Implementação da LGPD: por onde começar?
Controlador, operador e encarregado: estes profissionais são fundamentais nas empresas que pretendem implantar a LGPD
Por Marcos Assi marcos.assi@massiconsultoria.com.br
Agosto foi de fortes emoções para os especialistas e para as empresas, tendo em vista os acontecimentos do final do mês. Vamos por partes para que possamos entender esta insegurança jurídica sobre a Lei Geral de Proteção de dados (LGPD).
A Lei nº 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi sancionada pelo ex-presidente Michel Temer em agosto de 2018 e tinha como prazo de início, agosto de 2020, mas devido à pandemia, algumas mudanças ocorreram e tínhamos uma Medida Provisória 959/2020 que aguardava aprovação na Assembleia Legislativa Federal. No dia 25 de agosto, a Câmara dos Deputados finalmente votou e aprovou a Medida Provisória 959/2020, texto que pretendia adiar a entrada da Lei Geral de Proteção de Dados (LGPD) para maio de 2021, mas a MP foi alterada propondo uma redução no prazo de adiamento para o dia 31 de dezembro deste ano.
No dia seguinte, (isso mesmo no dia 26 de agosto), foi a vez do Senado apreciar o projeto, e para nossa surpresa de novo, os senadores decidiram eliminar o artigo que tratava da LGPD, com isso, a norma brasileira de proteção de dados deveria entrar em vigor assim que a MP 959/2020 fosse sancionada ou vetada pelo presidente Jair Bolsonaro.
Então, em 27 de agosto, foi publicado no Diário Oficial da União o decreto que aborda a estrutura regimental da Autoridade Nacional de Proteção de Dados (ANPD), órgão que será responsável por garantir o cumprimento da lei. Mas, vale a pena salientar que as penalidades da LGPD só poderão ser aplicadas a partir de agosto de 2021, portanto, o Brasil não é para amadores, precisamos de muita gestão para suportar a nossa instabilidade jurídica e operacional para as empresas.
A Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet, com isso, o Brasil passou a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos.
Outros regulamentos similares à LGPD no Brasil são o General Data Protection Regulation (GDPR) na União Europeia, que passou a ser obrigatório em 25 de maio de 2018 e aplicável a todos os países da União Europeia (UE).
A lei determina que o tratamento de dados deve ser entendido como qualquer procedimento que envolva a utilização de dados pessoais, tais como a coleta (cadastro), a classificação, a utilização, o processamento, o armazenamento, o compartilhamento, a transferência, a recuperação, a eliminação, entre outras ações.
Portanto, é importante salientar que todo esse processo exige a presença de pelo menos três figuras essenciais que as empresas deverão conter em seu quadro profissional:
- o controlador – é quem toma as decisões sobre o tratamento dos dados;
- o operador – é quem coloca em prática as decisões do controlador, e
- o encarregado – que tem a missão de fazer a “ponte” entre o controlador, a pessoa dona dos dados e a agência governamental responsável pela fiscalização da lei.
Cabe neste momento alguns esclarecimentos, que nada impede que o controlador exerça a atividade por conta própria, tornando-se ao mesmo tempo, controlador e operador. Porém, será o controlador quem deverá indicar o encarregado pelo tratamento de dados pessoais, conforme o art. 41 da lei que diz o seguinte:
“O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.”.
Portanto, quando indicado, o Encarregado terá sua identidade e informações de contato publicadas, de forma clara e objetiva, no site do controlador, pelo menos é o que diz a lei.
Não restam dúvidas que o Encarregado é uma das grandes novidades da lei, além de uma das mais importantes inovações. Na legislação brasileira, o DPO (Data Protection Officer) que é chamado de Encarregado de Proteção de Dados Pessoais, podendo também ser chamado de CPO (Chief Privacy Officer), pois a definição está no art. 5º, inciso VIII:
“Para os fins desta Lei, considera-se:
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
E para que a informação não fique pela metade devemos demonstrar que as suas atividades também estão descritas no art. 41, § 2º da LGPD:
As atividades do encarregado consistem em:
I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – Receber comunicações da autoridade nacional e adotar providências;
III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”.
