ARTIGO

Escape das "armadilhas" da LGPD

É natural ter dúvidas ou querer "segmentar" a nova lei, mas só uma abordagem holística será de fato eficiente e esclarecedora. É o que acredita o professor da FGV Marcos Sêmola que, no artigo, conduz didaticamente quem quer saber mais sobre como cumprir a LGPD

Ilustração com símbolo de interrogação e "labirinto"


16/07/2019

Escrevo hoje para você que já tomou conhecimento da lei no 13.709/18, a Lei Geral de Proteção de Dados Pessoais (LGPD), inspirada na lei europeia GDPR, mas ainda está confuso sobre o que realmente deve ser feito para cumprir o novo regulamento, uma vez que tem tomado conhecimento de soluções bem distintas oferecidas por escritórios de advocacia, por fornecedores de software e hardware, integradores e consultorias. A melhor forma que encontrei para tornar esse texto útil foi conduzindo-o por um roteiro de estória que permita que você responda à pergunta sozinho - o que fazer para cumprir a lei? - no final. Para isso, vamos começar pelo começo.

Tem obrigatoriedade definida
Sendo uma lei federal sancionada pelo Congresso Nacional, ela precisa ser observada com o rigor de obrigatoriedade relacionada ao escopo, requisitos, direitos e responsabilidades de todos que se enquadrem na definição de pessoa natural ou pessoa jurídica de direito público ou privado que realize tratamento de dados pessoais, inclusive nos meios digitais.

Tem escopo legal definido
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

Tem prazo de cumprimento definido
Até segunda ordem, é esperado que todas as organizações atingidas pelo escopo da lei demonstrem conformidade a partir de 14 de agosto de 2020.

Tem sanções administrativas definidas
A lista de penalidades começa com advertência e segue com multa simples de 2% do faturamento limitado a 50 milhões por infração, multa diária, passando pela publicação da ocorrência, o bloqueio e/ou exclusão dos dados relacionados.

" Não   há ,   de   fato ,   outro   culpado   pelo   que   vemos    acontecer  ,   senão    a   falta   de   educação ,   maturidade    e    compreensão   do   que   vem   a   ser   gerir   eficientemente    a   segurança   da   informação   de    uma   empresa .  O   problema    é   multifacetado ,   deve    ser    enxergado   e   gerenciado    de    forma   integrada "

Tem escopo técnico definido, contudo… aqui começa o problema.
A grande maioria das empresas não tem maturidade e os alicerces mínimos de governança e gestão de riscos de segurança da informação para tratar a LGPD apenas como uma evolução incremental na direção da privacidade dos dados. Essa condição muda completamente o esforço, a complexidade e a viabilidade técnica para se atingir a conformidade nessas empresas.

A lei é abrangente demais para que se exija seu cumprimento a empresas de qualquer porte e com qualquer nível de maturidade de governança de dados e segurança da informação, indiscriminadamente. As sanções administrativas parecem incompatíveis com a temporalidade da lei e desproporcionais à real capacidade do governo de fiscalizar e das empresas de se adequarem em plenitude e eficazmente ao seu escopo técnico. Boa parte dos fornecedores, por sua vez, influenciados pelos equívocos descritos nos itens anteriores e ainda assim motivados a apoiar os clientes oferecendo-lhes soluções, caem na armadilha de suas especificidades. Demonstram só ter olhos para os propósitos e os problemas para os quais foram criados, fatiam o desafio da lei que é muito mais amplo, e oferecem pseudossoluções que só arranham a superfície do problema, gerando uma falsa sensação de conformidade plena.

Não há, de fato, outro culpado pelo que vemos acontecer, senão a falta de educação, maturidade e compreensão do que vem a ser gerir eficientemente a segurança da informação de uma empresa. O problema é multifacetado, deve ser enxergado e gerenciado de forma integrada, ou seja, conectando o negócio aos agentes externos de seu ecossistema; conectando processos de negócio aos ativos físicos, tecnológicos e humanos; conectando diretrizes, normas e procedimentos aos controles; conectando governança, proteção, identificação, detecção e resposta às ameaças a frameworks de gestão de riscos da informação.

Ilustração da estrutura de um edíficio, para a analogia em relação à Lei Geral de Proteção de Dados Pessoais

Se encarássemos o Sistema de Gestão de Segurança da Informação como um edifício, poderíamos, analogamente, associar a LGPD à exigência de construção de um novo pavimento. Entretanto, para que isso fosse possível, os alicerces estruturais do edifício já deveriam ter sido dimensionados e a fundação bem construída para suportar a nova carga. Quando isso não acontece, será preciso construir ou reconstruir a fundação, os primeiros pavimentos, para só então ser capaz de atender os novos requerimentos legais da Lei Geral de Proteção de Dados Pessoais.

