LGPD – Iniciando o processo de conformidade

Artigos

LGPD – Iniciando o processo de conformidade

Data: 10/09/2019 Autor: Henrique Somadossi Prado


 

Já foi dada a largada na corrida contra o tempo para adequação à nova Lei Geral de Proteção de Dados Pessoais (LGPD).

Com a aprovação, em 29/5/2019, pelo Senado Federal, da conversão da Medida Provisória 869/2018 em lei, além de confirmar a criação da Autoridade Nacional de Proteção de Dados ("ANPD"), que terá, dentre outras, a competência exclusiva para regulamentar, interpretar e fiscalizar as obrigações previstas na Lei nº 13.709/2018, referendou-se o aumento do prazo geral da vacatio legis para 24 meses.

A partir de 14/08/2019 teve início a contagem regressiva de 12 meses para entrada em vigor da LGPD. Portanto, as empresas que ainda não iniciaram os procedimentos para estar compliance com a lei devem começar agir imediatamente, sob pena de não haver tempo hábil para tanto, sujeitando-se às graves penalidades previstas no texto legal, o que inclui multa de até 2% do faturamento da empresa, podendo chegar a 50 milhões de reais por infração.

Vivemos numa economia movida a dados, coletados, muitas vezes, de forma indevida, sem a ciência e a autorização informada dos titulares, com consequências ruins não apenas a privacidade dos usuários, mas também a identidade pessoal, a autodeterminação informativa, a liberdade, as oportunidades e perspectivas do presente e do futuro das pessoas e a própria democracia[i].

Nesse contexto, importante destacar que há um valor social e político da privacidade. As pessoas não querem simplesmente restringir o fluxo das suas informações pessoais, mas que o seu trânsito se dê de forma apropriada de acordo com o contexto das suas esferas socais. Isso impõe a existência de normas informacionais que governem a integridade do fluxo das informações, levando-se em consideração principalmente as suas implicações sobre a capacidade de autodeterminação dos indivíduos.

Dado é a moeda da economia digital e cada vez mais incidentes de segurança da informação demonstram e alertam a sociedade acerca da necessidade de procedimentos rígidos a serem estabelecidos pelas empresas. 

Inicialmente, vale lembrar que já está em vigor desde maio de 2018 o Regulamento Geral de Proteção de Dados (GDPR), legislação europeia que inspirou a lei de proteção de dados brasileira, e que já produz impacto no cenário brasileiro, na medida em que empresas brasileiras que processem dados de indivíduos que se encontram na União Europeia relacionados à oferta de bens e serviços ou ao monitoramento de comportamento naquele território estão ao alcance da GDPR.

A LGPD vem tentar regulamentar a delicada tensão envolvendo os interesses da chamada “economia dos dados pessoais” e da privacidade, como direito humano, objetivando proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A lei está fundamentada, dentre outros, nos princípios da transparência, prevenção, responsabilização e prestação de contas, impondo uma série de requisitos às empresas. A ideia é que as regras e princípios de proteção de dados sejam incorporados pelas organizações, passando a integrar os valores e missão dessas, assim como ocorreu com as políticas de anticorrupção.

O princípio da prevenção ou segurança leva as atividades empresariais a pensar em privacy by design, cujo conceito é incorporar a privacidade à própria arquitetura do negócio, de modo a garantir, pela infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar sua privacidade e a coleta e tratamento de seus dados pessoais.

Praticamente todos os setores da sociedade, tanto no âmbito público quanto no privado, devem tomar medidas para se adequar às novas exigências legais sobre o tratamento de dados pessoais.

A LGPD aplica-se a toda pessoa física ou jurídica, incluindo o governo e as entidades não lucrativas, que realizem qualquer operação de tratamento de dados pessoais, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação seja realizada no Brasil ou a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou mesmo na hipótese de tratamento de dados de indivíduos localizados no território nacional.

Para que não haja dúvida da amplitude da sua aplicação, vale lembrar sobre a largueza do conceito de “tratamento” adotada pela lei, que considera toda operação realizada com dados pessoais, englobando nada mais do que 20 (vinte) ações [ii] (processing activities), ou seja, tudo o que é feito com dado, da coleta ao descarte, o que deve ensejar uma grande transformação das relações empresariais e sociais, afinal, o mero recebimento de um dado pessoal de terceiro já é o suficiente para atrair a incidência da lei de proteção de dados brasileira.

Essa mesma largueza se estende ao conceito de Dado Pessoal, que compreende toda informação relacionada à pessoa natural identificada ou identificável.

Dados pessoais identificados são aquelas informações que possibilitam reconhecer uma pessoa de forma direta, tais como, nome, documentos de identificação emitidos pela administração pública (CPF, RG, CNH, Carteira de Trabalho, passaporte e título de eleitor).

Por outro lado, dados pessoais de indivíduos identificáveis são aquelas informações que não podem, diretamente, identificar um indivíduo, mas que, ao serem associadas com outras, torna possível tal identificação, como por exemplo, hábitos de consumo, identificadores eletrônicos (endereço IP), testemunhos de conexão (cookies) e geolocalização.

Especialmente os identificadores eletrônicos podem deixar vestígios que, quando combinados com outras informações, podem ser utilizados não apenas para a identificação das pessoas singulares, como para outros efeitos, tais como o de definição de perfis.

O consentimento expresso do titular passa a ser a regra para o tratamento dos dados pessoais de forma lícita, caso não se esteja diante das demais hipóteses legais previstas no art. 7º da LGPD.

Dentro desse contexto, ainda há o conceito de dados pessoais sensíveis, para os quais a lei despendeu regras específicas para que possam ser utilizados, notadamente quanto ao consentimento do titular do dado, que deve ser qualificado (de forma específica e destacada, para finalidades específicas - art. 11, I, da LGPD) para esta categoria.

