A Lei Geral de Proteção de Dados (LGPD), desde sua entrada em vigor, introduz novos conceitos, contém novas obrigações e fortalece os direitos dos titulares de dados (indivíduos cujos dados estão sendo tratados). Além disso, a LGPD introduz multas substanciais. A LGPD tem implicações para praticamente todas as empresas ou organizações não apenas no Brasil, mas também além de suas fronteiras.
Dadas as regulamentações rigorosas combinadas com multas elevadas, é prudente que as empresas estejam cientes do conteúdo da LGPD e se preparem de acordo. Abaixo, mostraremos como nossos clientes e contatos comerciais podem se preparar da maneira mais eficiente possível em doze passos.
O Goulart Colepicolo regularmente auxilia partes com relação à aplicação da legislação de privacidade e tem ampla experiência com a LGPD. E nesta data do Dia Internacional da Proteção de Dados (28/01) temos o objetivo de conscientizar acerca da proteção de dados, para isso elaboramos este material. Naturalmente, ficaremos felizes em auxiliá-lo em seus preparativos para a LGPD.
1 – Nomear um Encarregado pela Proteção de Dados (DPO), se necessário
De acordo com a LGPD, a sua organização pode ser obrigada a nomear um Encarregado de Proteção de Dados ou (DPO). Mesmo que não seja obrigatório, você pode optar por nomear um DPO.
Verifique se a sua organização precisa de um; agentes de pequeno porte não são obrigados a nomear, conforme disposição da Autoridade Nacional de Proteção de Dados (ANPD). Em todo caso, considere nomear um DPO se o seu trabalho envolver operações que representam observação regular e sistemática de indivíduos em grande escala, ou se o seu trabalho envolver o processamento de dados pessoais especiais em grande escala (consulte o Passo 2).
O DPO atua como uma espécie de autoridade supervisora interna. Ele informa e aconselha a organização sobre obrigações da LGPD e outras obrigações na área de proteção de dados, garantindo conformidade. Além disso, é o ponto de contato da organização com a ANPD e com os titulares dos dados.
Leia mais em: Atribuições do encarregado pelo tratamento de dados – DPO
2 – Elaborar Inventário de processamento de dados pessoais e gap analysis
Para agir de acordo com a LGPD, você deve primeiro fazer um inventário das operações de processamento de dados pessoais dentro de sua organização. Você deve saber quais dados são utilizados, por quem e para quais finalidades.
Listamos algumas perguntas para exemplificar:
- Quais dados pessoais são processados dentro da organização? Exemplo: Nome; Endereço;
- Quais categorias de sujeitos esses dados são coletados? Exemplo: Clientes; Visitantes; Funcionários; Pacientes; Fornecedores;
- Você trata dados sensíveis? Exemplo: Dados relacionados à saúde; Dados biométricos (por exemplo, impressões digitais);
- Você trata Dados relacionados a menores de idade?
- Existem outros riscos especiais?
- Os dados são combinados, perfis são utilizados ou são tomadas decisões automatizadas?
- Para quais finalidades os dados são utilizados?
- Qual a base legal?
- Quem está tratando os dados e com quem você está compartilhando os dados?
- Quais informações são fornecidas aos titulares dos dados? Exemplo: Uma política de privacidade; um código de conduta para os funcionários;
- Existe um processo para inspeção, correção e exclusão, entre outros, de dados pessoais?
- Quais provedores de serviços estão envolvidos no tratamento de dados pessoais?
- Existem acordos ou contratos de tratamento de dados?
- Existe uma política de segurança?
- Você prática Privacidade por Design e Privacidade por Padrão?
- Existe um protocolo de violação de dados?
Ao responder às perguntas acima, você terá uma melhor compreensão das operações de processamento de dados dentro de sua organização, dos maiores riscos associados (gap analysis) a essas operações e do que mudará para você. Lembre-se de procurar auxílio de um profissional.
3 – Se necessário, elaborar um Relatório de Impacto de Proteção de Dados (RIPD)
Quando há necessidade de um RIPD?
