Neste mês de Junho, nós do Escritório Polinario e Visnadi Advogados Associados, estamos trazendo uma série de artigos sobre a LGPD (Lei Geral de Proteção de Dados), como forma de elucidar algumas dúvidas pertinentes.

Já falamos dos 11(onze) Princípios da Lei Geral de Proteção de Dados em 03 de junho, no artigo redigido pelo Dr. Eduardo Giuntini Martini (https://polinario.adv.br/principios-lei-geral-de-protecao-de-dados-e-direitos/).

Também abordamos o tema da segurança e o risco dos seus dados serem comercializados, no artigo do Dr. Thiago de Campos Visnadi, publicado em 11 de junho (https://polinario.adv.br/quanto-valem-seus-dados-na-internet/ ).

E agora trataremos de forma bem simplificada como iniciar a implementação de um Compliance da LGPD, para você que é empresário, ou que atua diretamente com o setor de tecnologia e análise de dados, ou que tem ou está desenvolvendo seu e-commerce, ou ainda se é uma “startup” e que já sente a necessidade de implementação de um bom “Compliance” digital para a área de dados pessoais, bem como sente a preocupação das consequências da LGPD que entra em vigor em Agosto de 2020.

Você empreendedor se viu obrigado a digitalizar todo o seu negócio, num período de 3 meses, devido à Pandemia, porém não sabe ao certo como Captar, Armazenar,Tratar e Lidar cos dados pessoais de seus clientes, fornecedores e colaboradores, então não pode deixar de ler este artigo e nos acompanhar nas redes sociais.

Primeiramente precisamos adequar os processos (internos e externos) para que estejam em “compliance” com a LGPD.

O tratamento dos dados pessoais somente poderá ser realizado nas hipóteses previstas pelo artigo 7º da Lei:

1. Mediante fornecimento de consentimento do titular;

2. Para cumprimento de obrigação legal ou regulatória pelo Controlador;

3. Pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas;

4. Para estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

5. Quando necessário para execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

6. Para exercício regular de direitos em processo judicial, administrativo ou arbitral;

7. Para proteção da vida ou da incolumidade física do titular ou terceiro;

8. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

9. Quando necessário atender interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais;

10. Para proteção do crédito;

Assim, entendendo desde o momento do Consentimento do Titular dos Dados, seu cliente, é necessário você observar quais dados está captando e porquê ele é indispensável na sua atividade comercial (lembre-se dos princípios da Finalidade e Adequação).

Ato contínuo, deve mapear (i) quais são os tipos de dados coletados (cadastrais, sensíveis, etc), (ii) qual o volume de dados e sua periodicidade, (iii) onde esses dados estarão armazenado, (iv) quais colaboradores terão acesso aos dados; (v) se podem ou não ser anonimizados – se for o caso; (vi) conceder a possibilidade de livre acesso aos seus dados, (vii) realizar as devidas correções conforme solicitado pelos titulares dos dados, (viii) garantir a correta exclusão dos dados nos casos de solicitação do titular ou da não mais necessidade de trata-los e (ix) finalmente, permitir a correta prestação de contas, quando devidamente instado a fazer (princípios da Transparência e Responsabilização e Prestação de Contas).

Assim, ao rever os processos de cada área na empresa, é importante embasar corretamente os dados, uma vez que o tratamento deve estar fundamentado nos itens acima.

“A partir do momento que a empresa for utilizar a coleta de algum dado pessoal, deve se ter em mente o ‘privacy by design’ – ou seja – a privacidade deve ser um pilar exercido desde a concepção de cada produto/serviço”, alerta o comitê da Compugraf.

Além da finalidade bem definida e a justificativa pela base legal correta, o ciclo de vida do dado também precisa estar claramente definido.

E o tratamento de dados não estruturados? Como fazer?

Os dados não estruturados representam um grande desafio na jornada da LGPD, pois são gerados a partir de fontes diversas – como sites, mídias sociais, imagens digitais, vídeos, PDFs, wearables (tecnologias vestíveis), dentre outras tantas – e estão, muitas vezes, fragmentados em mais de um arquivo e/ou em mais de um local.

