A Lei Geral de Proteção de Dados Pessoais (LGPD) impôs a empresas de diversos setores darem os primeiros passos rumo à adequação de suas operações e à conformidade com a nova legislação. Administradores intensificaram seus esforços para garantir a aderência aos pontos dispostos na lei 13.709/2018 ou, ao menos, para evitar as sanções administrativas citadas no artigo 52. E agora que a vigência foi adiada para janeiro de 2021?
Pode parecer que ganhamos mais tempo para as providências, mas a vigência em janeiro de 2021 dá uma falsa sensação de que as empresas têm muito tempo para ajustar seus sistemas. Não se deve perder o ritmo, afinal, as penalidades previstas a quem não corresponder às normas estão mantidas, mesmo que em outra data. Se ainda não há uma ligação entre os projetos de adequação e operação necessária para atender à legislação, agora é a hora das devidas correções.
Muitos projetos focados em privacidade e proteção de dados de pessoas físicas não estão considerando os resultados que devem entregar e em como estes serão entregues. É importante realizar um amplo assessment para mapear o cenário atual e definir um road map com as ações necessárias nos planos estratégico, tático e operacional. É evidente que envolver o departamento Jurídico, de TI, de Segurança da Informação, de Riscos, de Compliance e de Processos é indispensável. Crucial também a execução de projetos envolvendo a atualização de políticas e do código de conduta, a conscientização dos colaboradores, a governança dos dados, a revisão de contratos e a implementação de controles para obtenção dos consentimentos dos titulares, gestão de consentimento e prevenção contra vazamento ou roubo de dados pessoais. O ponto é que os projetos também precisam endereçar o futuro cotidiano do responsável pelo de tratamento de dados, o encarregado (DPO), pois será por intermédio deste cotidiano que os resultados cobrados pela LGPD serão entregues. Para facilitar, segue uma atividade que fará parte do dia a dia:
"Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular… no prazo de até 15 (quinze) dias, contado da data do requerimento do titular".
O encarregado será responsável por atender todas as requisições feitas pelos titulares dentro de 15 dias. Imagine quantas solicitações poderão ser feitas para empresas que possuem bases de dados com informações de milhões de titulares. Como atender tantos pedidos dentro do prazo de 15 dias (corridos, não comerciais)? Mesmo que apenas 1% dos titulares solicite algo, ainda serão milhares de requisições para serem atendidas em aproximadamente duas semanas!
Recebidas as solicitações, como encontrar TODOS os dados pessoais relacionados com CADA titular, se estes podem estar armazenados em bancos de dados, em formatos não estruturados contidos em servidores, em ambientes on-premise ou em sistemas implantados no modelo SaaS, como Office 365 ou SAP? Como entregar tantas informações sensíveis de modo seguro e ainda gerar evidências que o prazo foi devidamente cumprido? Como interagir com tantas áreas dentro da empresa? Como se proteger de solicitantes mal-intencionados que façam uma avalanche de requisições, visando comprometer o prazo de entrega e entrar com uma petição contra o Controlador?
Outra atividade do encarregado será:
"Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados…".
Interagir com a Autoridade Nacional de Proteção de Dados (ANPD) será outra atividade comum do encarregado e a elaboração e entrega do relatório de impacto à proteção de dados pessoais fará parte desta interação. Como garantir a acuracidade destes relatórios se processos, sistemas e produtos mudam com tanta frequência?
Outra exigência está descrita no artigo 48:
"… comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares".
Voltando para o primeiro exemplo, imagine o esforço necessário para se comunicar com milhões de titulares caso um incidente de segurança ocorra! E como fazer isso se, em paralelo, será necessário tomar medidas para conter o dano causado por tal incidente?
Por fim, pense no artigo 42 § 2º:
"O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa".
Diante da possibilidade de inversão do ônus da prova, o Controlador precisará trabalhar para que possua todas as evidências necessárias diante de um eventual processo civil, sendo que o encarregado será o responsável por validar a geração dessas evidências e a qualidade destas junto ao departamento Jurídico. Consegue imaginar a quantidade de validações que precisarão ser feitas em cada ponto de controle de cada processo?
Esses são apenas quatro exemplos de atividades que irão onerar os encarregados e que, na vasta maioria dos casos, não estão sendo contempladas pelos projetos de conformidade com a LGPD. Note que estas atividades, se devidamente executadas, podem fornecer insumos extremamente valiosos para o próprio sistema de privacidade, conforme proposto pela ISO 27701, retroalimentando os processos e permitindo que sejam refinados através da melhoria contínua.
Assim, enquanto janeiro de 2021 não chega, que tal olhar para os projetos envolvendo a LGPD e, ao se colocar no lugar do encarregado, pensar em como tudo será operacionalizado para benefício da organização e dos titulares?
Marcelo Moura, consultor da Agility.