Adequação à LGPD e a Importância do DPO

Desde o momento em que o homem saiu da caverna sua evolução foi constante e crescente, sempre movido por um elemento central no seu desenvolvimento, passando pela agricultura, industrialização e pós-industrialização, a informação é hoje o motor que move nossa evolução. Estamos em um período chamado pelos especialistas de “Tempestade Perfeita”¹, uma soma de crescimento da capacidade de armazenamento de dados, os chamados Big Data, o avanço do poder de processamento e o surgimento cada vez maior de Modelos de Aprendizagem de Máquinas. Neste cenário os Dados, aos quais a LGPD define como Informação relacionada a pessoa natural identificada ou identificável, se tornaram a matéria prima mais valorizada, manipulada e comercializada. Como consequência natural veio as normas e convenções para padronizar, organizar e proteger esses Dados.

O Brasil já dispunha de leis que protegiam os Dados, mesmo que de maneira implícita, como é o caso do artigo 5º, inciso XII, Constituição Federal 1988 que diz: “É inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal”; mas foi com o advento da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD)² que os Dados passou a ser contemplado explicitamente como bem jurídico tutelado pelo Estado. A referida lei esteve na pauta do legislativo brasileiro por mais de uma década, mas após a promulgação da General Data Protection Regulation (GDPR) ³ da União Europeia e casos como da Cambridge Analytica⁴ e Edward Snowden⁵ foi que a LGPD finalmente foi votada e sancionada, entrando em vigor em 01 de agosto de 2021 sendo hoje a Lei que rege as diretrizes sobre Dados no Brasil.

A LGPD busca equilibrar privacidade com desenvolvimento econômico. Desta forma toda pessoa jurídica ou física, nomeado pela LGPD de Controlador, que precisa ou deseja manipular dados, deverá se adequar as regras da LGPD, regras essas que se descumpridas acarretam desde advertência até a suspensão total das atividades relacionadas ao tratamento dos Dados, passando por multas e publicização da infração. Essa adequação preferencialmente deve ser implementada na concepção da aplicação, quando não, deve ser implementada o quanto antes a fim de se evitar qualquer descumprimento legal. O processo de adequação poderá ser complexo ou simples a depender do porte do Controlador, em todos os casos é aconselhável que se siga alguns passos para otimizar o processo⁶.

- O primeiro passo da adequação é a conscientização da equipe, o Controlador deve promover e incentivar uma cultura de respeito à privacidade da pessoa a quem se refere os dados objetos de tratamento, pessoa essa nomeada pela LGPD como Titular. Tal cultura é necessária pois, uma vez internalizada, todo o processo de adequação e posterior gestão se dará de maneira natural e dinâmica. Busca de informação e investimento em capacitação de funcionários e colaboradores refletirá diretamente na formação da cultura de Proteção de Dados ⁷.

- O segundo passo será a formação de um comitê multidisciplinar de adequação à LGPD. Esse comitê deverá ser formado por membros com conhecimentos na própria Lei de Proteção de Dados, conhecimentos nas tecnologias usadas para o tratamento de dados e conhecimentos do negócio no qual a aplicação está sendo adequada. Para a formação desse comitê é importante destacar os atores elencados pela LGPD, além do Titular e Controlador a Lei também conceitua em seu artigo 5º a figura do Operador e do Encarregado.

 Art. 5º ...

V - Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); 

           Não há impedimentos para as funções de Operador e Encarregado serem acumuladas em um mesmo agente, sendo inclusive a escolha mais comum. Esse agente necessariamente deverá estar ciente de todo o processo de tratamento de Dados realizado pelo Controlador, desde a coleta até a eliminação passando por todos os níveis de manipulação. Deverá ser um profundo conhecedor da LGPD, seus princípios, fundamentos e legislações relacionadas, além de ter habilidades em comunicação e elevado senso de ética. Nomeado de DPO, do inglês Data Protection Officer (Encarregado de Proteção de Dados), o profissional nessa função atuará durante todo o ciclo de vida da aplicação orientando o Controlador sobre os requisitos a serem atendidos, atuando na defesa dos interesses do negócio e concretizando os direitos dos Titulares ⁸.

