Lei Geral de Proteção de Dados Pessoais – Como colocar em prática?

A relação de trabalho entre empregador, empregado e cliente é um assunto de extrema relevância no que diz respeito sobre a LGPD. Em vários trâmites dessa interação, em algum momento, todos poderão estar manuseando informações pessoais e privadas de terceiros.

A organização tem responsabilidade de conscientizar a sua equipe de trabalho e preparar a empresa em todos os níveis, para que os processos, políticas e documentações estejam ajustados às regras estabelecidas pela LGPD. A atenção entregue para essa situação deve ser levada muito a sério, pois quando a Autoridade Nacional de Proteção de Dados questionar as empresas sobre quais estão sendo as medidas preventivas e reativas sobre o manuseamento de dados pessoais, elas terão de demonstrar o que está sendo feito para que a troca de informações esteja sendo feita de forma segura.

A Lei Geral de Proteção de Dados não deve ser encarada como um processo único, mas sim como uma cultura que envolve toda a empresa. É uma ação que começa no jurídico, passa pela TI, pelos processos e, por fim, pelas pessoas. Para que se torne uma cultura, é preciso que esse não seja somente um processo automático no controle de documentos com dados pessoais, mas que também exista uma conscientização sobre quais os motivos que levam a existência da LGPD.

Nas relações de trabalho, quase todas as ações feitas trazem consigo informações pessoais em diversos setores de atuação, como no RH, financeiro, jurídico e administrativo. Uma maneira de controlar os riscos ao lidar com esses dados é restringir o acesso somente para pessoas autorizadas, com utilização de cadastros e senhas.

COMO ESTRUTURAR NA PRÁTICA UMA POLÍTICA DE PRIVACIDADE EM CONFORMIDADE À LGPD?

Afinal, para que serve uma Política de Privacidade?

A Política de Privacidade tem como objetivo aumentar a transparência e deixar o mais claro possível para seus usuários como funcionam os processos que envolvem a administração de dados pessoais. Vale ressaltar que a LGPD não se restringe ao tratamento dos dados coletados somente através de meios digitais, sendo propício aqui transcrever o conceito legal disposto na lei sobre TRATAMENTO: "Toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”.

A LGPD prevê que “o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados”. Portanto, dentro da Política de Privacidade é necessário conter: esclarecimentos sobre quais serão as finalidades dos dados colhidos; como será feita a operação; prazo estipulado; identificação, informações de contato e responsabilidades do agente que será o encarregado da tarefa.

Aqueles cookies que você aceita toda vez que acessa um site pela primeira vez, fazem parte da Política de Privacidade dos sites e empresas na adequação à LGPD. Nesse momento são informados quais dados serão captados, utilizados e quais serão as suas finalidades.

Ao utilizar dados pessoais, é necessário seguir o que é dito sobre os princípios dispostos no artigo 6º da LGPD: “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades” (...) “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. Ou seja, a finalidade da utilização dos dados pessoais deve estar clara na Política de Privacidade e a coleta deve ser na menor quantidade possível.

Quando não houver finalidade justificada da utilização de dados ou interesse plausível do titular, é necessário que o consentimento dele seja adquirido de alguma forma para que o tratamento das suas informações seja legal. Por exemplo, nas mensagens de promoções de produtos e serviços que são disparadas nos e-mails e celulares, é preciso que os usuários tenham aceitado recebe-las, e também que sejam fornecidas informações sobre como anular essas “assinaturas”.

COMO DISCIPLINAR E CONSCIENTIZAR A ORGANIZAÇÃO COMO UM TODO SOBRE A PRIVACIDADE DE UMA MANEIRA EFETIVA?

Como já dito antes, a adequação à LGPD é muito mais do que a utilização dos dados da maneira correta. Ela é uma cultura de segurança que envolve toda a instituição. Assim sendo, o conhecimento necessário para que práticas efetivas de privacidade sejam executadas efetivamente deve ser difundido em todos os níveis de uma empresa, com programas regulares de conscientização para o cumprimento das normas da LGPD. Ou seja, é necessário desenvolver uma cultura de segurança e privacidade. Algumas dicas para a implementação desse conceito são:

Inclua os diretores no planejamento – O poder de decisão vem de cima, então os diretores precisam estar alinhados para que os programas de conscientização tenha suporte financeiro e estratégico. 

Não deixe a conscientização para o final – Não trabalhe somente com processos automáticos sobre privacidade. Desde o início, trabalhe com o objetivo de fazer com que todos entendam o porquê da importância da privacidade de dados e como ela impacta no dia a dia da empresa e das pessoas. 

Use meios de comunicação internos na empresa para manter os colaboradores envolvidos com o tema, afinal, são eles que executarão as operações. Divulgue notícias e informações sobre a LGPD. 

Promova treinamentos para todos os níveis da organização – Organize palestras e workshops específicos para cada departamento, mas também gerais, para que o conhecimento seja transmitido por todos os setores. É importante manter a empresa alinhada por inteira com a cultura da privacidade.

GLOSSÁRIO LGPD

Esse é um assunto relativamente novo em nosso vocabulário, visto que a LGPD ainda está entrando em vigor de forma integral. É um tema muito abrangente, mas com vários termos específicos. Que tal uma lista com o significado de todos eles para te ajudar nesse processo diário de adequação?

Agentes de tratamento: o controlador e o operador.

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Autoridade Nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais.

Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável.

Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação.

Garantia da segurança de dados: ver garantia da segurança da informação.

Interoperabilidade: capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING).

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Tratamento: toda operação realizada com dados pessoais; como as que se referem a:

  • Acesso - possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados.
  • Armazenamento - ação ou resultado de manter ou conservar em repositório um dado.
  • Arquivamento - ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência.
  • Avaliação - ato ou efeito de calcular valor sobre um ou mais dados.
  • Classificação - maneira de ordenar os dados conforme algum critério estabelecido.
  • Coleta - recolhimento de dados com finalidade específica.
  • Comunicação - transmitir informações pertinentes a políticas de ação sobre os dados.
  • Controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado.
  • Difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados.
  • Distribuição - ato ou efeito de dispor de dados de acordo com algum critério estabelecido.
  • Eliminação - ato ou efeito de excluir ou destruir dado do repositório.
  • Extração - ato de copiar ou retirar dados do repositório em que se encontrava.
  • Modificação - ato ou efeito de alteração do dado.
  • Processamento - ato ou efeito de processar dados.
  • Produção - criação de bens e de serviços a partir do tratamento de dados.
  • Recepção - ato de receber os dados ao final da transmissão.
  • Reprodução - cópia de dado preexistente obtido por meio de qualquer processo.
  • Transferência - mudança de dados de uma área de armazenamento para outra, ou para terceiro.
  • Transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.
  • Utilização - ato ou efeito do aproveitamento dos dados.

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados. 

Fonte: serpro.gov.br

A sua empresa ainda não possui uma metodologia para estabelecer uma cultura da segurança e privacidade de dados? Nossos especialistas PLSS estão prontos para te auxiliar nesse processo. Entre em contato!

Mais lidos

Veja também os artigos mais lidos da semana.