Classificação de Dados e a LGPD
Por Marcos Assi e Jefferson Souza
Você já se pegou perguntando “Esta lei, até que ponto pode interferir no meu negócio?’, afinal mesmo sendo uma pequena empresa, você pode produzir e enviar uma dezena de arquivos com dados pessoais, seja por aplicativos ou por e-mails diariamente. Mas como podemos determinar quais documentos contém informações públicas ou não e se for uma companhia de grande porte, neste podemos estar lidando com milhões de documentos, arquivos e inúmeras trocas de mensagens, que vão precisar de uma metodologia de classificação de dados para que sejam tratados de acordo com seu nível de sigilo/criticidade.
Mas na ausência de critérios e regras para classificação e uso de dados, pode ser praticamente impossível priorizar a mitigação de riscos de forma assertiva, ou até mesmo cumprir os requisitos mínimos da LGPD, justamente quando não sabemos qual o grau de criticidade dos dados gerados pelas pessoas internamente, imagine fora do ambiente de trabalho? Por esse motivo, deixamos aqui nossa preocupação com a classificação de dados, onde é essencial entender como separar os dados críticos, que podem expor informações pessoais e sensíveis sobre um titular de dados, seja ele um usurio, um prospect, um cliente ou um terceiro, sem deixar de considerar também o cuidado que deveria estar sendo adotado com as informações privilegiadas da sua própria empresa, que podem estar sendo compartilhados livremente, mesmo que não intencionalmente por ausência de regras de tratamento para o ciclo de vida de dados em seus processos.
Quais são os direitos dos titulares?
A principal mudança trazida pela Lei diz respeito ao controle de dados pessoais pelos cidadãos, em razão da garantia de acesso às suas informações. A qualquer momento e mediante requisição, o titular dos dados pessoais tem direito a:
Fonte Serpro
Sendo assim, toda organização que trate dados pessoais, deve ser capaz de atender estes direitos, de forma transparente e gratuita.
Classificação de dados na LGPD
Para que possamos facilitar o entendimento, devemos dizer que a classificação de dados é um processo em que possamos analisar os dados e organizá-los em categorias baseadas no tipo de dados/informações que estejam em documentos físicos, conteúdos de publicações, divulgações/comunicações verbais, arquivos eletrônicos e outros possíveis metadados. É importante não confundir classificação de dados com os tipos de dados abordados na LGPD, que dividem os dados em pessoais, sensíveis, públicos e anonimizados, servindo como insumo para que seja considerado na identificação/rotulagem a ser aplicada de acordo com sua política de Classificação da Informação.
As diretrizes para a classificação de dados devem ser definidas pelo setor de segurança da informação com o suporte do departamento jurídico, e que precisam estar descritas de forma objetiva e clara na sua Política de Segurança da Informação – PSI, podendo inclusive ser uma norma específica derivada desta.
A quantidade de categorias para uma metodologia de classificação de dados vai depender das informações tratadas pela empresa e suas necessidades. As categorias mais comuns utilizadas no mundo corporativos são:
- Dados públicos: podem ser acessados por qualquer pessoa;
- Dados internos: podem ser acessados apenas por colaboradores da empresa;
- Dados restritos: podem ser acessados apenas por um grupo de pessoas ou cargos pré-definidos.
- Dados confidenciais: podem ser acessados apenas por algumas pessoas ou cargos da alta direção.
Vale a pena salientar que promover uma classificação de dados pode auxiliar as organizações a responder perguntas importantes sobre seus dados, auxiliando na estruturação de estratégias de mitigação riscos e gerenciamento de dados, fatores essenciais para a conformidade com a LGPD.
Mas não basta criar os dados, mas observar questões tais como:
- Os dados são armazenados em mais de uma plataforma?
- São acessados por quantas pessoas?
- São modificados simultaneamente ou há diferentes versões?
- Possuo cópias de segurança (backup) destas informações?
- Por quanto tempo e por qual razão mantenho os dados retidos/armazenados?
- Observar a frequência com que as informações são coletadas e atualizadas para garantir uma visão abrangente da arquitetura de dados da empresa e compreender a finalidade légítima de utilização na sua cadeia produtiva.
Outra questão que não pode ser deixada de lado é a análise da qualidade dos dados, avaliando a precisão, a sua abrangência e com certeza, a consistência dos dados, questões cruciais para garantir que não existam erros recorrentes, problemas de formatação, lacunas ou questões de ausência de controles internos compatíveis com o negócio. Desta forma devemos evidenciar que a empresa deve promover uma maior compreensão com certo grau de profundidade com relação a “Como estamos gerenciando os dados?”.
Devemos avaliar cada processo, identificando suas diversas etapas, tais como, avaliação de impacto, organização de banco de dados, implementação de mecanismos de segurança (proteção de invasão, criptografia, duplo fator de autenticação, mudança de autorizações de acesso, contingência, etc.), treinamento de colaboradores internos e terceiros, adequação de políticas internas e contratos, plano de resposta a incidente, dentre várias outras etapas que envolvem tempo e trabalho para um resultado confiável e adequado à realidade da empresa. Não é algo que se faz “do dia para noite”.
Devemos avaliar inúmeros itens previstos na lei, podemos citar alguns:
- Aplicabilidade e abrangência da LGPD em nosso negócio e de terceiros
- Qual o papel estou exercendo num determinado processo, horas somos Controladores, horas somos operadores
- Titularidade dos dados, como e quando avaliar?
- Finalidade do tratamento dos dados, quem vai fazer?
- Forma de armazenamento dos dados, como, quando e onde?
- Compartilhamento dos dados, tenho ferramentas de monitoramento?
- Quais dados são considerados sensíveis, geralmente estará no RH.
