CONSULTORIA LGPD
Lei Geral de Proteção de Dados Pessoais

Os projetos de implementação dos controles exigidos pela Lei Geral de Proteção de Dados Pessoais (LGPD), envolvem uma equipe multidisciplinar do ponto de vista Operacional, Tático e Estratégico dentro das organizações.

A seguir, uma visão resumida dos principais papéis e responsabilidades por área:

• Áreas de Negócio:
  • Conscientização
  • Apoio Estratégico, Tático e Operacional dos trabalhos a serem desenvolvidos
  • Data Mapping – Apoio no Mapeamento dos Dados Pessoais
  • Ajustes nos processos atuais
  • Análise de Privacidade em novos processos

• Encarregado – Compliance:
  • Avaliação de maturidade (GAP Analysis com a LGPD)
  • Canal de comunicação com os titulares dos dados e ANPD (externo)
  • Realização e/ou apoio na elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
  • Desenvolvimento e/ou apoio na elaboração das Políticas e Procedimentos envolvidos na LGPD
  • Canal para dúvidas e entendimentos (interno)

• Jurídico:
  • Análise das legislações complementares à LGPD
  • Definição das bases legais para os tratamentos realizados
  • Apoio na estruturação da Política de Privacidade e de seus procedimentos
  • Tratativa de reclamações junto a ANPD e/ou Sistema Judiciário

• Tecnologia da Informação e Segurança da Informação:
  • Estruturação da Segurança Tecnológica (firewall, antivírus, backup, criptografia, DLP, gestão de acessos, VPN e outros)
  • Manter a Disponibilidade e Infraestrutura
  • Adotar o By Desing e By Default nos projetos envolvendo o Tratamento de Dados Pessoais ou Dados Sensíveis
  • Apoiar o Encarregado nos temas referentes à LGPD
  • Parametrizar os sistemas, servidores e aplicações para permitir a Extração dos Relatórios, a fim de atender aos Direitos dos Titulares de Dados (Art. 18)

Outro fator importante é entender que o apoio da alta administração é de suma importância para o êxito deste tipo de projeto, visto que poderá exigir mudanças culturais, mudanças em processos de negócio, até a alteração de atividades operacionais que são realizadas.

Os projetos de LGPD irão entregar ao cliente uma linha base (baseline) de estrutura e modo de atuação da LGPD, e cabe a cada cliente manter esta linha base, buscar a evolução contínua do compliance com a LGPD e elevar seu nível de maturidade atual.

A LGPD não é um projeto para as empresas, e sim uma estrutura de Gestão de Dados Pessoais que irá envolver Políticas de Privacidade e Uso dos Dados Pessoais, ajustes em processo de negócio, elaboração de procedimentos operacionais, até critérios de governança, gestão e operação destes dados pessoais.

Após a ANPD entrar em vigor e começar a elaborar normas, relatórios e baselines, provavelmente, serão necessários pequenos ajustes no modus-operandi em relação à LGPD dentro das organizações.

1. Observar a boa-fé. A LGPD aborda, diversas vezes, que o Controlador deverá observar a boa-fé na hora de realizar o tratamento de dados pessoais; inclusive, a ANPD poderá analisar a boa-fé do infrator na hora de aplicar as sanções administrativas.
2. 1. O que seria considerado boa-fé? Atuar com ética, respeito, transparência e honestidade. Ou seja, se a empresa solicitou o consentimento do titular para realizar a ‘atividade x’, ela não deve utilizar estes dados para realizar a ‘atividade y’. Este é um exemplo claro da boa-fé.
   2. Outro exemplo, se o titular solicitou a exclusão dos dados que eram utilizados pela empresa para enviar marketing, realmente remova estes dados, caso contrário, terá que se explicar para a ANPD.

2. Ser Transparente. A palavra transparência é encontrada 5 vezes na LGPD e possui a seguinte definição: “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial”.
   1. Na prática, significa realizar o mapeamento dos dados tratados, verificar dados em excesso ou não condizente com aquele processamento, realizar os ajustes necessários em processos de negócio, sistemas, capacitação, entre outros fatores relevantes para que a empresa se torne transparente para o titular dos dados.

3. Agir – Mudar: A LGPD irá obrigar as empresas a mudarem seus processos de negócio, a forma que coletam dados e como são coletados, a ajustarem seus sistemas e procedimentos internos e, principalmente, a criarem uma nova estrutura para atender aos ‘direitos dos titulares dos dados’. O quanto antes as empresas e o Encarregado / DPO entenderem isso, melhor será.

