras palavras, um sistema de gestão minimiza os riscos no contexto da Lei Geral de Proteção de Dados 

 

A norma prevê que os processos sejam definidos, implantados e auditados periodicamente para garantir sua execução. Isso vem de encontro ao artigo 52 da LGPD, onde encontram-se alguns itens que podem atenuar as sanções, como: a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei; e a adoção de política de boas práticas e governança. 

 

Considerações Finais 

 

O artigo trouxe, de forma não exaustiva, os quatro pontos principais para compliance com a LGPD:

 

1) Entender os operadores dos dados (lembrando que em caso de incidente, vazamento, compartilhamento indevido, controlador e operador serão responsáveis de forma solidária);

 

2) A nomeação do DPO (deve realizar as suas funções com a devida atenção aos riscos associados às operações de transformação);

 

3) Conhecer todos os direitos dos titulares envolvidos (titular dos dados precisa estar informado sobre cada direito dele e de como isso é garantido);

 

4) Criar uma cultura e processos de proteção de dados (adoção de política de boas práticas e governança). 

 

Finalmente, é fundamental entender o aspecto transdisciplinar envolvido, compreendendo e levando em conta os aspectos legais, tecnológicos e de processos de gestão. 

 

Este artigo foi criado por Gianfranco Muncinelli, para a Cátedra Ozires Silva, acompanhe mais sobre o projeto clicando aqui.