O Dia Internacional da Proteção de Dados é comemorado em 28 de janeiro por uma decisão do Conselho Europeu, em referência ao dia em que o primeiro instrumento transnacional, com força vinculante, a tratar da proteção de dados como objeto de tutela foi assinado (Convenção 108, de 1981).
Assim, em uma data tão simbólica, trazemos luz às discussões relevantes sobre o tema, especialmente no ano em que a norma brasileira a Lei Geral de Proteção de Dados (Lei 13 709/2018 ou LGPD) entrará em vigor previsto / que a norma brasileira, a Lei Geral de Proteção de Dados (Lei 13.709/2018 ou LGPD) entrará em vigor, previsto para acontecer em 16 de agosto.
Na medida em que a vigência da lei se aproxima, muitas organizações ainda se perguntam: como adequar o meu negócio à Lei Geral de Proteção de Dados? Em outras palavras, o que fazer para garantir que minha organização seja capaz de respeitar todos os princípios, cumprir todas as obrigações e atender a todos os direitos previstos na LGPD?
O objetivo deste texto é justamente compartilhar nossa visão e metodologia, de forma condensada, bem como o caminho que entendemos mais eficiente rumo a essa tão alardeada e relevante adequação.
Para nós, escritório fundado em 1997 já especializado em Direito Digital, era natural o entendimento da relevância do tema, de forma que há anos auxiliamos empresas na mitigação de riscos relacionados à privacidade e proteção de dados, muito baseado na experiência do exterior, principalmente Europa, continente berço das discussões e normativas sobre o tema (não é por acaso que o Dia Internacional de Proteção de Dados criado pelo Conselho Europeu é comemorada no mundo todo).
Foi nesse contexto, apoiando organizações a se adequarem à regulamentação europeia de proteção de dados (General Data Protection Regulation) e já sabendo que a nossa futura Lei Geral de Proteção de Dados (LGPD) seria inspirada nela, pois inclusive contribuímos legislativamente desde o início da sua construção, que nos inspiramos nas melhores práticas já utilizadas para a adequação ao GDPR visando aplicar uma abordagem condizente com a realidade das organizações brasileiras em sua busca pela conformidade.
Neste sentido, a primeira constatação foi a de que a organização precisaria conhecer suas atividades de tratamento de dados pessoais e o papel delas dentro de cada modelo de negócio. Primeiro, porque o artigo 37 da LGPD traz essa obrigação, e depois, porque a lógica de fato sugere que para tratar dados de forma lícita, é preciso saber quais são esses dados, onde eles estão e para o que eles servem.
Assim, a tendência inicial, foi identificar e analisar todos os processos que envolviam dados pessoais, para então, apontar quais seriam suas inconsistências perante à LGPD, isto é, o que precisaria ser mudado para que aquele processo que envolvia um dado pessoal estivesse adequado à referida lei. Essa lógica não está errada, muito pelo contrário. Contudo, o denominado data mapping deve ser utilizado de forma estratégica ao longo da adequação. Isto porque os processos mudam o tempo todo, ou seja, uma inconsistência identificada hoje, pode não existir mais amanhã.
Por exemplo, se forem identificadas três inconsistências para cada processo, em uma organização que tenha 300 atividades de tratamento de dados (uma média razoável quando se olha para os processos macro), deverão ser corrigidos um total de 900 inconsistências.
Na prática, não é razoável criar 900 planos de ação que precisarão ser endereçados no curto espaço de tempo que temos até agosto de 2020. Além disso, esta abordagem não é sustentável a longo prazo, posto que sempre seria necessário buscar estas inconsistências a cada mudança ou criação de um novo processo.
Assim, analisamos profundamente as boas práticas de governança implantadas internacionalmente, incorporando-as em nossa jornada de adequação e passamos a utilizar uma abordagem voltada ao panorama macro: a criação de um programa de compliance em proteção de dados.
Um programa de compliance é fundado em: engajamento da liderança (tone at the top); mecanismos de resposta e investigação a inconsistências legais; uma função ou equipe de compliance para gerir e monitorar o programa; responsabilização e prestação de contas (accountability); entre outros pontos que, inclusive, encontram respaldo na própria LGPD, quando esta encoraja a implantação de boas práticas de governança (art. 50, §2º).