4. Estruturar os controles: Se a empresa (Controlador) utilizar os três conceitos acima expostos, metade do caminho já está traçado, faltando o desenvolvimento das políticas, processos e procedimentos relacionados à LGPD, entre eles:
   1. Data Mapping (mapeamento dos dados pessoais): tem a finalidade de realizar um inventário dos dados, detectar excessos ou tratamentos não condizentes com a LGPD, servir como base para a análise dos controles de segurança da informação e a definição das bases legais para cada tratamento realizado.
   2. Ajustes tecnológicos: A LGPD irá exigir que a empresa ajuste seus sistemas tecnológicos, banco de dados, inventarie os ‘dados não estruturados’, crie integrações para realizar a extração dos dados e/ou sua exclusão, entre outros fatores tecnológicos como, firewall, antivírus, registros de eventos e logs e criptografia.
   3. Minimização e Anonimização dos dados: Adotar os princípios de coletar somente o necessário e crucial para desempenhar aquele processo. Excluir dados excessivos ou não necessários para a finalidade em questão. Sempre que possível, utilize a anonimização dos dados para realizar os estudos, estatísticas e gráficos necessários para a tomada de decisão. É importante destacar que com a anonimização, a empresa poderá realizar qualquer atividade sem precisar “respeitar” a LGPD, uma vez que os dados anonimizados perdem sua característica de identificar ou tornar identificável uma pessoa (titular dos dados).
5. By Design e By Default: Adotar as técnicas e medidas de proteção desde a concepção do projeto e analisar a segurança da informação de ponta a ponta. As técnicas de By Desing e By Default são excelentes recursos para desenvolver os sistemas com a óptica do titular dos dados e, desde o começo, já pensar nos dados a serem coletados, na sua base legal, nos critério de segurança, no servidor que será hospedado, nos terceiros (operadores) que terão acesso às informações, entre outros.

6. Treinamentos: Capacitar, treinar e explicar as novas regras da LGPD para os colaboradores, gestores e diretoria é uma das atividades mais importantes dentro da LGPD, uma vez que irá gerar o engajamento necessário para uma ‘mudança de cultura’ dentro da organização (Controlador) e/ou terceiros (Operador).

7. Política de Privacidade de Dados: Estruturação das diretrizes que irão guiar a empresa nas ações, responsabilidades e estruturas que precisam ser seguidas para a conformidade com a LGPD.

8. Procedimentos: A LGPD irá exigir a estruturação de diversos procedimentos, entre eles, RIPD (Relatório de Impacto à Proteção de Dados Pessoais); procedimentos de atendimento às solicitações dos titulares e de notificação de incidentes de segurança da informação.

Conforme consta no artigo 41 da LGPD, por via de regra, a resposta é sim. Mas, poderá existir a flexibilização da dispensa do Encarregado, conforme consta no parágrafo 3º do artigo 41. A ANPD poderá decidir com base na natureza e porte da empresa ou no seu volume de dados pessoais processados, se caberá ou não a dispensa do Encarregado (DPO).

Existe uma possibilidade de a ANPD aplicar os mesmos critérios ou similares aos estabelecidos no Regulamento Geral de Proteção de Dados Pessoais (GDPR), visto que as Leis possuem uma grande convergência.  

Na GDPR ou RGPD como é conhecida em Portugal, no seu artigo 37 define os critérios em que a empresa (controlador) precisará nomear um Encarregado.

A seguir, uma visão resumida do artigo 37 da GDPR:

• O tratamento for efetuado por órgão público, excetuando os tribunais no exercício da sua função jurisdicional;
• As atividades principais do Controlador (empresa) ou Operador (terceira) consistam em operações de tratamento de ‘dados pessoais’ e/ou ‘dados pessoais sensíveis’ em grande escala.

Resposta: Não.

Na LGPD, por meio do seu artigo 41, parágrafo 2, inciso IV é possível verificar que uma das atividades do Encarregado é: “Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares”, ou seja, o Encarregado pode ter outra atividade dentro da organização, se assim for a decisão do Controlador.

Esta flexibilização é necessária para empresas de pequeno ou médio porte, que não teriam recursos financeiros para contratar uma pessoa exclusiva para a função, ou até mesmo que teria ociosidade em atuar somente com o tema LGPD.

