LGPD – Lei Geral de Proteção de Dados

Unidade 4 - As boas práticas de governança.

Até aqui, você viu que a LGPD trouxe grandes mudanças na proteção da privacidade dos dados, estabelecendo novos direitos para as pessoas, bem como responsabilidades para as organizações. Por isso, esse novo momento exige delas (organizações) a reavaliação dos processos internos, além do mapeamento das atividades que, de alguma forma, tratam dados pessoais.

Essa adequação é um processo constante e contínuo que deve conectar o propósito de todas as áreas e departamentos, no que chamamos aqui de Governança de dados. Pode-se dizer que a governança envolve a implementação de regras, práticas, processos, procedimentos e controles, visando o crescimento de uma organização de forma organizada e sustentável, respeitando a legislação e a sociedade como um todo. No contexto da administração de empresas, esse entendimento é conhecido como governança corporativa.

Segundo o Instituto Brasileiro de Governança Corporativa (IBGC, 2019), essa expressão significa:

Sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas. As boas práticas de governança corporativa convertem princípios básicos em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seu acesso a recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum.

Nesse sentido, a governança corporativa abarca também a governança de dados que, de acordo com o DAMA - Data Maturity Body of Knowledge (2017, p. 67), trata-se de:

exercício de autoridade e controle (planejamento, monitoramento e execução) sobre o gerenciamento de ativos de dados.

A LGPD determina que as organizações implementem regras e boas práticas de governança, com procedimentos específicos para todas as pessoas envolvidas no tratamento de dados pessoais e que seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta.

Governança de dados

Uma das características da governança de dados, no contexto da LGPD, é a ideia do Privacy by Design ou Privacidade no Design, em português. Tal ideia envolve os seguintes preceitos ou princípios:

• Proativo e não reativo - Estabelece uma cultura de atenção e cuidado antecipado na privacidade dos dados. Nesse sentido, deve-se realizar o gerenciamento dos riscos de forma que sejam vislumbradas ou reveladas possíveis situações desastrosas ou prejudiciais, tratando-as adequadamente e preventivamente. Exemplo: No caso da privacidade no tratamento dos dados, imagine que você percebeu uma falha de acesso a um documento que contém informações de dados pessoais e pessoais sensíveis da empresa em que trabalha. O que você deve fazer? Seu dever, neste contexto, é comunicar aos superiores e, se possível, incluir sugestões de melhoria para evitar a ocorrência de um acesso indevido. Portanto, agir para evitar que dados caiam em mãos erradas exemplifica o perfil pró-ativo que busca evitar situações danosas para todos.

• Privacidade por Padrão (Privacy by Default) - Determina que a privacidade apareça em todos os processos, desde a fase de concepção do produto ou do serviço até a sua execução, assim como o sol aparece no horizonte. Essa analogia traz a ideia de que a privacidade deve iluminar os caminhos a serem seguidos no desenvolvimento e na oferta dos produtos ou serviços, sendo o objetivo primordial que antecede qualquer atividade.

• Funcionalidade - Estabelece que a privacidade no uso dos dados deve ser feita de tal forma que não prejudique o produto ou serviço desenvolvido, oferecendo equilíbrio entre as partes na relação ganha-ganha. Isso significa que as interações entre pessoas e organizações, no contexto da privacidade, devem ser benéficas, justas e equilibradas para ambas as partes. Pouco adianta restringir o uso absoluto e total dos nossos dados, se isso impedir a empresa de prestar corretamente o seu serviço. Esse preceito da funcionalidade se conecta com o da necessidade e adequação que a empresa faz para o tratamento dos nossos dados.

• Visibilidade e transparência - Conforme preceitua a LGPD, o acesso aos dados e a transparência no tratamento realizado são fundamentais para que as organizações protejam os direitos dos titulares dos dados.

• Privacidade no Design - Orienta que a proteção aos interesses e à privacidade do usuário deve ser incluída na concepção de produtos ou serviços, da mesma forma que um engenheiro deve prever, na construção de uma casa, o encanamento para o fornecimento de água, por exemplo. Caso não o faça no momento do planejamento, corre-se o risco de ter que quebrar as paredes para essa adequação, gerando um imenso transtorno no que se refere a prazo, orçamento e até mesmo segurança de uma construção.