Um RIPD é obrigatório para operações de tratamento de dados que, dadas a sua natureza, contexto e objetivo, representam um alto risco à privacidade. Certamente, há um alto risco nos seguintes casos:
- Se você avalia indivíduos com base em características pessoais e toma decisões com base nessas características. Isso inclui a criação de perfis e previsões;
- Se você processa dados pessoais sensíveis, como dados sobre saúde, dados sobre crimes ou preferências políticas, em grande escala;
- Se você monitora sistematicamente pessoas em locais públicos em grande escala (por exemplo, vigilância por câmeras).
Em todos os outros casos, você deve decidir por si mesmo se uma operação implica em “alto risco”. Se a sua operação de processamento atender a dois ou mais dos seguintes critérios, pode-se assumir que você deve realizar uma RIPD:
- Você cria perfis de pessoas.
- Você toma decisões automatizadas que afetam significativamente o titular dos dados.
- Você realiza monitoramento sistemático em grande escala.
- Você processa dados pessoais sensíveis.
- Você realiza processamento de dados em grande escala, ou seja, processamento que envolve muitas pessoas, muitos dados, um longo período ou uma grande área.
- Você vincula ou combina diferentes coleções de dados.
- Você processa dados relacionados a pessoas vulneráveis, como crianças, funcionários ou pacientes.
- Você está usando novas tecnologias, como aplicações da Internet das Coisas (IoT).
- Você transfere dados pessoais para países fora do Brasil.
Espera-se que a Autoridade Nacional de Proteção de Dados publique uma lista de operações de processamento para as quais um RIPD é obrigatório. Lembre-se de procurar auxílio de um profissional para elaboração, caso necessário.
4 – Introduzir uma Política. Decida sobre os períodos de retenção dos seus dados de minimização de dados
A LGPD enfatiza a obrigação de não tratar mais dados pessoais do que o necessário, conhecido como minimização de dados. Nesse contexto, é importante determinar por quanto tempo você reterá os dados pessoais e garantir a remoção oportuna desses dados.
O que precisa ser feito?
Com base na visão geral que você criou dos diversos dados (consulte o Passo 2), determine os propósitos para os quais está usando esses dados e por quanto tempo deve retê-los para esses propósitos.
- Existe um período de retenção estatutário máximo ou mínimo (para cada tipo de documento/informação)? Por exemplo: Gravações de CFTV: máximo de 4 semanas após a gravação.
- Existe necessidade de retenção dos dados pessoais? Algum dado específico pode ser excluído do conjunto de dados?
- Os dados podem ser anonimizados?
Determine o período de retenção, o ponto de partida para o limite de tempo e como o período de retenção será aplicado.
Estabeleça acordos operacionais sobre quando e como a documentação em papel será arquivada (por exemplo, no final de cada mês em uma pasta com data e data de destruição) e quem será responsável pela destruição.
Configure as opções de arquivamento ou exclusão (técnica) para cada aplicativo/banco de dados, incluindo configurações para a exclusão de dados arquivados.
5 – Elaborar e manter registro das operações de tratamento de dados pessoais
A LGPD introduz obrigações para as organizações serem claramente responsáveis e responsáveis pela maneira como os dados pessoais são tratados. Você deve ser capaz de demonstrar que sua organização está agindo de acordo com a Lei. Como parte disso, é necessário manter um registro de todas as atividades de tratamento que ocorrem dentro da organização ou sob a responsabilidade da organização. As autoridades de supervisão podem exigir a inspeção deste registro. Você pode usar a visão geral que criou no Passo 2 como base para isso. Os seguintes dados devem ser registrados no registro:
- Nome e detalhes de contato da pessoa responsável (controlador).
- Nome e detalhes de contato do representante e/ou DPO, se aplicável.
- Objetivos de processamento.
- Categorias de titulares de dados.
- Categorias de dados pessoais.
- Transferências, se aplicável, incluindo o nome da entidade ou pessoa para quem os dados estão sendo transferidos e documentação relacionada a garantias apropriadas.
- Períodos de retenção.
- Uma descrição geral das medidas técnicas e organizacionais para segurança.