Outro ponto importante é que o Controlador pode nomear um Encarregado como empresa terceirizada. Ou seja, o Encarregado não precisa ser uma pessoa natural, pode ser uma empresa especializada que forneça este tipo de serviço. Fora do Brasil este serviço é conhecido como DPO As a Service (Encarregado como Serviço).

A resposta para esta pergunta irá variar de empresa para empresa, principalmente pelo tipo de tratamento realizado e porte da empresa.

A seguir, uma visão genérica separada por porte de empresa:

Empresa de pequeno porte:

• O responsável pelo setor de TIC
• O responsável pelo Jurídico
• O Gerente Geral

Empresa de médio porte:

• O Encarregado pelo Tratamento de Dados Pessoais
• O Coordenador de Compliance
• O Gerente de Riscos Corporativos
• O Supervisor de Segurança da Informação
• O Gerente de Controladoria

Empresa de grande porte:

• Idem ao cenário de empresas de médio porte
• O Chief Information Officer (CIO)
• O Chief Information Security Officer (CISO)
• O Gerente de Auditoria Interna / Controles Internos

Observações importantes:

1. Se o core (atividade principal) da empresa for realizar o tratamento de dados pessoais de forma sistêmica, em larga escala ou tratar de dados sensíveis, é recomendável criar uma área ou setor com demais colaboradores, para que a ‘figura’ do Encarregado – DPO tenha condições de desempenhar seu papel na plenitude. O quanto mais alto esta área ou setor se reportar dentro da organização, melhor.
2. Em casos de Incidentes de Segurança da Informação que possam gerar um alto risco para o titular dos dados, as qualificações deste Encarregado e de sua equipe devem ser condizentes com o cenário em questão (qualificações e experiências necessárias para atender aos requisitos do negócio).
3. Caso a empresa defina como base legal o legítimo interesse, trate dados sensíveis ou em larga escala, é recomendável realizar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

Resposta: Não. A multa é de até 2% do faturamento, podendo chegar, no limite de R$ 50 milhões. Ou seja, a empresa precisa faturar acima de R$ 2.5 bilhões para ter a multa aplicada neste valor máximo.

O valor exato da multa irá depender da gravidade do incidente e da situação como um todo (dosimetria), a qual será analisada pela Autoridade Nacional de Proteção de Dados (ANPD).

No artigo 52 da LGPD é possível analisar quais são as sanções administrativas, começando por advertência, notificação e prazo para regularizar, passando pela multa simples, os 2% do faturamento, publicização da infração (tornar pública a infração), até, em casos mais graves ou recorrentes, a suspensão do banco de dados ou a proibição das atividades.

O parágrafo 1º do artigo 52 deixa claro que a ANPD irá levar em conta vários critérios para aplicar a sanção administrativa, entre eles, a gravidade do incidente, a boa-fé da empresa, a condição econômica da empresa, a reincidência, o grau de impacto e prejuízos causados, entre outros.

O RIPD ou PIA (Privacy Impact Assessment) como é conhecido fora do Brasil, é um documento que o Controlador deverá elaborar quando solicitado pela Autoridade Nacional de Proteção de Dados (ANPD).

Na LGPD, é possível observar alguns cenários em que podem ser solicitado o Relatório de Impacto à Proteção de Dados Pessoais, sendo eles:

• Quando o fundamento para tratamento de dados pessoais (base legal – Art. 7°) for definido como ‘Interesse Legítimo’, observado os segredos industrial e comercial
• Quando ocorrer infração pelo Poder Público, a ANPD poderá solicitar o RIPD
• A ANPD poderá solicitar de qualquer Controlador que elabore o RIPD, especialmente se o tratamento gerar alto risco para o Titular, se for realizado em grande escala ou tratar dados sensíveis

O documento RPID deverá conter, no mínimo:

“descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados” – Art. 38 da LGPD

A elaboração de RIPD pelas empresas, apesar de não ser obrigatória, neste momento, é de grande importância, visto que irá demonstrar a boa-fé, preocupação com o tratamento de dados pessoais e mapear os principais riscos envolvidos naquele Tratamento

Não existem premissas claras e objetivas para as empresas, até porque cada empresa está inserida em um contexto, um ramo de atuação e contém suas especificidades.