Sobre a base de compliance, seria necessário inserir as especificidades previstas na Lei Geral de Proteção de Dados. Assim, inspirados também nos principais frameworks de privacidade empregados mundo afora, criamos um framework especialmente customizado para atender aos requisitos da LGPD.
Desta forma, as regras de privacidade da organização são criadas em conexão com a própria governança corporativa, irradiando orgânica e construtivamente nas atividades de tratamento de dados pessoais, posto que as regras devem ser seguidas por todos os colaboradores, que são a 1ª linha de defesa de uma organização.
Este framework é composto por 11 pilares e cada um deles visa atender uma necessidade prevista, direta ou indiretamente, pela LGPD. São eles:
- Gestão e Governança – Avalia-se a existência de uma estrutura que garanta o accountability do Programa de Privacidade, bem como o posicionamento do Encarregado e engajamento da liderança.
- Coleta, Uso e Armazenamento – O mais abrangente dos pilares, onde é entendido os controles que a organização possui (políticas, processos, procedimentos etc.) para que os principais pontos do ciclo de vida do dado sejam executados dentro das regras previstas em Lei. Por exemplo, é neste pilar que identificamos se as atividades de tratamento de dados possuem uma base legal adequada e se é atribuída (e observada) uma finalidade para o uso destes dados.
- Transparência – Os titulares de dados precisam saber o que é feito com seus dados pessoais. Neste pilar, avaliase a existência de mecanismos internos para identificar se a organização é suficientemente transparente com o titular do dado. Entra aqui também entender se os Avisos de Privacidade preenchem todos os requisitos legais.
- Consentimento – Caso a organização utilize consentimento para tratar dados pessoais, deve-se garantir que todos os requisitos dessa base legal da LGPD sejam cumpridos (ser livre, informado e inequívoco). Além disso, a organização deve garantir controles para gerenciar a opção dos titulares – concessão ou revogação do consentimento.
- Exercícios de Direitos do Titular – A organização deve possuir processos internos para garantir que os titulares sejam atendidos corretamente suas requisições, como possibilidade de revogação de consentimento, e de forma a não expor dados de terceiros nem segredos de negócio.
- Compartilhamento – Avalia-se a existências de políticas e procedimentos que garantam que, ao compartilhar dados com terceiros (dentro ou fora do Brasil), estes sejam validados previamente e que salvaguardas técnicas e contratuais sejam impostas para evitar tratamento indevido destes dados.
- Segurança – Os dados devem ser tratados de forma segura, portanto, a organização deve possuir um programa de segurança da informação que garante a aplicação das medidas de segurança necessárias, alinhadas aos riscos identificados e implementadas desde a concepção de novos produtos, serviços, processos etc.
- Resposta a Incidentes – Não basta proteger o dado, deve-se estar preparado no caso de algum incidente (por / exemplo, vazamento de dados). Aqui, é entendido o nível de prontidão da organização para a resposta de um incidente.
- Monitoramento – Como todo bom programa de compliance, é necessário monitorar se todas as regras, políticas, processos, procedimentos etc., estão sendo observados na prática. Além de identificar inconsistências – e poder agir para que estas não ocorram novamente – o monitoramento pode gerar indicadores que auxiliam na gestão do Programa de Privacidade.
- Avaliação de Risco – É impossível olhar para todos os pontos ao mesmo tempo, principalmente, sabendo que recursos são limitados e devemos utilizá-lo com inteligência. Por isso, neste ponto identifica-se a existência de uma prática periódica de avaliação de riscos de privacidade e se essa avaliação é utilizada para direcionar as prioridades do Programa de Privacidade.
- Treinamento e Comunicação – A criação de uma cultura de privacidade é indispensável para que todos os colaboradores sejam agentes de privacidade e ajudem a organização a estar em conformidade. Avalia-se aqui a existência de um plano de treinamento e comunicação que esteja alinhado à política corporativa de privacidade e proteção de dados.
Para cada um deste pilares, são avaliados dezenas de critérios e para cada um deles é determinado o nível de maturidade com a LGPD, da seguinte forma:
- Inexistente
- Insuficiente
- Em construção
- Implementado
- Otimizado
Ao avaliarmos a maturidade da organização com base nestes pilares, conseguimos traçar tanto os planos de ação que precisarão ser endereçados para que se alcance um nível adequado de conformidade como identificar onde estão os principais riscos. Essa análise é feita utilizando-se também dos insumos do mapeamento.