  • • • • Exemplo: Imagine que uma empresa de transportes rodoviários desenvolveu um novo serviço de transporte escolar. Em um primeiro momento, pode parecer uma atividade simples. No entanto, ao ampliarmos a análise do serviço, poderemos perceber aspectos que se conectam à privacidade, como exigir dados pessoais e pessoais sensíveis dos alunos que serão transportados, para fins de controle, segurança e até contratação de um seguro. Esse exemplo nos convida a exercitar essa percepção sobre todos os serviços que estão ao seu redor.

• Segurança - A segurança dos dados pessoais e pessoais sensíveis deve ser incorporada em um ciclo constante de avaliação. Aqui é importante lembrar que, em um mundo conectado, a nossa imersão e interação é cada vez maior no mundo digital, gerando um alto volume de dados e pegadas digitais que precisam ser protegidos.

• Respeito - Essa premissa já faz ou deveria fazer parte da missão e visão de qualquer organização na oferta de seus produtos e serviços para a sociedade. Dessa forma, as organizações devem se utilizar dos dados pessoais e pessoais sensíveis respeitando, em primeiro lugar, os direitos dos titulares desses dados.

A soma desses sete preceitos determina um outro conceito conhecido por Privacy by Default ou Privacidade por Padrão, em português, que resume a importância de a privacidade ser incorporada no desenvolvimento de todas atividades, sempre como um padrão a ser seguido e mantido.

Agentes de tratamento de dados

Para que a governança de dados cumpra sua função, é fundamental que todas as pessoas da organização estejam alinhadas e em sintonia com o propósito da LGPD. Além disso, devem existir e coexistir, dentre elas, duas figuras importantes nesse contexto: controlador e operador.

• Controlador - Segundo a Lei, o controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

• Operador - O operador (ou processador) é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

• Encarregado - A LGPD também determina que seja nomeado um responsável, conhecido como encarregado, que é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Esse profissional também pode ser denominado DPO (Data Protection Officer) ou Oficial de Proteção de Dados, em português. Ele também deve orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em outras normas.

IMPORTANTE - De acordo com a LGPD, agentes de tratamento são os controladores e os operadores, responsáveis pelo cumprimento da lei, e serão os responsabilizados no caso de descumprimento dela. O encarregado não é agente de tratamento, mas cumpre um papel fundamental para os agentes de tratamento na avaliação constante de conformidade para a respectiva organização que ele atende.

Exemplo: Você se lembra do Fernando?

Ele contratou um serviço de TV e Internet para o uso em sua residência. Ao solicitar o serviço, a empresa, chamada Intertv, iniciou o processo de tratamento com a coleta de seus dados pessoais. Neste momento, ela se tornou controladora dos dados que coletou de Fernando e poderá dar um ou mais tratamentos, conforme informado previamente e consentido por ele. Para executar o serviço de atendimento ao cliente, a Intertv contrata uma empresa de call center chamada Alôvoice. Nesse contexto, ela fará o papel da operadoras dos dados, pois será quem terá contato com Fernando, por meio dos dados coletados.

A Intertv tem a obrigação de nomear um encarregado. A Alôvoice tem a opção de também nomear (encarregado), de acordo com sua percepção de necessidade ou não para mitigar os riscos legais. Tanto o controlador quanto o operador devem demonstrar comprometimento e responsabilidade em relação às diretrizes da LGPD, aos processos e políticas internas da organização que assegurem o cumprimento das práticas relativas à proteção de dados pessoais. O encarregado controlará a conformidade com a LGPD e as demais normas aplicáveis, incluindo o compartilhamento de responsabilidades, a sensibilização e a formação dos profissionais competentes em relação às operações de tratamento de dados, informando a organização sobre o necessário para que possam tomar as respectivas decisões.