Vinte anos em dois

Se observarmos com cuidado e interesse a estrutura da LGPD, veremos se tratar de um embrulho atualizado e mandatório por força de lei - voltado especificamente à proteção de dados pessoais sensíveis1 - de um Sistema de Gestão de Segurança da Informação completo, como aquele especificado pelas velhas normas BS7799, ISO17799 e a ISO27001.

Na prática, significa dizer que as empresas terão de avaliar, especificar, implementar e gerenciar um modelo de governança corporativo de riscos de segurança da informação – o que não conseguiram fazer em 20 anos2 – em apenas dois anos.

Obviamente que essa situação crítica e complexa se torna bem diferente para as organizações mais maduras e que já têm governança instalada e um modelo abrangente de gestão de segurança da informação, onde plugar ou aprimorar a abordagem de privacidade por força da nova lei passa a ser apenas mais um passo na evolução incremental do que já vinha sendo feito até então.

A LEI É CLARA


O quê

Tratamento de
dados pessoais3. Toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle, modificação, comunicação, transferência, difusão ou extração da informação.


Atividades de tratamento

- Finalidade: propósitos legítimos, específicos, explícitos e informados ao titular
- Adequação: compatibilidade do tratamento com finalidades informadas ao titular
- Necessidade: limitação ao mínimo necessário para realização de suas finalidades
- Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita
- Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados
- Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis
- Segurança: utilização de medidas técnicas e administrativas aptas à proteção de dados
- Prevenção: adoção de medidas para prevenir ocorrência de danos face o tratamento dos dados pessoais
- Não discriminação: impossibilidade de realização do tratamento com fins discriminatórios
- Responsabilização e prestação de conta: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar observância e cumprimento das normas de proteção de dados pessoais e eficácia dessas medidas


Quem

Pessoas físicas ou jurídicas, de direito público ou privado, que tratem dados pessoais no Brasil ou que coletem dados no Brasil ou, ainda, quando o tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços a titulares localizados no Brasil, independentemente do meio, do país-sede ou do país onde estejam localizados os dados.


Direitos do titular

- Confirmar a existência de tratamento de seus dados pessoais
- Acessar seus dados pessoais
- Corrigir dados pessoais incompletos, inexatos ou desatualizados
- Anonimização4, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade de dados pessoais a outro fornecedor de produto ou serviço
- Eliminação de dados tratados com o seu consentimento
- Obtenção de informações sobre as entidades públicas e privadas com as quais o controlador realizou o compartilhamento de dados pessoais
- Obtenção de informações sobre a possibilidade de não consentir com o tratamento de dados pessoais e sobre as consequências da negativa
- Revogação do consentimento dado para o tratamento de dados pessoais


Quando

A LGPD determina as situações onde pode haver coleta e tratamento de dados pessoais. Essas
situações são chamadas de bases legais e são descritas individualmente abaixo. O propósito da base legal é determinar as situações e condições para tratamento de dados pessoais e evitar a coleta e uso indiscriminado dos mesmos.

A base legal deve ser atribuída a cada atividade de tratamento de dados pessoais no negócio. Por exemplo, na venda
de um produto a empresa coleta
coleta dados pessoais para fazer atividades relacionadas à venda e entrega do produto, como nome, endereço, contatos e cartão de crédito. Porém, se a empresa compartilha esses dados com terceiros para enriquecimento da base de prospecção, outra base legal é aplicável. No primeiro caso, a base legal seria a execução de um contrato, enquanto no segundo caso seria necessário obter o consentimento do cliente para fazer esse compartilhamento específico de informações.


Atribuir a base legal é um passo importantíssimo, pois será insumo para desenvolver ou aprimorar a política de privacidade apresentada ao cliente e apontará onde será necessário obter consentimento.

 

Bases legais
- M
ediante fornecimento de consentimento do titular
- Para cumprimento de obrigação legal ou regulatória pelo controlador
- Pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas
- Para estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais
- Quando necessário para execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
- Para exercício regular de direitos em processo judicial, administrativo ou arbitral
- Para proteção da vida ou da incolumidade física do titular ou terceiro
- Para tutela da saúde, em procedimento realizado por profissionais da área de saúde ou entidades sanitárias
- Quando necessário atender interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais
- Para proteção do crédito

 

Perfis
- Titular: pessoa natural (física) a quem se referem os dados pessoais que são objeto de tratamento
- Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais
- Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador

 

Direitos de transferência internacional de dados
- Para países que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD
- Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro
- Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência


É esperada grande complexidade no processo de apresentação da política de privacidade aos titulares dos dados no momento da coleta, assim como nos processos da coleta em si e da gestão do consentimento do titular. São, em geral, atividades muito granularizadas e de grande esforço para um controle efetivo. Em poucas palavras, cumprir os direitos do titulares será desafiador!