“Em geral há grande risco associado a tratamento de dados com base em informações não estruturadas, pois dependem de ações manuais e este tipo de processo tende a incorrer em erros de forma recorrente”, comenta o comitê de compliance da Compugraf.

O mapeamento destes dados se dará por meio de entrevistas e checklists, por exemplo. Existem ferramentas que são capazes de apoiar a descoberta destes dados, mas o resultado muitas vezes é mais demorado e mais complexo do que se espera.

É muito importante que a empresa derive o risco associado a cada atividade tratada desta forma, pois são processos vulneráveis que podem ser foco de vazamento de dados.

Pode-se fazer uso de ferramentas de DLP (data loss prevention – software de prevenção de perda de dados) para assegurar que esse tipo de informação não seja vazado, mas a implantação desse processo também não é trivial. A recomendação, portanto, é repensar os procedimentos, para que a empresa passe a tratar esses dados de forma estruturada.

Dados não estruturados podem ser considerados dados anonimizados?

Um dado não estruturado não é um dado anonimizado.

Na verdade, anonimização é um processo pelo qual se transforma um dado pessoal em um conjunto de informações que não permite a identificação de uma pessoa. Logo, a anonimização de dados não estruturados é muito desafiadora, pois o dado pode estar disposto de forma que a ferramenta não o identifique, acarretando em uma anonimização parcial – ou seja, a informação vai continuar sendo pessoal.

“Também é importante ressaltar que dado criptografado não é um dado anonimizado”, alerta o comitê da Compugraf.

Estes casos devem ser tratados com excepcional cautela, uma vez que representam focos de vulnerabilidade.

Como operar os sistemas da empresa em compliance com a LGPD?

Recursos em nuvem, ERPs, CRMs, aplicativos – são muitas as soluções que os colaboradores utilizam diariamente e que, em maior ou menor escala, armazenam dados. Também eles devem ser esquadrinhados.

“Em todos os sistemas que uma empresa utiliza, será necessário identificar quais atividades de tratamento de dados tais ferramentas apoiam e depois verificar, normalmente, por meio de “assessments” (avaliar comportamento e competências para conhecer com maior eficiência e critério as pessoas), qual a base legal pertinente, tempo de retenção dos dados, medidas de segurança, dados pessoais envolvidos, dentre outros”, elucida o comitê de compliance da Compugraf.

Vale contar com o apoio de um sistema de gerenciamento de privacidade de dados para facilitar o trabalho, uma vez que será preciso realizar um inventário da empresa para que se possa identificar como cada atividade de tratamento de dados é realizada, quais sistemas apoiam tais atividades, quais parceiros e fornecedores participam delas, elencar os riscos associados e, finalmente, definir um ou mais planos de ação para adequar a atividade de tratamento.

Fazer a manutenção da proteção dos dados.

Para o pleno andamento do projeto de conformidade, será necessário avaliar do ponto de vista de segurança, do ponto de vista de infra-estrutura e do ponto de vista de sistemas quais medidas deverão ser tomadas para atender às recomendações legais.

Permeando as ações, estarão sempre as recomendações do jurídico, cujo principal papel é avaliar se as atividades de tratamento de dados estão respeitando os princípios da LGPD.

“A participação de uma equipe multidisciplinar no projeto é fundamental para que seja possível observar de vários pontos de vista cada item requerido pela lei. Assim, as soluções tendem a serem mais eficazes”, orienta o comitê de compliance da Compugraf.

É um esforço coletivo. Mais do que um compromisso, a proteção dos dados deve ser um novo valor para as empresas, respeitado e promovido por todos.

Assim, fica a dica para você Empresário, que é empreendedor de sucesso, procure uma especialista em direito digital e LGPD para lhe auxiliar no tratamento, armazenamento e segurança de dados essenciais à manutenção e sucesso do seu negócios. Nós podemos lhe ajudar.

FELIPE RAMALHO POLINARIO, Advogado Especialista em Direito Empresarial e Startups