Algumas boas práticas de mercado são recomendáveis, entre elas:

• Apoio dos executivos (alta administração) para implementar as mudanças necessárias para atender aos critérios da LGPD
• Processos de Negócio mapeados
• Área de TIC estruturada e com recursos para implementar os controles exigidos pela LGPD
• Equipe (interna ou externa) de Segurança da Informação e Jurídica
• Controles técnicos de TI implementados
• Sistemas de Gestão (ERP, CRM, LMS) corporativos

Neste artigo: https://www.pdcati.com.br/antes-da-lgpd-os-controles-basicos-de-tic/ são apresentados os principais conceitos tecnológicos necessários para a conformidade com a LGPD e aderência com as boas práticas de mercado (ISO 27001)

Resposta:

1° – Se a sua empresa realiza o ‘tratamento’ de dados pessoais e/ou dados pessoais sensíveis, podendo ser, de colaboradores, sócios, terceiros, entre outros, a resposta é sim; sua empresa precisa implementar as exigências da LGPD.

“Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional…”

Existem exceções para que o tratamento seja realizado sem observar os artigos da LGPD, sendo eles:

“Esta Lei não se aplica ao tratamento de dados pessoais:

I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II – realizado para fins exclusivamente:

1. b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III – realizado para fins exclusivos de:

a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais …” (Art 4. LGPD)

O ponto chave para dirimir dúvidas em relação à aplicação ou não da LGPD na sua empresa, consistem em três análises simples:

1. Sua empresa realiza algum tratamento de dados pessoais?
   1. Sim -> Se enquadra na LGPD.
      1. Consultar a próxima pergunta.
   2. Não -> A LGPD não se aplica na sua empresa.
2. Sua empresa se enquadra nas exceções do artigo 4° da LGPD?
   1. Sim -> A LGPD não se aplica na sua empresa.
   2. Não -> Se enquadra na LGPD.
3. Sua empresa presta serviços que trate dados pessoais de outra empresa?
   1. Sim -> Se enquadra na LGPD. Neste caso, sua empresa é um Operador perante à LGD.
   2. Não -> A LGPD não se aplica na sua empresa.

Se as suas respostas foram: 1° = Não; 2° = Sim ou 3° = Não. Sua empresa, *em tese, não precisa implementar as diretrizes da LGPD.

*em tese = Esta explicação não tem caráter de consultoria. A análise e deliberação se a LGPD se aplica ou não na sua empresa, deve ser realizada pelos gerentes, diretores e demais envolvidos.

É importante compreender que a LGPD trouxe novos direitos aos titulares dos dados, conforme artigo 18° da LGPD. Por meio deste artigo, qualquer pessoa natural (pessoa física), poderá solicitar para qualquer empresa, informações sobre os seus dados pessoais. 

Nos artigos 9° e 18° da LGPD, é possível analisar os direitos dos titulares dos dados, que consistem em obter do Controlador as informações necessárias para exercer seus direitos.

O artigo 9° é direcionado para os direitos dos titulares antes de iniciar um relacionamento com uma empresa (Controlador):

• Finalidade específica para qual a empresa realiza o tratamento dos dados pessoais daquele titular
• Qual é a forma deste tratamento (ambiente físico, virtual, sistêmico, etc.) e a duração do mesmo
• Informações de contato do controlador e/ou do uso compartilhado com operadores (terceiros)
• Quais são as responsabilidades dos agentes (Controlador e Operador) que realizarão o tratamento

O artigo 18° aborda os direitos dos titulares do ponto de vista das empresas em que o titular já tem um relacionamento. As seguintes informações podem ser solicitadas pelo Titular ao Controlador:

• Solicitar ao Controlador se ele realiza ou não algum tratamento com os seus dados pessoais;
• Pedir acesso aos dados para verificar estas informações tratadas pelo Controlador;
• Solicitar correção de dados incompletos, desatualizados ou inexatos;
• Solicitar que o Controlador elimine, bloqueie ou anonimize os dados desnecessários, excessivos ou tratados em desconformidade com a Lei. Exemplo:
  • O controlador solicitou seus dados de cadastro para emitir uma nota fiscal do produto e está utilizando estes dados para outras finalidades, como marketing, compartilhamento com terceiros, definição de perfil de cliente.
• Solicitar a revogação ou a eliminação dos dados que estão sendo tratados com base no consentimento do titular, pelo Controlador, exceto para atendimento de obrigações legais ou regulatórias.

O recomendado é que a empresa possua um sistema de chamados, muito utilizado e conhecido pelo departamento de TIC. Desta forma, a chance de a solicitação cair no esquecimento ou não ser realizada é reduzida, já que o chamado fica ‘em aberto’ e é possível acompanhar seu SLA (Acordo de Nível de Serviço), status, interações realizadas, entre outros.