Por onde começar

Mesmo diante desse desafio gigantesco, haja vista sua complexidade também em virtude da perspectiva do tempo, o melhor a ser feito agora é desenvolver uma visão integrada e customizada do seu próprio problema, levando em consideração o grau de preparo e maturidade dos seus processos e controles de governança de dados e proteção à informação, para então desenvolver um roadmap end-to-end priorizado, e que norteará todos os passos da jornada LGPD (que agora podemos chamar também de jornada da gestão corporativa de segurança da informação com requintes de especificidade na proteção de dados pessoais).

A essa altura, deve estar evidente para você que só é possível endereçar a demanda de conformidade com a Lei Geral de Proteção de Dados Pessoais com uma abordagem holística, uma equipe e uma oferta multidisciplinar integrada e coordenada para que, a seu tempo, todas as peças do "quebra-cabeça" do roadmap tenham perfeito encaixe e cumpram seu papel de subsidiar a gestão eficaz dos riscos relacionados à proteção dos dados pessoais e da privacidade como um todo, onde a conformidade é apenas o end-game.
COMPREENDER

  • Negócio - compreender o espaço operacional do negócio; sua estratégia comercial, digital e de dados; sua estrutura de gestão e organização; sua cadeia de valor, ativos e processos de negócio; sua cultura de proteção da informação.
  • Estrutura - compreender a estrutura existente de privacidade e proteção de dados, suas políticas com diretrizes, normas e procedimentos, adquirindo entendimento da postura existente na organização para o tema.
  • Governança - compreender o modelo de governança atual, incluindo papéis e responsabilidades.
  • Jurídico - compreender o status e a conformidade da organização em relação às leis relativas ao tema e demais regulamentações aplicáveis.
  • Transferência de dados - compreender os fornecedores, parceiros e terceiros em geral, e suas relações de negócio.

 AVALIAR

  • Estratégia e apetite de risco - avaliar o alinhamento estratégico e o apetite de risco, bem como os valores da organização.
  • Mapa de fluxo de dados -avaliar o fluxo para gerar o mapeamento que auxiliará na determinação das exigências e na implementação das funções de privacidade de dados.
  • Maturidade LGPD - avaliar a maturidade da privacidade em diferentes domínios como classificação de dados e estratégia de privacidade por meio da aplicação de ferramentas específicas.
  • Conscientização - avaliar o aspecto cultural do capital humano da organização quanto à privacidade de dados com a aplicação de dinâmicas e artefatos de sensibilização e conscientização.
  • Roadmap - avaliar com base no contexto da organização descoberto pelas atividades predecessoras, as ações processuais, físicas, tecnológicas e humanas necessárias para a aderência aos requisitos da LGPD.

DEFINIROrganograma em inglês com alguns passos para atingir a conformidade em relação à Lei Geral de Proteção de Dados Pessoais

  • Estratégia - definir uma estratégia abrangente de proteção de dados e privacidade alinhada aos interesses e ao apetite do negócio.
  • Políticas - definir diretrizes, normas e procedimentos relacionados à privacidade e à proteção de dados; classificação, retenção e perícia forense;
  • Governança - definir o modelo de governança de proteção de dados e privacidade, e a diretoria de proteção de dados (DPO), incluindo papéis e responsabilidades na gestão de relacionamentos com agentes reguladores externos.
  • Fluxo de dados - definir um roadmap de atividades priorizadas para modelagem do fluxo de dados ideal para preservação da proteção dos dados sensíveis e da privacidade, considerando inventário de processos, a natureza dos dados pré-avaliados e as avaliações de impacto à privacidade (PIA’s).
  • Impacto à privacidade - definir os componentes de privacidade a serem inseridos no design de todos os novos produtos e serviços, como sistema de TI, processos e contratos orientados pela mentalidade “Privacy by Design and by Default”.
  • Uso de dados - definir um método de uso de dados sensíveis baseado no consentimento e no uso legítimos, e registros auditáveis e sustentáveis.
  • Direitos do titular - definir direitos de acesso do usuário titular dos dados, incluindo acesso lógico a sistemas e aplicativos; direito ao esquecimento e à portabilidade de dados.
  • Proteção de dados - definir soluções para proteção de dados (confidencialidade, integridade e disponibilidade) em ativos de tecnologia envolvendo processos e controles de proteção, identificação, detecção e resposta às ameaças; tecnologias de aprimoramento de privacidade (PET); retenção de dados e incorporação técnica do conceito de “Privacy by Design”.
  • Prestação de contas - definir medidas a serem implementadas para garantir que as regras de proteção de dados sejam observadas e possam ser reportadas e evidenciadas junto às autoridades e aos titulares dos dados quando solicitadas para fins de comprovação de conformidade com a LGPD.
  • Gestão de terceiros - definir estrutura de orientação dos processos de processamento e troca de dados com terceiros como fornecedores, parceiros e contratados, incluindo gestão de riscos, contratos, monitoramento e relatório de conformidade.
  • Aplicações - definir componentes e processos de privacidade para adoção e desenvolvimento de aplicações.
  • Monitoramento e tratamento de incidentes - definir estrutura para monitoramento e resposta a incidentes que envolvam quebra de proteção de dados e privacidade, incluindo relatórios legais exigidos pela LGPD.
  • Conscientização e comunicação - definir processos e ferramentas de conscientização do capital humano e comunicação interna, que desenvolva a cultura da gestão do risco, da proteção dos dados e da privacidade, enquanto a comunicação externa estabelece um fluxo de comunicação com as autoridades e titulares dos dados para fins de conformidade.
  • Métricas, relatórios e dashboard - definir métricas relevantes para o escopo da proteção de dados e privacidade e em apoio ao modelo de governança implementado e comunicado através de um dashboard que conecta negócio a processos críticos, e estes, a ativos de informação.