Segurança da informação

Um dos procedimentos imprescindíveis para a governança de dados envolve a elaboração de políticas e procedimentos, visando a segurança da informação. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Aprimorar tais medidas é algo que está, ou deveria estar, embutido na rotina de desenvolvimento das atividades de toda organização. A segurança da informação contém três estruturas básicas que organizam seu objetivo.

a) Confidencialidade - O acesso à informação é feito somente por pessoas autorizadas.

b) Integridade - O conteúdo deve ser protegido de forma que não seja alterado ou corrompido.

c) Disponibilidade - O conteúdo deve ser protegido de forma que não seja alterado ou corrompido.

É importante ressaltar que tais estruturas podem variar de acordo com o entendimento e alguns autores utilizam quatro ou cinco aspectos diferentes.

A segurança da informação é determinante para a proteção da privacidade. No entanto, cabe ressaltar que ela pode existir sem conexão com a privacidade dos dados, pois proteger as informações estratégicas e administrativas que circulam dentro da organização faz parte do escopo de qualquer organização, sem relação alguma com dados pessoais. Em outras palavras, é possível que exista segurança da informação sem foco na privacidade, mas é impossível existir proteção à privacidade sem segurança da informação. Sendo assim, é necessário que as organizações implementem algumas ações estabelecendo regras e padrões para proteção da informação, para que sejam respeitados os requisitos da Lei. Eis alguns exemplos:

• Política de segurança da Informação - Define as regras para acesso, controle e compartilhamento das informações em uma organização.

• Classificação das informações - A norma ISO (International Organization for Standardization, ou Organização Internacional para Padronização, em português) 27.002:2013, em seu item 8.2.1, traz a seguinte orientação em relação à classificação da informação: “Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada”. A ISO 27.701:2019 também aponta que: “o sistema de classificação da informação da organização considere explicitamente DP (dados pessoais) como parte do esquema que ela implementa”. Nessa premissa, cabe a cada organização definir suas próprias estruturas de classificação conforme os riscos identificados nas informações que utiliza. A seguir é apresentado um exemplo de possíveis modelos de classificação:

  • - Pública: informação sem restrições de divulgação, podendo ser repassada a qualquer indivíduo, dentro ou fora da organização, ser publicada na internet etc.

  • - Interna: informação restrita à organização, podendo ser compartilhada entre todos os colaboradores e prestadores de serviço, porém não pode ser repassada a indivíduos externos, ou seja, não deve ser divulgada publicamente.

  • - Confidencial: informação restrita ao mínimo possível de colaboradores e seu acesso deve ser controlado e auditado. Deve ser mantida em sigilo e repassada somente às pessoas que irão utilizá-la em suas atribuições.

  • - Pessoal: documento contém dados pessoais e/ou pessoais sensíveis. Essa categorização auxilia no processo de governança dos dados, pois permite maior conhecimento, controle e rastreabilidade sobre o seu tratamento. Isso reflete diretamente na proteção da privacidade dessas informações.

• Termo de Confidencialidade - Qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o seu término. Assim, políticas empresariais devem estabelecer a responsabilidade de colaboradores e parceiros que tiveram, tenham ou terão qualquer tipo de relação que envolva dado pessoal. Qualquer pessoa física ou jurídica que venha a ter acesso a dados pessoais devem saber da responsabilidade em relação à proteção da informação.

A segurança da informação envolve o ambiente organizacional, as pessoas, os processos e a tecnologia. Por isso, é imprescindível que as organizações busquem sua melhoria contínua. Isso traz segurança ao tratamento dos dados e maior proteção à privacidade, além de evitar imprevistos e gastos para a reparação de possíveis danos.

Gerenciamento de riscos

O gerenciamento de riscos também é fundamental para que a administração das organizações possa monitorar e tratar os riscos referentes à privacidade das informações no âmbito da LGPD. Implementar esse gerenciamento é ampliar a capacidade de as pessoas identificarem problemas no ambiente, para tratá-los da forma correta.

