Meus dados, meu consentimento!

A Lei Geral de Proteção de Dados (LGPD) sancionada em 14 de agosto de 2018, está em plena vigência desde de agosto 2020, muitas empresas estão se movimentando em busca da adequação de seus processos às novas exigências, outras ainda nem sabem do que se trata ou qual o impacto existirá em sua organização.
A LGPD regulamenta o “tratamento de dados pessoais”, mas o que são dados pessoais? O que é tratamento de dados? O que é esse consentimento que eu preciso dar? E se eu não consentir, o que acontece?

Tratamento de dados

Essa é a definição mais fácil de explicar em relação à Lei, é simplesmente tudo que alguém fizer com qualquer informação que ele mantenha sob sua guarda.

Princípios e Bases Legais

Definições para o Encarregado de Proteção de Dados
A cada ação realizada, segundo a Lei, deverá obrigatoriamente estar enquadrada em pelo menos um dos princípios da Lei, e também, da mesma forma, de acordo com uma ou mais bases legais existentes na Lei.

Princípios
Bases Legais

Cada princípio e base legal possuem suas interpretações e devem ser analisados nos processos das empresas durante o levantamento inicial, chamado ‘mapeamento de processamento de dados’. Não existe um padrão onde seja possível um ‘copiar e colar’, mesmo que uma empresa concorrente ou parceira escolha um conjunto de definições que sejam úteis, necessárias e adequadas a ela, não haverá garantia de que para sua organização elas sejam adequadas e enquadrem seu processo de dados à Lei. Se faz necessário o envolvimento da organização como um todo para apoiar e definir o que é mais adequado, caso a caso.

Dados

Os dados podem ser classificados segundo algumas de suas características. Existem dados pessoais que são aqueles que identificam uma pessoa de forma única e sem margem para dúvidas. Esses são os dados que a Lei se refere-se e que devem estar protegidos.
Existem dados pessoais sensíveis. Estes possuem uma caraterística de além de serem pessoais podem de alguma formar gerar algum ‘viés’ ou classificações dependendo do motivo da sua utilização na empresa. Raça, credo, preferencias políticas ou sexuais, por exemplos fazem parte dessa classificação.
Existem os dados ‘anonimizados’, aos dados que estiverem desta forma não é possível a identificação em hipótese alguma de um individuo, por esse principal motivo, esse tipo de dados não está sujeito a LGPD. Não podemos confundir esses dados com o outro tipo: ‘pseudoanonimizados’, esse, apesar de mascarado para não permitir a identificação do individuo, possui alguma forma de reversão, sendo assim esse é coberto pela Lei.

Os envolvidos

A Lei afeta a organização como um todo.



Temos os titulares dos dados, que são os donos da informação a quem os dados se referem. Temos os controladores dos dados, eles decidem qual o tratamento do dado será realizado, eles são responsáveis pelo enquadramento do tratamento nos princípios e nas bases legais possíveis.
Temos também que considerar os processadores dos dados, “terceiros” que por orientação dos controladores realizam alguma atividade com o dado, mas esses não têm o poder de decisão, são apenas executores de tarefas.

Direitos dos titulares

O titular é o dono do dado, sendo assim, ele tem o direito de saber o que e como seus dados estão sendo processados na empresa. Caso ele não consiga exercer algum dos seus direitos ele pode acionar a ANPD (Autoridade Nacional de Proteção de Dados) em buscar deste objetivo.

Direitos


Cada direito deve ser fornecido ao titular de forma simples, sem custo ou qualquer tipo de obstáculo para sua realização. A Lei é nova, não obstante, existe muita informação que exemplifica as formas de execução do direito a partir da Lei similar existem e em vigência na comunidade europeia, a GDPR (General Data Protection Regulation), fonte inspiradora da nossa legislação e com a qual a LGPD tem muitos pontos em comum.

Sanções

A ANPD (Autoridade Nacional de Proteção de Dados) foi constituída pelo decreto Nº10.474, de 26 de agosto de 2020. Ainda existe muito a ser feito ou esclarecido sobre a forma de atuação da agência, as primeiras informações contam que ela irá agir de forma educativa e não punitiva em suas primeiras ações.
Entre as suas funções estão: garantir condições adequadas para a transformação digital; conduzir de modo consistente a interpretação e o cumprimento da lei; fornecer as diretrizes sobre proteção de dados; educar os indivíduos e as organizações a respeito da proteção de dados pessoais; assegurar segurança; servir como o principal especialista do Brasil em políticas de proteção de dados; possibilitar a colaboração com autoridades internacionais de proteção de dados; ser o principal ponto de contato e representante do Brasil em fóruns e organizações internacionais; avançar a harmonização da proteção de dados a nível global.
Apesar do aspecto educacional a que se propõe no início, a agência pode aplicar sanções como: aplicação de multas, bloqueio do tratamento de dados, eliminação compulsória dos dados, publicação da violação entre outras. Já existem sanções aplicadas no Brasil a partir da vigência da lei.

Governança

Apesar de a Lei ser específica para tratamento de ‘dados pessoais’, ela inclui no seu escopo o princípio da governança dos dados, e com isso abrange obrigatoriamente todos os dados armazenados e tratados na empresa, sempre será muito complexo tratar de forma separada o que é considerado dado pessoal e não pessoal.
Essa complexidade transforma o processo de adequação em um ato contínuo de vigilância e aprendizado para a organização. Não basta criar um conjunto de ‘papeis’ para estar adequado, é necessário a criação de processos que façam isso de forma contínua. Existem normas ISO que podem auxiliar as empresas nesse processo, dentre elas cito, a série 27000 como referência nos processos para implementação de segurança da informação e adequação a Lei. Mesmo assim não excluo outros processos com ITIL, COBIT como referência em gestão e governança.

Conclusão

O processo de adequação não é uma coisa simples de fazer, deve envolver toda a empresa e requer um conjunto de profissionais, que juntos irão entender e aplicar da melhor forma a interpretação da lei à sua organização. Advogados, técnicos de informática, analistas de negócios devem trabalhar juntos para o mapeamento de processos e ajustes necessários.
Não é rápido, mas deve ser iniciado AGORA. Quem ainda não pensou no assunto já está atrasado e deve correr para recuperar o tempo perdido.

Postado há 18 de Março de 2021 por Marcelo Miranda