Regulação 4.0 - Vol. II - Ed. 2020

Regulação 4.0 - Vol. II - Ed. 2020

Regulação 4.0 - Vol. II - Ed. 2020

Regulação 4.0 - Vol. II - Ed. 2020

Lgpd Flash: Agilidade em Privacidade e Proteção de Dados

Lgpd Flash: Agilidade em Privacidade e Proteção de Dados

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Bernardo Araujo

My dear children: I rejoice to see you before me today, happy youth of a sunny and fortunate land. Bear in mind that the wonderful things you learn in your schools are the work of many generations, produced by enthusiastic effort and infinite labor in every country of the world. All this is put into your hands as your inheritance in order that you may receive it, honor it, add to it, and one day faithfully hand it on to your children. Thus do we mortals achieve immortality in the permanent things which we create in common. If you always keep that in mind you will find a meaning in life and work and acquire the right attitude toward other nations and ages.

Teachers and Pupils

Albert Einstein, Amsterdã, 1934.

1.Introdução

Pretende-se expor as etapas jurídicas de um projeto de adequação à Lei Geral de Proteção de Dados Pessoais ( LGPD – Lei nº 13.709/2018). Adota-se uma abordagem que não despreza visões holísticas, mas que, devido à entrada em vigor da LGPD em contexto de incerteza regulatória, oferece uma metodologia ágil para a implementação de processos de revisão e proteção contra aplicações diretas da Lei, especialmente para organizações de pequeno a médio porte, ou aquelas cujos processos não envolvam consideráveis atividades de risco. Aproveita-se o ensejo para abordar certos requisitos regulatórios que ajudam na avaliação dos riscos e na construção das políticas de governança, passos que devem ser documentados para resguardo. Finalmente, comenta-se o uso de insights comportamentais aplicados ao design das comunicações atinentes à privacidade e à proteção de dados, apresentando a complexidade inerente ao contencioso regulatório da proteção de dados pessoais no cenário nacional.

O objetivo deste ensaio está em aconselhar a postura de organizações brasileiras perante os requisitos da Lei Geral de Proteção de Dados ( LGPD), alinhando a estrutura interna às melhores práticas, considerando ceticamente o nível de maturidade e a capacidade de implementar as transformações necessárias em tempo hábil e com recursos escassos. Em síntese, o escopo integral envolve a avaliação de procedimentos realizados ao longo das fases típicas do ciclo de vida dos dados: como as informações são recebidas, criadas, distribuídas, usadas, mantidas e descartadas.

Em termos genéricos e de forma resumida, adequar-se juridicamente 1 às leis de proteção de dados e privacidade 2 envolve o desenvolvimento de projetos de revisão dos processos de captação das informações pessoais, a releitura da comunicação e da transparência com os indivíduos acerca das informações captadas e as razões para tal. Avalia-se a natureza do tratamento, a finalidade e a utilização da informação em contexto e em concreto, conduzindo testes de proporcionalidade, finalidade, adequação e necessidade, levando em conta os direitos dos titulares – sua operacionalização 3 –, as justificativas legais para o tratamento e os tipos de dados processados, preocupando-se também com os limites de eventuais transferências.

Adequar-se à LGPD é importante para que as organizações desfrutem da governança inteligente de dados e para que cumpram os requisitos regulamentares trazidos pela Lei. Muitos desses requisitos estão expressos de forma genérica, mediante comandos abstratos. Isso significa que cada organização precisa desenvolver sua própria estrutura organizacional. Para isso, é necessário entender a estrutura organizacional, ou seja, as áreas existentes, seus processos de coleta e uso de dados. É necessário identificar as atividades e os processos de tratamento durante todo o ciclo de vida dos dados pessoais. Assim, é possível compreender e reorganizar o ambiente adotando medidas de segurança. A adequação também é crucial para otimizar os processos de tomada de decisão e evitar sanções administrativas e ações judiciais decorrentes do uso não responsável de dados pessoais.

Quais são os benefícios de um programa de adequação e governança de dados? De forma genérica, é possível dizer que a adequação melhora o relacionamento com clientes e colaboradores, uma vez que permite estabelecer uma nova confiança em relação ao uso de dados pessoais. Além disso, os projetos de adequação são ferramentas que viabilizam uma tomada de decisão com mais segurança jurídica. Ao organizar o fluxo de dados, os processos de tratamentos são otimizados à medida que as fragilidades são mapeadas. É possível investir também em parceiros e medidas de segurança mais adequadas à realidade da organização. Dentro de um contexto de concorrência, o uso inteligente de dados pode significar um ativo importante para a empresa – o que, em tempos de sociedade da informação e economias data driven, pode representar a própria sobrevivência do negócio. Por fim, sendo o cuidado com a privacidade e o uso responsável de dados ativos comerciais, eles podem ser trabalhados como ativos da empresa e exteriorizados no futuro.