Portanto, certifique-se de estabelecer um registro e mantê-lo atualizado. Isso pode ser feito por meio da implementação de um aplicativo de mapeamento de dados, mas também, por exemplo, mantendo uma visão geral em um arquivo Excel. Existem várias ferramentas no mercado que podem ajudar você a cumprir essa obrigação. Lembre-se de procurar auxílio de um profissional.
6 – Atualizar sua política de segurança e aplicar Privacy by Design e Privacy by Default
De acordo com a LGPD, você deve adotar medidas técnicas e administrativas apropriadas para proteger dados pessoais. O que é apropriado depende do risco de processamento. Você deve ser capaz de demonstrar que tomou medidas apropriadas e é capaz de tornar suas considerações compreensíveis facilmente. Por isso, é importante verificar se sua política de segurança ainda está em conformidade e atualizá-la, se necessário. Além disso, a LGPD introduz obrigações no campo da Privacy by Design e Privacy by Default. Isso significa que assim que você escolher um meio para processamento de dados ou ao projetar sistemas ou aplicativos, deve levar em consideração a proteção de dados pessoais, implementando medidas de segurança e minimização de dados, por exemplo. As configurações padrão devem ser para processar apenas dados pessoais para um objetivo específico. Os direitos dos titulares dos dados devem ser levados em consideração em todos os momentos, inclusive no design de uma operação de processamento.
7 – Implementar ferramentas para respeitar os direitos dos titulares dos dados
A LGPD dá atenção especial aos direitos dos titulares dos dados. Por exemplo, os titulares dos dados têm o direito de acessar e corrigir seus detalhes. Além disso, estão sendo oferecidas mais oportunidades para que os indivíduos expressem suas opiniões quando se trata do processamento de seus dados. Seus direitos estão sendo fortalecidos e expandidos.
A LGPD também contém uma disposição separada sobre o consentimento, sobre a qual falaremos no Passo 11. No artigo 18 da LGPD, você pode perceber que existem muitos novos direitos que você deve respeitar. Portanto, avalie seus procedimentos para concessão de acesso, entre outros, e estabeleça as condições para que os indivíduos exerçam seus direitos dentro de sua organização. Determine se é apropriado desenvolver recursos técnicos para isso dentro de sua organização, como no contexto da transferência de dados, por exemplo. Isso pode incluir programas de download para permitir que os indivíduos baixem facilmente seus dados e a oferta de interfaces de programação de aplicativos (APIs).
8 – Atualizar sua Política de privacidade
Você deve informar os titulares dos dados sobre o processamento de dados pessoais. A informação deve ser concisa, transparente, compreensível e de fácil acesso. Sob o aspecto da LGPD, é importante que você forneça informações sobre, entre outras coisas:
- Sua identidade e detalhes de contato, e se possível, os do DPO (Encarregado de Proteção de Dados);
- As finalidades do tratamento de dados e a base legal para essas finalidades;
- O período em que os dados pessoais serão armazenados (consulte o Passo 4);
- Os direitos do titular dos dados, como o direito de acesso, retificação e exclusão, e o direito de retirar o consentimento a qualquer momento (consulte os Passos 7 e 11);
- Quaisquer destinatários ou categorias de destinatários dos dados pessoais;
- Se os dados são transferidos para outros países;
- Se aplicável: se o interesse legítimo é atendido.
As informações devem, em princípio, ser fornecidas no momento em que os dados pessoais são coletados. Portanto, é hora de atualizar sua política de privacidade para implementar as obrigações adicionais de informação que a LGPD está introduzindo.
9 – Elaborar um Data breach protocol e manter registro
Segundo a LGPD, você pode ser obrigado a relatar uma violação de dados à autoridade competente e/ou aos titulares dos dados. Uma violação de dados refere-se ao acesso, destruição, alteração ou divulgação não intencional de dados pessoais a uma organização. Portanto, uma violação de dados abrange não apenas a divulgação (violação) de dados, mas também o processamento ilegal de dados e destruição não intencional. Isso pode incluir um pen drive perdido contendo dados pessoais, um laptop roubado, uma violação de um arquivo de dados por um hacker ou um incêndio que cause a perda de um banco de dados CRM (sem backup).