           - O terceiro passo será o mapeamento do fluxo de Dados. Também chamado de data mapping ou inventário de Dados o mapeamento do fluxo de Dados consiste em um documento que irá direcionar todo o processo de adequação, nele conterá o tipo de Dado e todo o trajeto percorrido por ele, além de informações como volume de Dados, etapas do fluxo, locais de armazenamento e tratamento, grau de compartilhamento e protocolos de segurança. Esse documento é de extrema importância pois será a partir dele que serão definidos requisitos, políticas e práticas a serem adotadas pelo Controlador, sendo assim, o trabalho minucioso e complexo que envolve a elaboração de um mapeamento de fluxo não deve ser encarado como inconveniente, mas como uma oportunidade de sistematizar e otimizar o tratamento de Dados⁹.

           - O quarto passo trata de identificar a base legal para o tratamento de Dados. A LGPD autoriza o tratamento de Dados desde que atendidas uma ou mais das dez bases legais elencadas por ela. Bases legais são hipóteses que condiciona o uso de Dados, não se fundamentar em uma dessas bases constitui infração da lei, por outro lado, atender uma ou mais base legal trará segurança jurídica ao Controlador¹⁰. No artigo 7º da Lei de Proteção de Dados vemos:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

           - O quinto passo, depois de identificadas as necessidades, será a adoção de medidas de implementação. Neste ponto deve ser revisado documentos internos e externos, contratos e políticas de privacidade, avaliar e reforçar medidas de segurança, eliminar Dados inúteis ou redundantes, elaborar e documentar medidas de governança e boas práticas. Em atendimento à Lei deve ainda ser implementado um canal de atendimento e resolução de demandas dos Titulares, bem como nomear um DPO para atuar como canal de comunicação entre o Controlador e a Autoridade Nacional de Proteção de Dados (ANPD), caberá também a ele aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de Dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares ¹¹.

           Seguindo esses passos a aplicação se adequa as exigências da LGPD evitando sanções administrativas além agregar confiabilidade ao Controlador e sua atividade. A adequação deve ser realizada de maneira cuidadosa e por profissionais qualificados levando em consideração que o valor de retorno será imensamente maior daquele despendido. A LGPD não se traduz em ônus, pelo contrário a Lei veio para suprir uma lacuna legal que surgiu naturalmente com a evolução tecnológica. Em uma época em que Dados são coletados sem mesmo que o Titular perceba é preciso que uma cultura de responsabilidade e ética seja cultivada e a Lei de Proteção de Dados veio auxiliar nesse sentido. Os Controladores devem encarar a Lei como um novo e positivo paradigma, se conscientizando de seus princípios e se posicionando de maneira mais transparente frente aos seus clientes, colaboradores e parceiros. O DPO por sua vez se destaca neste cenário por ser o profissional dotado de habilidades técnicas e pessoais que exercerá uma função essencial na implementação ou adequação de qualquer aplicação. Se o uso responsável dos Dados for a próxima fase da evolução social será ele, o DPO, que estará no ponto central.

           Para saber mais sobre a Lei de Proteção de Dados acesse os cursos sobre o tema oferecidos aqui pela DIO:

https://web.dio.me/browse?editorial=9b8b2b87-299e-4c66-a60b-16e041286b79&page=1 

Referências/Links úteis

1 - Data Science Academy - https://www.deeplearningbook.com.br/deep-learning-a-tempestade-perfeita/ Acessado em 08/06/2022.

2 - Planalto.Gov - http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm - Acessado em Acessado em 08/06/2022.

3 - Euro-Lex.eu -

https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679 – Acessado em Acessado em 08/06/2022.

4 - G1.com - https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-politico-de-dados-que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-autoridades.ghtml - Acessado em 08/06/2022.

5 - G1.com - https://g1.globo.com/mundo/noticia/2013/07/entenda-o-caso-de-edward-snowden-que-revelou-espionagem-dos-eua.html - Acessado em 08/06/2022.

6 - Serpro -

https://www.serpro.gov.br/lgpd/governo/como-se-adequar-lgpd - Acessado em 08/06/2022.

7 - Governo Federal -

https://www.gov.br/dnit/pt-br/acesso-a-informacao/protecao-de-dados-pessoais-lgpd/cartilha_lgpd_2021.pdf - Acessado em 08/06/2022.

8 - Migalhas - https://www.migalhas.com.br/depeso/334386/a-importancia-do--dpo--na-gestao-de-dados-empresariais - Acessado em 08/06/2022.

9 - Privacy Acadamy - https://privacyacademy.com.br/manual-de-data-mapping - Acessado em 08/06/2022.

10 - Migalhas - https://www.migalhas.com.br/depeso/364471/o-menu-de-bases-legais-da-lgpd - Acessado em 08/06/2022.

11 - Governo Federal - https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd - Acessado em 08/06/2022.