Caso a empresa não possua um sistema de chamados, será possível criar um canal de solicitações por meio de um e-mail (Ex.: [email protected]) e realizar o acompanhamento e tratativas pelo mesmo. Se o volume de solicitações for elevado, será necessário estruturar o sistema de chamados.

O que é importante estruturar no sistema de chamados para atender às solicitações?

Como existem prazos para retornar ao titular de dados, estruturar o SLA (Acordo de Nível de Serviço) de resolução é muito importante. Outros fatores são relacionados à estruturação das categorias para a abertura correta do chamado, a forma que será feita a comunicação com o titular, as integrações necessárias, até a pesquisa de satisfação do atendimento. A pesquisa de satisfação será um bom instrumento para que a gestão acompanhe a qualidade dos serviços prestados pelos envolvidos.

O artigo 19° da LGPD aborda dois tipos de prazo que o Controlador deverá responder quando o Titular solicitar: confirmação de existência ou o acesso a dados pessoais, sendo estes prazos:

• Em formato simplificado, imediatamente. Ou seja, o Controlador precisa enviar de imediato um relatório simplificado para o titular. As informações contidas neste relatório irão depender da solicitação feita pelo titular, mas, no geral, poderá conter:
  • Os dados do Controlador (nome, endereço, telefone, CNPJ)
  • O ramo de atuação e uma breve explanação da empresa
  • O nome e os dados de contato do Encarregado pelo Tratamento de Dados Pessoais
  • Apresentar, de forma objetiva, se a empresa trata algum dado pessoal daquele titular (sim/não)
  • Explicar, superficialmente, os dados que são tratados, o motivo daquele tratamento e os principais critérios de segurança estabelecidos
  • Apresentar os links da Política de Privacidade de Dados e demais políticas relevantes para o contexto
  • Solicitar para o Titular um retorno (feedback) se as informações foram suficientes ou não, e se a solicitação pode ser encerrada.

• Por meio de declaração clara e completa. Ou seja, o Controlador precisa enviar ao titular dos dados as seguintes informações, em até 15 dias:

Seguir os mesmos critérios estabelecidos para o ‘formato simplificado’ e adicionar:

• A origem destes dados (como o controlador obteve aqueles dados)
• Quais são os dados coletados do titular (Ex.: Nome completo, CPF, Endereço, E-mail, Rendimentos, Estado Civil, etc.)
• Categorias dos dados
• Quais os tipos de tratamentos realizados (Ex.: Cadastro, Emissão de Nota Fiscal, E-social, Envio de propaganda digital, etc.)
• Para atender à qual finalidade e com qual base legal é realizada cada tratamento
• Apresentar a base legal daquele tratamento

• Quais Operadores têm acesso aos dados e para qual finalidade
• Qual foi ou será o prazo para encerrar o tratamento de dados
• Qual foi ou será o prazo em que os dados serão excluídos da empresa
• Se existe ou não os registros (logs) destes tratamentos
• Os riscos associados aos tratamentos realizados para o titular
• Apresentar os demais procedimentos, critérios de segurança e informações relevantes para o contexto da requisição do titular

Obs.: O envio deste relatório poderá ser em formato eletrônico (seguro), ou sob forma impressa, a critério do titular. 

Antes da LGPD entrar em vigor, só existia a possibilidade de solicitar a portabilidade de seus dados para alguns cenários específicos, entre os mais conhecidos, planos de saúde, financiamento bancário e seguros.

Com a aprovação da LGPD, assim que acabar o período de vacância (vacatio legis), será possível solicitar para qualquer empresa que você tenha relacionamento, a portabilidade de seus dados para outra empresa, inclusive para um concorrente.

Porém, para que esta portabilidade seja atendida pela empresa, a base legal para o tratamento tem que ser: 1 – Consentimento do Titular ou 2 – Execução de Contrato, conforme consta no parágrafo 3° do artigo 19° da LGPD:

                “Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.”

Obs.: Pendente da ANPD definir os ‘termos de regulamentação’.

Como exemplo prático, poderíamos ter o seguinte cenário (caso hipotético):

• Academia de Ginástica: João treina há 2 anos na academia XPTO e, mensalmente, são realizados exames de desempenho físico, entre eles, massa corporal, peso, taxa de performance, desempenho e outros.
• João resolve sair da academia XPTO e ir para academia ABC, porém João não quer perder seu histórico de evolução e desempenho.
• João poderá solicitar para academia XPTO o seu histórico de desempenho e levar estes dados para a nova academia. Desta forma, João irá continuar acompanhando sua evolução.