Para criar um Protocolo de Vazamento de Dados, você deve garantir que (i) esteja ciente de uma violação de dados assim que ela ocorra e (ii) tome medidas apropriadas imediatamente. Para o primeiro ponto, você deve garantir a implementação de medidas para sinalizar violações de dados como parte da segurança (consulte o Passo 6). Para o segundo ponto, é importante ter um protocolo de violação de dados. No protocolo, você pode registrar (i) as etapas a serem tomadas se sua organização for confrontada com uma violação de dados, (ii) quais informações devem ser coletadas/registradas e/ou relatadas, (iii) por quem e (iv) dentro de qual prazo. Além disso, faça acordos claros com seus operadores em relação a violações de dados. Descubra o que está incluído no contrato ou acordos de processamento de dados em relação a violações de dados (veja também o Passo 10).
Além disso, é necessário que todas as violações de dados – tanto as relatadas quanto as não relatadas – que tenham ocorrido em sua organização sejam documentadas em um registro.
10 – Verificar seus operadores e acordos de processamento de dados
Um operador é uma terceira parte que trata dados pessoais em nome de uma organização (controlador). Isso pode incluir prestadores de serviços que fazem a contabilidade salarial, mas também pode abranger todos os tipos de serviços em nuvem ou outros serviços de TI nos quais o provedor de serviços armazena ou pode acessar seus dados pessoais. Você é obrigado a firmar um acordo com cada operador. Entre outras coisas, o acordo deve incluir o fato de que o operador:
- Processará apenas dados pessoais de acordo com suas instruções;
- Adotará medidas de segurança técnica e organizacional apropriadas;
- Imporá dever de confidencialidade às pessoas encarregadas do processamento de dados pessoais;
- Prestará assistência no cumprimento das obrigações decorrentes dos direitos dos titulares dos dados;
- Excluirá os dados ou os devolverá ao controlador após o processamento;
- Disponibilizará informações necessárias para auditorias ou inspeções pelas autoridades de supervisão.
- Agora é o momento de verificar seus acordos com os processadores e, possivelmente, renegociá-los.
Quando necessário, altere os acordos ou celebre novos acordos de processamento de dados. É importante discutir esses pontos com seus operadores e determinar, por acordo mútuo, como eles serão implementados na prática.
11 – Atualizar os fluxos de coletas de dados para obter o Consentimento, quando for caso
Muitas de suas operações de tratamento de dados provavelmente serão baseadas no ‘consentimento’.
O consentimento legal só se aplica se for “livre, informado e inequívoco”, sem coerção. Isso pode ser feito por meio de uma declaração ou de um ato afirmativo, como marcar uma caixa, desde que informações suficientes também sejam fornecidas. A suposição automática e implícita de consentimento ou o uso de caixas de seleção pré-preenchidas não são suficientes para obter um consentimento válido.
O que você precisa fazer:
- Determine quais operações de processamento são baseadas no princípio do consentimento (consulte o Passo 2);
- Verifique se a maneira como você solicita, obtém e registra o consentimento está em conformidade com a LGPD;
- Atualize seus processos, se necessário;
- Garanta também que os titulares dos dados possam retirar seu consentimento. A depender do meio, pode ser feito via um botão de opt out (descadastramento).
12 – Conscientize e Treine seus colaboradores
A conscientização em matéria de privacidade e proteção de dados e treinamentos de LGPD servem para prevenir e mitigar riscos ligados a incidentes de seguranças. A partir do treinamento a organização pode adotar medidas de prestação de contas que prestam a defesa processual e atenuante de responsabilidade.
Leia mais sobre: Conscientização sobre a LGPD como matéria de defesa processual e atenuante de responsabilidade
Disclaimer: Este documento destina-se a ser um guia e não se destina a ser aconselhamento legal.
A equipe do Goulart Colepicolo Advogados tem advogados especializados em Compliance e Proteção de Dados e está à disposição para esclarecer eventuais dúvidas.