Mas para que possamos complementar a informação trazemos aqui o art. 39 da GDPR, onde esclarece de forma bem lúdica que:
“Funções do encarregado da proteção de dados:
1. O encarregado da proteção de dados tem, pelo menos, as seguintes funções:
a) Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
b) Controlar a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
c) Prestar aconselhamento, quando lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35;
d) Cooperar com a autoridade de controle;
e) Ponto de contato para a autoridade de controle sobre questões relacionadas ao tratamento, incluindo a consulta prévia a que se refere o artigo 36, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.”.
Então, se você tem a intenção de fazer a implementação deve se enquadrar nas exigências da lei, e as empresas terão que fazer algum investimento, seja em tecnologia ou em capacitação de seus profissionais internos, para a implementação de uma estrutura adequada e uma política interna de compliance digital acerca do tratamento de dados de seus clientes. Isso vale tanto para empresas do setor público como do setor privado.
Vale como dica, que a primeira ação a ser tomada é um diagnóstico da sua organização com sua equipe de TI juntamente com a área de controles internos, riscos e compliance – sejam da própria empresa ou terceirizada – com relatórios de análises de risco e de análises de impacto das novas exigências. Com isso, será possível verificar em qual estágio a empresa se encontra nesse sentido, quais são os pontos mais vulneráveis de seus sistemas e constatar quais são os maiores fatores de risco.
Tendo em vista algumas informações publicadas ultimamente, devemos dizer que para estar em compliance com a LGPD (ou com a GDPR) não se trata apenas de revisão de políticas e contratos. É uma mudança complexa de cultura e na forma de fazer gestão de dados, momento mais que oportuno de conhecer melhor seu negócio e como as informações estão fluindo dentro e fora do negócio, tendo em vista que temos ainda um processo de home office em pleno movimento dentro das organizações.
Devemos avaliar cada processo, identificando suas diversas etapas, tais como, avaliação de impacto, organização de banco de dados, implementação de mecanismos de segurança (proteção de invasão, criptografia, duplo fator de autenticação, mudança de autorizações de acesso, etc.), treinamento de colaboradores internos e terceiros, adequação de políticas internas e contratos, plano de resposta a incidente, dentre várias outras etapas que envolvem tempo e trabalho para um resultado confiável e adequado à realidade da empresa. Não é algo que se faz “do dia para noite”.
Devemos avaliar inúmeros itens previstos na lei, podemos citar alguns:
- Aplicabilidade da LGPD em nosso negócio e de terceiros
- Titularidade dos dados, como e quando avaliar
- Finalidade do tratamento dos dados, quem vai fazer
- Forma de armazenamento dos dados, como, quando e onde
- Compartilhamento dos dados, tenho ferramentas de monitoramento
- Quais dados são considerados sensíveis, geralmente estará no RH
E uma outra dica essencial é realizar a classificação de dados, seguindo a seguinte ordem:
- Mapeamento de dados, utilizando o 5W2H se quiser
- Onde estão armazenados os dados pessoais?
- Quais os processos tratam dados pessoais?
- Consentimento para o uso dos dados como fazer e com quem
- Acesso aos dados, quem pode, como e quando acessar
- Atualização, correção e exclusão, responsabilidades e obrigações
- Portabilidade como orientar o cliente sobre suas políticas
- Proteção dos dados internos e de terceiros
- Direito ao esquecimento, cuidado ao apagar o passado.
Devemos nos preparar para que tenhamos um processo de segurança jurídica, com base nas exigências e penalidades da Lei, observando:
- Quais são as sanções previstas na lei?
- Que tipo de documentação é exigida?
- Como devemos e podemos guardar as evidências?
- Alguns cuidados contratuais na venda de bens e serviços
- Como podemos compartilhar os dados?
- Gestão de terceiros
- Como identificar e tratar os dados de menores?
- Quais os tipos de seguro para cobertura de multas e o que fazer para que o incidente esteja coberto?
É importante entender que devemos interpretar o que diz a lei, pois a GDPR entende que o DPO tem atividades implícitas por extensão natural do cargo, e isso é muito importante evidenciar como poderemos manter registro das operações de tratamento de dados e como devermos informar, regularmente, a conformidade e os riscos à alta administração e, principalmente, como manter a sinergia dos processos em conjunto com controles internos, compliance, riscos e auditoria interna.