Exemplo:

Ao dirigirmos um carro em uma estrada, prestamos atenção a tudo que acontece ao nosso redor e vamos, assim, avaliando os riscos conforme nos locomovemos pelo caminho, a fim de chegar ao nosso destino. Essa percepção nos revela riscos em vários momentos. Uma curva perigosa é um risco. Em dias de chuva, há risco de que o pneu do carro perca a aderência ao solo, caso esteja gasto. Para cada risco encontrado, há um tratamento ou ação a ser adotada. No caso da curva, reduzir a velocidade e, do pneu gasto, realizar a sua troca.

Da mesma forma, o gerenciamento dos riscos relativos à privacidade permite que as pessoas estejam atentas aos acontecimentos ao redor e possam se preparar para o correto tratamento deles.

Exemplo:

Deixar um computador desbloqueado com páginas de informações de clientes expostas na tela, gera um risco de acesso indevido e uma possível violação à privacidade em relação aos dados pessoais. Essa situação enquadra a empresa nas sanções previstas pela Lei Geral de Proteção de Dados e pode prejudicar sua imagem perante a sociedade.

Boas práticas de governança de dados

As boas práticas de governança de dados se referem às ações e às atitudes que refletem um comportamento comum entre pessoas e organizações.

No caso das organizações, a LGPD, em seu capítulo VII, art. 50, estabelece:

“Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.”

A LGPD ainda orienta, em seu artigo 50, parágrafo 2º, inciso I, que a organização deve implementar um programa de governança em privacidade que, no mínimo:

1. demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

2. seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

3. seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

4. estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

5. tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

6. esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

7. conte com planos de resposta a incidentes e remediação; e

8. seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Aqui, as boas práticas se referem a processos e procedimentos modernos, atuais, eficazes e eficientes que coloquem a empresa na postura preventiva e antecipada do gerenciamento dos riscos relativos à privacidade dos dados dos indivíduos.

Inventariar a situação atual da organização, a fim de entender como os dados já são tratados, se já houve alguma situação de vazamento, pensar na coleta e na finalidade antes de pensar na segurança são os primeiros passos na busca da proteção da privacidade.

Exemplo:

Um exemplo de boa prática é a adoção de treinamentos e capacitações que atualizem o conhecimento das pessoas ou determinem a operação das atividades, segundo os melhores modelos aplicados no mercado.

Outra prática recomendada é o uso de tecnologias modernas e robustas que protejam as informações que forem, de alguma forma, tratadas pela organização, conforme orienta o artigo 46 da LGPD:

“Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

Dessa forma, a organização, seja pública ou privada, constrói um ambiente que promove a cultura de proteção à privacidade, considerando que as estratégias, processos, procedimentos e todos os colaboradores estão em sintonia com o mesmo propósito.

Cultura de privacidade dos dados

O principal pilar no sucesso da adequação à LGPD é a criação de uma nova cultura relativa à Privacidade dos Dados. Entender o contexto é fundamental para se aproximar dos direitos, enquanto cidadão, e participar ativamente no cumprimento dos deveres, enquanto partes de uma organização.

É importante reconhecer a necessidade e a oportunidade que os dados criam para o desenvolvimento das organizações e no seu uso responsável e ético.

Portanto, participar desse processo, dessa evolução, nos reconecta ao escopo da missão e da visão das nossas organizações.

Resumo Unidade 4

Nesta unidade, você viu que é imprescindível a adequação e a reestruturação dos processos internos das organizações, por meio de boas práticas de governança de dados para garantir os padrões de segurança e privacidade.

Nesse sentido, é importante que a organização consolide um ambiente que promova a cultura de proteção à privacidade no desenvolvimento de todas atividades, como um padrão a ser seguido e mantido, sempre de forma preventiva, realizando treinamentos e capacitações constantemente e fazendo uso de tecnologias modernas e robustas que garantam a proteção das informações que forem tratadas por ela.

Avance para a unidade 5 e conheça as sanções e as responsabilidades que a LGPD determina às organizações no caso de incidentes envolvendo o tratamento de dados.

Caso o formulário não esteja aparente, utilize o link ECAP - Unidade 4 - LGPD Básico