São dados pessoais sensíveis as informações de orientação política, filosófica, questões de orientação sexual, dados de origem étnica, social, informações médicas e de saúde, além das biométricas. Os dados do reconhecimento facial, por exemplo, são dados pessoais dessa categoria especial.

A premissa é de que os dados pessoais sensíveis merecem proteção especial, na medida em que possibilitam conclusões a respeito de um indivíduo que são relacionadas aos seus direitos fundamentais e liberdades, os quais podem ser colocados em risco pelo tratamento de dados.

Registre-se que a LGPD contém uma seção versando sobre os dados pessoais de crianças e adolescentes (artigo 14), cujo tratamento deve ser realizado em seu melhor interesse e com consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

Outro conceito relevante trazido pela lei refere-se aos dados anonimizados, que são aqueles relacionados a um indivíduo, mas que não permite identificá-lo em razão da aplicação de um processo de anonimização, que permite desassociar o dado da pessoa titular.

Os dados anonimizados ficam de fora do escopo e do alcance da lei, pois estes não são considerados pessoais, na medida em que o pressuposto de definição destes últimos é a identificação ou ao menos a possibilidade de identificação do titular. É o que decorre da interpretação sistemática dos arts 1º e 5º, I, da LGPD.

Observe-se, ainda, que há grande preocupação com os dados pessoais dos consumidores, mas a maioria ignora que realiza o tratamento de dados pessoais dos seus empregados, fornecedores e prestadores de serviços e que, referidos dados, também serão objeto de proteção da LGPD.

Compreender as bases legais para o tratamento de dados pessoais constituirá, por seu turno, o ponto de partida para definição dos requisitos que deverão ser observados pelos agentes de tratamento, sendo uma etapa fundamental em qualquer política de proteção de dados, a partir do início de vigência da lei.

Isso porque o legítimo interesse do controlador é uma destas hipóteses legais que autorizam o tratamento de dados pessoais sem o consentimento do titular, mas que não se aplica para os dados sensíveis, o que revela mais uma distinção (de maior rigor) em relação aos dados pessoais comuns (não sensíveis). Mas este tema será objeto de um próximo artigo específico nesta coluna de estudos da LGPD.

Prosseguindo, não menos importantes são as definições de controlador e operador incorporadas pela norma. A LGPD define como controlador toda “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (inciso VI) e como operador toda “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (inciso VII), agrupando-os conjuntamente na categoria de agentes de tratamento (inciso IX).

Em outras palavras, aquele que determina o propósito e a forma do processamento de dados se enquadra como controlador, e aqueles que de fato processam os dados são os operadores.

A compreensão dos conceitos tratados acima é o ponto de partida para iniciar qualquer processo de adequação à lei.

Ato contínuo é altamente recomendado a criação de um comitê designado para implementação da LGPD, composto por uma equipe multidisciplinar, formada por técnicos de diferentes áreas da empresa, especialmente, mas não se limitando ao TI, recursos humanos e, principalmente, do departamento jurídico.

O passo seguinte é dar início ao processo de conformidade, seguindo algumas etapas essenciais para este fim, que podem ser divididas, basicamente, em 3 fases: a) realização de uma auditoria/mapeamento de dados, b) revisão das políticas de segurança e dos contratos e c) elaboração de um Relatório de Impacto de Privacidade.

Trataremos aqui brevemente sobre a primeira fase.

Para cumprir os requisitos da LGPD, é imprescindível entender completamente quais dados sua organização processa ou controla, como foram obtidos e como são usados, daí a necessidade da realização de uma auditoria de dados.

A auditoria de dados deve compreender uma investigação das categorias de dados coletados (pessoal, sensível, criança, público, anonimizado), as fontes de coleta (departamentos, meios (físico ou digital), operadores internos e externos) e os locais de armazenamento, além da identificação de quem acessa e quais as finalidades.

Esta análise permite a classificação dos dados tratados, distinguindo sua relevância e localização do(s) banco(s) onde eles se concentram. A partir deste mapeamento, se torna possível entender, de acordo com a especificidade de cada negócio, as atividades de tratamento realizadas, propiciando, ao final, esquematizar fluxos otimizados dos dados com o objetivo de trabalhar com a menor quantidade de dados possível, utilizando apenas o necessário.

A realização da auditoria dos dados viabilizará o estabelecimento das futuras políticas e diretrizes para cumprimento das obrigações previstas na LGPD, notadamente no que se refere ao registro das atividades de tratamento de dados[iii].

O tamanho da empresa vai determinar a complexidade do processo de adequação. No caso de uma empresa de grande porte, com bastante relevância no mercado, 12 meses são, na verdade, um espaço de tempo bastante curto. O desafio para se adequar é, em alguns aspectos, menor para empresas de pequeno porte, porém, é necessário ressaltar que a LGPD se aplica de maneira igual para empresas pequenas e grandes.

Nada obstante, o maior desafio certamente será a implementação do efetivo sistema de governança e o respectivo monitoramento, inclusive no que se refere aos prestadores de serviços e aos parceiros, também abrangidos pela LGPD.

 


[i] FRAZÃO, Ana. Data-driven economy e seus impactos sobre os direitos de personalidade: indo além da privacidade e do controle aos dados pessoais. https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-emercado/data-driven-economy-e-seus-impactos-sobre-os-direitos-de-personalidade. Coluna de 18.07.2018.

 

[ii] Artigo 5º da LGPD: “Art. 5º Para os fins desta Lei, considera-se: (…) X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; (…)”.

 

[iii] Artigo 37 da LGPD: “Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.”