    IMPLEMENTAR
  • Implementar os componentes do modelo integrado de governança de proteção de dados e privacidade definidos nas fases anteriores e capturadas no roadmap priorizado de atividades, orientado por um framework específico de gestão de riscos.  

Aplicação da LGPD

Nas relações de trabalho
Como o empregador é detentor de informações pessoais de seus empregados, ele deve observar a LGPD, sob pena de responsabilidade civil, além de ressarcimento de eventuais danos causados. Embora a lei autorize as empresas a usar os dados pessoais dos seus empregados e prestadores de serviços para a legítima execução dos contratos, em benefício do próprio trabalhador, não se pode desconsiderar cautela e observância das regras da LGPD em todas as suas fases, nos atos praticados antes da contratação, durante a vigência do contrato, nas terceirizações e após a rescisão dos contratos.

Nas relações comerciais e de consumo
A LGPD terá grande impacto nas relações comerciais e de consumo que exigem a coleta de dados, sobretudo diante da crescente tendência de tratamento de dados pessoais de clientes e consumidores com a finalidade de traçar seu perfil, identificando informações e extraindo conhecimento, em especial hábitos de consumo e condições financeiras e de crédito. A utilização dos dados pessoais deve estar relacionada ao negócio jurídico subjacente. E, salvo em caso de comprovado interesse público, fica vedada a troca de informações entre varejistas e empresas especializadas em bancos de dados.

Visão panorâmica

Como anunciado logo no início da leitura, há muito a ser feito em termos de volume, natureza, diversidade e profundidade das atividades para se atingir a conformidade com a Lei Geral de Proteção de Dados Pessoais, especialmente para aquelas organizações sem a fundação de governança e gestão de riscos de segurança da informação. É, de fato, muito mais do que os típicos escritórios de advocacia conseguem enxergar, do que os típicos fornecedores de software e hardware conseguem oferecer, e do que os típicos integradores e consultores de nicho conseguem implementar.

A melhor abordagem requer cooperação, multidisciplinaridade, priorização e coordenação. Uma abordagem garantindo os alicerces e realizando esse alinhamento relacionado à privacidade dos dados e poderemos, então, sonhar juntos com a dupla Privacy by Design e Security by Design.

Referências

Dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
2 Vinte anos. Fiz referência a esse período de tempo por ser o tempo médio decorrido desde que comecei a estudar o mercado de segurança da informação, publiquei meu primeiro livro e, portanto, passei a notar o gap entre as recomendações das normas especialistazadas e a maturidade do mercado, deixando evidente a dificuldade que é implementar um sistema de gestão de segurança da informação em sua plenitude.
3 Dados pessoais: informação relacionada à pessoa natural identificada ou identificável.
4 Dados anonimizados: informação relacionada à pessoa natural que não contem nenhum elemento de identificação ou que tem seus elementos de identificação encriptados.
Fontes consultadas: Lei 13.709/18; EY Website at https://www.ey.com/gl/en/industries/financial-services/ey--gdpr-demanding-new-privacy-rights-and-obligations; Apresentação da Isaca produzida por seu presidente Alfred Bacon; Machado Meyer Advogados; Estudos pessoais desestruturados antes mesmo do lançamento da norma europeia GDPR em maio de 2018. Contribuição e revisão: Lucas Carneiro e José Fontenelle.

  Box com o minicurrículo do especialista externo que contribuiu com o artigo relacionado à Lei Geral de Proteção de Dados Pessoais

 

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

Serpro LGPD
Serpro e LGPD:
segurança e inovação