Como já é notório,
recentes escândalos de vazamentos de dados deram vazão a uma onda global de
edição de normas, dentre elas a tão famigerada
General Data Protection Regulation
(GDPR),
aplicável a todos os cidadãos europeus.
Referidas
regulamentações, sem sombra de dúvidas, contribuem para melhorar os mecanismos
de segurança e processamento de dados com o objetivo de impedir que terceiros
não autorizados tenham acesso a informações pessoais sem o consentimento do
usuário. E isso acaba por afetar as empresas de modo positivo, haja vista que
faz com que estas, obrigatoriamente, implementem uma cultura de respeito pela
privacidade dos dados pessoais de seus usuários, clientes e colaboradores.
O fenômeno chegou ao
Brasil com a promulgação da Lei nº 13.709, de 14 de agosto de 2018, norma
brasileira que dispõe sobre o uso, proteção, coleta e tratamento de dados pessoais,
a qual foi alterada no final do ano passado com a edição da Medida Provisória
nº 869, de 28 de dezembro, que ampliou o prazo legal para o dia 16 de agosto de
2020 para para que as empresas se ajustem às novas obrigações.
Não pretendo neste
breve artigo avaliar a norma sob o ponto de vista jurídico, mas sim esclarecer
desde logo dois pontos que saltam aos olhos já num primeiro momento:
1. Quais
são os direitos dos usuários?
Para responder a
primeira pergunta, é necessário compreender que a norma: (i) define como dado
pessoal qualquer informação que identifique diretamente ou torne identificável
uma pessoa natural; e (ii) designa como tratamento qualquer operação de coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação
ou controle da informação, modificação, comunicação, transferência, difusão ou
extração deste dado.
Ou seja, se sua empresa de alguma forma trata dados pessoais de titulares
localizados em território nacional, diretamente ou através de terceiros, com o
objetivo de obter vantagem econômica, a lei lhe é aplicável. Por consequência, todas as
operações de tratamento de dados deverão ser devidamente registradas em um
Relatório de Impacto à Proteção de Dados Pessoais e um monitor e disseminador
das boas práticas, pessoa física ou jurídica, denominado Encarregado de
Proteção de Dados (DPO -
Data Protection Officer) deverá ser nomeado para ser a interface da
sua organização com a Agência Nacional de Proteção de Dados (ANPD), em especial
naquelas empresas que tratem dados pessoais sensíveis, assim considerados
aqueles relacionados à origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético
ou biométrico. E não pára por aí: a empresa deverá adotar medidas de
segurança efetivas para evitar que os dados pessoais sejam acessados
indevidamente, destruídos, perdidos ou alterados e todo e qualquer incidente
deverá ser reportado de forma clara à ANPD e aos próprios usuários em prazo
razoável (seja lá o que isso signifique).
Quanto ao segundo
questionamento, os usuários, por sua vez, têm
direito de: (a) acesso aos dados pessoais que porventura sejam tratados e,
consequentemente, garantia da retificação e atualização destes; (b) tratamento
de suas informações pessoais somente mediante expresso consentimento, sendo
realizada de maneira fácil e gratuita a exclusão dos dados do respectivo banco;
e (c) portabilidade, permitindo que referidos dados possam ser encaminhados a
outras empresas que também performem o seu tratamento.
Com base nas duas
respostas acima, tem-se plena certeza de que a nova norma impactará as
operações de inúmeras empresas, nacionais e multinacionais, o que leva ao
terceiro e mais importante questionamento, cuja resposta é o objeto da presente
série de pequenos artigos:
2. O
que as empresas devem fazer para se adequar à Lei Geral de Proteção de
Dados (LGPD) dentro do prazo legal?
Para responder a
este terceiro questionamento, elenco a seguir 13 situações a serem observadas
por qualquer organização que esteja submetida à Lei Geral de Proteção de Dados,
com base no Framework
Nymity*, as quais serão analisadas individualmente nos próximos
capítulos desta série:
I - MANTER UMA
ESTRUTURA DE GOVERNANÇA DE DADOS: Certificar de que existem na organização
pessoas responsáveis pela privacidade e gestão dos dados e procedimentos para
reporte de incidentes;
II - PRESERVAR UM
INVENTÁRIO DE DADOS PESSOAIS E MECANISMOS DE TRANSFERÊNCIA DE DADOS: Atestar a
existência e manutenção de um inventário da localização do armazenamento de
dados pessoais ou fluxo de dados, com suas classes devidamente definidas;
III - IMPLEMENTAR
UMA POLÍTICA DE PRIVACIDADE DE DADOS: Redigir e executar normas relacionadas à
privacidade de dados que atenda aos requisitos legais e mitigue riscos
operacionais e de danos a indivíduos;
IV - INCORPORAR A
PRIVACIDADE DE DADOS À SUAS OPERAÇÕES: Sustentar procedimentos operacionais
consistentes com as normas internas e externas relacionadas à privacidade de
dados e aos objetivos de gerenciamento de riscos;
V - CUMPRIR UM
CRONOGRAMA INTERNO DE TREINAMENTO E COMUNICAÇÃO: Fornecer treinamento e
comunicação contínuos para promover a conformidade com as normas internas e
externas relacionadas à privacidade de dados e a mitigação de riscos
operacionais;
VI - GERENCIAR OS
RISCOS RELACIONADOS À SEGURANÇA DA INFORMAÇÃO: Manter um Sistema de Segurança
da Informação baseado nos requisitos legais e nos riscos a que a organização está
submetida;
VII - ADMINISTRAR
RISCOS DE TERCEIROS: Atestar que as contratações com terceiros e parceiros de
negócio estão de acordo com as normas internas e externas de privacidade de
dados e dentro dos limites de tolerância ao risco estabelecidos previamente;
VIII - PROVER AVISOS
LEGAIS: Preparar avisos para usuários em consonância com a política de
privacidade de dados, os requisitos legais e análise prévia de riscos;
IX - RESPONDER
TEMPESTIVAMENTE ÀS SOLICITAÇÕES E RECLAMAÇÕES DE USUÁRIOS: Estabelecer procedimentos
eficazes para interagir com os indivíduos acerca de seus dados pessoais;
X - MONITORAR NOVAS
PRÁTICAS OPERACIONAIS: Observar novas práticas organizacionais para identificar
eventuais novos processos ou mudanças nos processos existentes que estejam
relacionados ao tratamento de dados, e garantir a implementação dos princípios
de Privacidade por Design (Privacy
by Design);
XI - CONDUZIR DE
FORMA ESTRUTURADA A APURAÇÃO E CORREÇÃO DE VIOLAÇÕES DE PRIVACIDADE: Manter um
efetivo sistema de averiguação e reparação de transgressões às normas e
controles e incidentes relacionados à privacidade de dados;
XII - MENSURAR A
EFETIVIDADE DOS PROCESSOS E CONTROLES INTERNOS: Verificar se as práticas
operacionais estão em conformidade com a política de privacidade de dados,
medir e relatar a eficiência dos processos e controles internos;
XIII - ACOMPANHAR A
EDIÇÃO DE NOVAS REGULAMENTAÇÕES E AS MELHORES PRÁTICAS DE MERCADO: Rastrear
novos requisitos de conformidade, expectativas e as melhores práticas de
mercado.
Fonte:
Código de Conduta.com
Gostou da matéria e quer
continuar aumentando os seus conhecimentos com os nossos conteúdos?
Assine, gratuitamente, a
nossa Newsletter Semanal M&M Flash, clicando no link a seguir:
https://www.mmcontabilidade.com.br/FormBoletim.aspx, e
assim você acompanha as nossas atualizações em primeira mão!