O passo a passo do escopo jurídico pode ser explicado em três etapas: (i) mapeamento, treinamento e avaliação dos riscos 4 ; (ii) descrição das operações de processamento de dados 5 e confecção de relatórios regulatórios e não regulatórios; (iii) redesenho da comunicação, dos contratos e do posicionamento em relação à privacidade e proteção de dados.

Vale esclarecer que a adequação pode ser concebida como um projeto de curto prazo em sua implementação, ao mesmo tempo que adquire feições de programas de longo prazo, a serem enraizados no espírito da organização. Consistem na minimização dos dados utilizados, no (re) desenho dos contratos e da comunicação com as pessoas, na construção de estruturas organizacionais adequadas, buscando construir uma cultura de privacidade, bem como produtos e serviços que incorporem as ideias de privacy by design e default 6 .

Sabendo que o escopo do projeto pode variar, a depender do tamanho da organização, do interesse, do orçamento, e especialmente do grau de maturidade em privacidade e (cyber) segurança existentes, algumas etapas da implementação podem ser priorizadas pensando na redução dos riscos a curto, médio e longo prazos, especialmente porque a autoridade nacional de proteção de dados (ANPD) ainda está sendo criada; e, no cenário brasileiro, a mídia e os supervisores indiretos como o Ministério Público e os Procons podem representar riscos mais imediatos.

É bom frisar que os assessments geralmente são segmentados em fases, as quais podem ser priorizadas a partir das particularidades de cada caso. Como são ofertadas a organizações dos mais variados setores, com preocupações e urgências diferentes, devem naturalmente ser flexíveis. Por exemplo, tratamentos com dados sobre saúde, crianças e adolescentes, utilizações para profiling, monitoramento e modulação de pessoas, marketing e soluções tecnológicas inovadoras, além de outros usos sensíveis, demandam adequações muito mais complexas.

Este ensaio não detalha os requisitos de conformidade estatutários, setoriais ou regulamentares específicos. Ele descreve um processo resumido a partir do qual é possível desenvolver os próprios controles. É fundamental lembrar que não há solução única, sendo importante ter em mente as seguintes advertências: (a) o contexto é extremamente relevante ao avaliar a exposição. Determinados setores (como os prestadores de serviços médicos, serviços financeiros e serviços para crianças e adolescentes) devem atender a requisitos especiais de conformidade. Uma avaliação abrangente ajuda a destacar a existência desses requisitos, sempre que aplicável, mas não fornece uma estratégia de conformidade adequada; (b) as avaliações devem ser realizadas periodicamente para garantir um entendimento sempre atual e preciso dos fluxos de dados da organização, práticas de manipulação de informações e posicionamento em relação à privacidade; (c) uma conclusão satisfatória da análise requer acesso considerável às práticas e procedimentos de várias áreas de qualquer organização. É crucial que esse acesso tenha sido garantido e que os recursos adequados estejam disponíveis para uma avaliação minuciosa e detalhada. Uma avaliação incompleta ou incorreta da conduta acaba criando, mais do que limitando a exposição, pois pode criar um falso sentido de segurança e levar à confecção de políticas que não são consistentes com práticas reais; (d) finalmente, os resultados das avaliações não devem ser ignorados. O fim da avaliação não encerra a questão da exposição.

Por enquanto, para aqueles que buscam evitar sanções administrativas e ações judiciais decorrentes da aplicação direta da LGPD, o plano jurídico precisa, de pronto, aconselhar sobre as principais vulnerabilidades, ao passo que executa ações conjuntas e multidisciplinares. Deve confeccionar documentos e relatórios que ajudem a elevar o nível de maturidade da empresa, ou seja, posicioná-la de prontidão para melhorar processos internos, alterar contratos usuais, formalizar outros obrigatórios do microssistema, além de produzir documentos para o cumprimento de eventuais requisições judiciais, administrativas e dos titulares.

2.Um é pouco, três não é muito: por ora, dois é bom

2.1.Primeira parte

A primeira fase é usualmente iniciada com a análise dos gaps e a criação do cronograma do projeto de conformidade. Os objetivos finais da etapa consistem na entrega de relatórios não regulatórios que permitam a priorização das ações para remediação de eventuais vulnerabilidades. Trata-se de treinamento das equipes, mapeamento de processos e bancos de dados; uma avaliação inicial com os objetivos gerais de entender o grau de exposição, a sensibilidade e os verdadeiros riscos a que a organização está submetida. Aqui, apresenta-se o status do risco associado a um possível tratamento indevido, recomendando-se iniciativas que possam limitar (i) a exposição, (ii) a responsabilidade e (iii) o risco reputacional.

Em relação ao risco, destaca-se que a LGPD fala em “risco”, mas não faz uma gradação ou diferenciação entre níveis (por exemplo, alto, médio e baixo). Assim …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
4 de Julho de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1198075994/lgpd-flash-agilidade-em-privacidade-e-protecao-de-dados-regulacao-40-vol-ii-ed-2020