Dessa forma, temos que o Encarregado estimula o tratamento de dados pessoais, mas não trata dados, tem como principal função orientar a todos sobre as melhores práticas de privacidade, e deverá ser o canal de comunicação, adotando todas providências necessárias para o controlador ficar em conformidade com a legislação e colaborar na revisão do código de conduta com os itens para proteção dos dados pessoais.
Segundo alguns especialistas, algumas posições podem ser conflitantes com a função de DPO, tais como CEO (Chief Executive Officer), COO (Chief Operating Officer), CFO (Chief Financial Officer), Coordenador de Marketing, Coordenador de RH, Coordenador de TI, somente para citar alguns, mas sempre devemos avaliar o porte da organização e se tem condições de estabelecer esta independência.
Mas todos têm que indicar o Encarregado de Dados? A princípio sim, mas segundo a lei a ANPD poderá dispensar a necessidade de indicação do DPO, conforme a natureza, o porte da entidade ou o volume de operações de tratamento de dados, mas como ainda não temos nenhuma definição do regulador no Brasil, devemos aguardar o que vem pela frente.
Outro item muito importante é o Art. 44 da lei que determina:
O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I – O modo pelo qual é realizado;
II – O resultado e os riscos que razoavelmente dele se esperam;
III – As técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.”.
Em outras palavras DPO não será responsável pelo não cumprimento das obrigações relacionadas ao tratamento de dados pessoais, mas se passar instruções inadequadas, que venham gerar danos aos titulares de dados sejam por negligência, alguma imperícia ou imprudência, poderá sim ser responsabilizado, conforme já previsto no art. 43, III da referida lei.
Portanto, procure um Encarregado de Dados ou DPO que possa:
- Transitar bem entre diferentes públicos;
- Traduzir linguagem técnica e jurídica para o público em geral
- Ter conhecimento sobre gestão de riscos e governança
- Ter familiaridade com tecnologia
- Saber trabalhar em equipe
- Ter conhecimento da legislação
- Ter conhecimento sobre privacidade e segurança da informação
E para finalizar, deve-se ter algumas noções de Governança de TI e Gestão de Segurança da Informação, pois sem isso os incidentes ficam muito mais evidentes a cada dia, por isso devemos identificar:
- Procedimentos internos com os papéis e responsabilidades na proteção dos dados;
- Quais as tecnologias usuais para a garantir a privacidade e a confidencialidade das informações;
- Quais os tipos de análise de vulnerabilidades temos e quais as métricas de segurança da informação implementadas;
- Se existe o engajamento da alta gestão da empresa;
- Quais os papeis e responsabilidades do encarregado pela proteção dos dados (DPO) se você tiver alguém para a função;
- Gestão de crises e noções de respostas a incidentes com revisão da ISO 27001;
- Matriz de análise de riscos e medidas de prevenção e correção;
- E analisar os cuidados na preservação de evidências.
Pelos motivos listados acima, acreditamos que muitas empresas ainda estão aquém de poder implementar um processo interno, tendo em vista que muitas delas nunca se preocuparam com a ISO de segurança da informação, ou na implementação de processos de governança de TI, e muitas até sequer olharam o marco civil de internet, que poderia auxiliar neste momento.
Fica aqui nossa dica de como fazer um processo com base em mapeamento de processos, implementação de controles internos, uma gestão de compliance voltada para riscos e uma mudança de postura de todos no que tange a necessidade de melhoria dos negócios.
Capa da Edição 92 da Revista Ferramental no link abaixo: https://issuu.com/revistaferramental8/docs/edicao-92
* Marcos Assi é CCO, CRISC e Mestre, professor e consultor da MASSI Consultoria e Treinamento – Embaixador pela Divina Câmara Parisiense de Artes e Cultura 2018 e Prêmio Alta Gestão 2017, Comendador Acadêmico pela Câmara Brasileira de Cultura, professor de MBA na Sustentare Escola de Negócios, FECAP, IBMEC, Centro Paula Souza, UNIMAR, FADISMA, entre outras. É autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos com Controles Internos”, “Gestão de Compliance e seus desafios” e “Governança, riscos e compliance” pela Saint Paul Editora e “Compliance como implementar” pela Trevisan Editora.