E uma outra dica essencial é realizar a classificação de dados, seguindo a seguinte ordem:
- Mapeamento de dados, utilizando métodos de entrevista e levantamento, como por meio do 5W2H, análise de riscos e varredura de dados automatizados (Data Discovery), entre outras
- Aferir onde estão armazenados os dados pessoais?
- Identificar os processos que tratam dados pessoais
- Avaliar como estão sendo controlado dados tratados com base no Consentimento do titular, é possível gerir estes consentimentos e possíveis solicitações de revogação?
- Acesso aos dados, quem pode, como e quando acessar
- Atualização, correção e exclusão, responsabilidades e obrigações
- Portabilidade como orientar o cliente sobre suas políticas
- Proteção dos dados internos e de terceiros
- Direito ao esquecimento, cuidado ao apagar o passado
- Análise de conformidade para transferência internacional destes dados, quando aplicável
Devemos nos preparar para que tenhamos um processo de segurança técnica e jurídica, com base nas exigências e penalidades previstas na Lei, observando:
- Quais são as sanções previstas na lei?
- Há outras obrigações legais atreladas a órgãos reguladores e outras leis aplicáveis ao meu negocio?
- Que tipo de documentação é exigida?
- Como devemos e podemos guardar as evidências?
- Cuidados contratuais nas cláusulas de venda de bens e serviços
- Qual processo legal que me autoriza compartilhar os dados?
- Gestão de terceiros, como avalio a aderência e comprometimento destes com as práticas de Privacidade e Proteção de Dados da minha organização? Realizou processos de auditoria, fiscalização e/ou Due Dilligence periódicos?
- Como identificar e tratar os dados de menores? Qual o controle sobre autorização de tutores e responsáveis destes menores?
- Quais os tipos de seguro para cobertura de multas e o que fazer para que o incidente esteja razoavelmente coberto?
Para que se possa realizar o tratamento de dado pessoal de forma legítima, a lei definiu hipóteses de bases legais adequadas que deverão ser associadas as respectivas finalidades dos processos realizados pela empresa que estiver no papel de Controlador , conforme art. 7º da LGPD a seguir:
- Consentimento;
- Obrigação legal ou regulatória;
- Para execução de políticas públicas pela administração pública;
- Estudos por órgão de pesquisa;
- Execução de contrato;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Proteção da vida ou da incolumidade física do titular ou de terceiros;
- Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Interesse legítimo do Controlador (desde que não sobreponha os direitos e liberdades do Titular);
- Proteção ao crédito.
Já o tratamento de dados pessoais sensíveis pode ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas, de acordo com o art. 11 da lei, além da observância dos princípios da boa-fé, finalidade, adequação e necessidade. Dados pessoais sensíveis, por sua vez, são aqueles que versam sobre:
- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política;
- Filiação a sindicato ou à organização de caráter religioso, filosófico ou político;
- Dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, de acordo com a própria legislação.
A exceção para tratamento de dados pessoais sensíveis por Consentimento será permitido nos casos de dados biométricos para processos de identificação e autenticação, devendo nestes casos serem resguardados e protegidos de forma mais criteriosa devido ao alto impacto da violação desses dados para uso em fraudes e golpes.
Bom no que tange a legislação, a LGPD se pautou em raízes tão importantes quanto o direito à liberdade de cada cidadão, quando levamos em consideração à dignidade da pessoa humana, à sua privacidade e ao livre desenvolvimento da personalidade da pessoa natural capaz de exercer seus direitos e obrigações.
Por esse motivo e com o crescimento de dados inseridos nas redes sociais, além da facilidade e velocidade no compartilhamento de dados, nem sempre é possível notar com clareza se esta divulgação massificada é legítima e se atende alguma necessidade real do Controlador sem ferir as expectativas de seus Titulares, isto quando não é o próprio Titular que está expondo desnecessariamente seus dados..
Devemos, sempre que possível, entender para qual finalidade necessitamos dos dados solicitados / coletados, seja para emissão de uma nota fiscal ou um pedido de compra de um item para ser entregue na sua casa, sabermos onde e como poderão ser utilizados estes dados.
Sendo assim, deveremos considerar a adoção de um processo de Governança de Dados, onde seja possível a empresa, Dirigir, controlar e Monitorar os dados tratados sobre sua responsabilidade, sempre considerando que para uma Governança efetiva, devemos seguir os princípios da Transparência, Equidade, Prestação de Contas e Responsabilidade Corporativa (Sustentabilidade Organizacional), como recomendado pelo IBGC – Instituto Brasileiro de Governança Corporativa.
Entretanto, muito se questiona sobre a diferenciação de controles para dados pessoais e dados pessoais sensíveis, na medida em que a legislação explicita tratamentos diferenciados a ambos. Aqui fica nossa recomendação de atenção para o excesso de controles sem proposito corporativo ou pessoal.
* Marcos Assi é CCO, CRISC, ISO 37001 e Mestre, professor e consultor da MASSI Consultoria e Treinamento – Professor de MBA na Sustentare Escola de Negócios, Fundação Dom Cabral – FDC, PUC-PR, FECAP, IBMEC, TREVISAN, FADISMA, entre outras. É autor dos livros “As Tres Linhas do IIA”, “Procedimentos Operacionais”, “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos”, “Gestão de Compliance e seus desafios” e “Governança, riscos e compliance” pela Saint Paul Editora e “Compliance como implementar” pela Trevisan Editora.
* Jefferson Souza é CRISC, ISFS, ITIL, MCSO, RBC-CDPO, CC, Consultor e Instrutor especialista em GRC – Professor de MBA na Sustentare Escola de Negócios, IBMEC, TREVISAN, FIA, Peck Sleiman EDU e membro do comitê de Governança da ANPPD – Associação Nacional de Profissionais de Proteção de Dados.