Mediante a avaliação da organização e com base no framework, identificamos não só o que precisa ser feito para se adequar à LGPD, mas também o racional de priorização, concentrando esforços no que é importante e deixando para um segundo momento o que apresenta baixo risco, tanto para a organização, como, principalmente, para os titulares de dados.
Continuando a jornada de adequação, é estruturado o Programa de Privacidade e Proteção de Dados através da definição da estrutura de governança (DPO, Comitê de Privacidade, alçadas de decisão etc.) e desenho das políticas e procedimentos internos. Nesta etapa, identificamos que o Data Protection Officer é fundamental para que o Programa de Privacidade seja, de fato, incorporado ao dia a dia da organização.
Considerando a falta de disponibilidade deste profissional no mercado e a dificuldade de capacitar um colaborador no prazo e com o nível de conhecimento necessários, uma possibilidade que tem sido cada vez mais empregada é a contratação do DPO as a Service, nada mais do que a terceirização desta função.
A etapa final desta jornada de adequação consiste em refazer o diagnóstico inicial, reavaliando a maturidade da organização com base em nosso framework, mapeando eventuais pontos ainda não endereçados.
O fim do projeto de adequação à LGPD significa apenas o início do trabalho de manter a consistência e a observância prática do Programa de Privacidade e Proteção de Dados, normalmente a principal atribuição do DPO, que pode contar com auxílio de softwares de gestão, além do apoio contínuo do time de segurança da informação.
Quanto ao mapeamento de dados entendemos que este continua sendo extremamente relevante, quando usado estrategicamente, ou seja, sendo considerado no contexto de um programa de compliance e não apenas como instrumento para correção de inconsistências de processo. Para ilustrar o raciocínio, apresentamos quatro exemplos de como usar o mapeamento de forma inteligente num projeto de adequação:
- a) Para atribuição de riscos: o mapeamento fornece elementos quantitativos para uma atribuição de risco mais precisa, especialmente porque revela o volume de dados utilizados numa operação, a existência de dados sensíveis, de crianças etc.;
- b) Para garantir maior e melhor transparência: o conhecimento dos processos que envolvem dados pessoais possibilita à organização estruturar sua comunicação e avisos de privacidade de forma mais completa e assertiva.
- c) Para atendimento ao direito de confirmação de tratamento e direito de acesso: Saber quais são os dados pessoais, bem como eles são utilizados pela organização facilita o atendimento ao direito do titular de confirmar que suas informações são objeto de tratamento, bem como ao direito de acesso desse titular a essas informações; e
- d) Para atribuição de uma base legal: só é possível realizar uma operação de tratamento de dados pessoais, se essa operação estiver justificada em uma das bases legais dos artigos 7º e 11º da LGPD. De forma resumida, nossa metodologia implica em:
- Conhecer as principais atividades que envolvem tratamento dados pessoais de uma organização (data mapping);
- Criar um sistema de compliance (que chamamos de Programa de Privacidade e Proteção de Dados);
III. Ancorar as regras previstas pela LGPD em políticas, procedimentos e processos internos;
- Avaliar a maturidade da organização em relação ao Programa de Privacidade e Proteção de Dados que deve ser criado, para desenvolver planos de ação e identificar os pontos mais críticos;
- Avaliar os riscos de privacidade para priorizar os planos de ação e concentrar recursos onde é mais importante;
- Estruturar o Programa de Privacidade e Proteção de Dados;
VII. Iniciar a atuação do Data Protection Officer;
VIII. Conduzir uma revisão final do nível de maturidade da organização em relação ao framework proposto; e
- Dar continuidade ao Programa, garantindo sua aplicação prática e consistente, envolvendo ou não o uso de ferramentas de gestão.
Como mensagem final, relembramos que, em nosso entendimento, nenhum programa de compliance é infalível e risco zero é impraticável. Devemos ter em mente que, se já não o era antes, com a regulação do uso de dados pessoais, qualquer atividade que envolva o tratamento deste tipo de informação passou a ser uma atividade de risco. Portanto, o objetivo de um Programa de Privacidade é reduzir este risco ao mínimo possível, não necessariamente eliminá-lo completamente.
* Rony Vainzof, Caio Lima, Henrique Fabretti e Tiago Furtado, advogados do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados
Fonte: Estadão