Por Rafael Marques (Advogado Sócio da Marcos Inácio Advocacia Empresarial)
Em tempos de sistemas de informação digital e de ferramentas de armazenamento de dados pessoais, devemos nos preocupar com a proteção e manutenção da confidencialidade dessas informações.
Os dados pessoais já são considerados o “novo petróleo” do mundo, pois a utilização analítica dessas informações permite observar padrões, comportamentos e traçar a personalidade dos indivíduos que figuram no mercado de consumo, gerando riqueza para as empresas.
Há pouco tempo tivemos a aprovação do primeiro compilado de regras, disciplinando especificamente a proteção de dados pessoais no Brasil. Eis a atual e, ainda, enigmática Lei Geral de Proteção de Dados – LGPD.
Muito embora a lei ainda não esteja em vigor, tendo em vista que a previsão legal de vigência foi fixada para Agosto de 2020, há muito trabalho para as empresas que realizam operações com dados pessoais implementarem à conformidade legal ao sobredito marco regulatório.
Isso porque o processo de implementação da conformidade legal à LGPD engloba não apenas o mapeamento, inventário, classificação dos dados e elaboração de políticas. É necessário a definição dos papéis dentro das organizações, a conscientização e o treinamento contínuo dos colaboradores e da alta direção.
É fundamental rever processos e procedimentos, criar trilhas auditáveis, atualizar contratos com aqueles que a lei chama de “operadores” e de “titulares de dados pessoais”.
E não por menos, a empresa precisa ficar consciente de que deve está preparada para gerenciar um eventual vazamento de dados.
Mas para tudo isso, é necessário a realização de uma metodologia preliminar que permita avaliar e identificar os riscos associados aos processos existentes nas operações que processem dados.
Algumas atividades econômicas, porém, terão a necessidade de elaboração de um “relatório de impacto à proteção de dados”, sempre que o tratamento dos dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais.
O respectivo relatório nada mais é do que um processo dentro da organização que deve ser realizado para descrever os tratamentos, analisar as necessidades e dimensões desses tratamentos, com o objetivo de gerir os riscos para os titulares de dados pessoais.
Merece destaque para as empresas (Ex: hospitais, clínicas e laboratórios) que realizem operações com dados pessoais sensíveis, que são aqueles de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Um adequado modelo de avaliação de riscos deve cumprir pressupostos bases, como por exemplo: (i) Os processos e procedimentos devem ser auditáveis; (ii) deve haver a indicação de medidas aptas a realizar a mitigação de desconformidades com a LGPD; (iii) o modelo de avaliação de riscos deve facilitar a criação e manutenção dos processos organizacionais que envolvem o tratamento de dados, de modo que não seja um entrave.
Assim, para a realização de um alinhamento de conformidade com a LGPD, no que se refere a avaliação de riscos, propõe-se um modelo baseado nas seguintes fases:
Não foi fornecido texto alternativo para esta imagem
A perspectiva de entrada ingressa pela avaliação de criticidade, pois é nela que a Empresa inicia o processamento dos dados pessoais.
Empós a finalização da sobredita fase, realiza-se a avaliação de maturidade do processo em relação à Lei Geral de Proteção de Dados, bem como aos controles de segurança (físicos, técnicos e administrativos) que estão relacionados aos pontos relevantes para o tratamento de dados pessoais.
Os primeiros controles de seguranças servem como medidas de segurança, para deter ou evitar acesso não autorizado aos dados pessoais dos titulares de dados, tais como: (i) Câmeras de vigilância; (ii) biométrica para o reconhecimento de indivíduos e etc.
Já os controles técnicos utilizam tecnologia para controlar o acesso aos dados pessoais, incluindo: (i) Criptografia; (ii) Listas de controle de acessos e etc.
O último controle de segurança, um dos pontos mais críticos, são os controles administrativos, que são aqueles que definem os fatores humanos da segurança de uma organização. Esse controle envolve todos os níveis de pessoal de uma organização e determina o escalonamento de usuários e acesso a quais recursos e informações, através de: (i) Treinamento e conscientização; (ii) Preparação para desastres e planos de recuperação e etc.
Voltando as avaliações, após a avaliação de maturidade, a empresa conseguirá conhecer o que já está em conformidade com a lei geral de proteção de dados e o que ainda é necessário implementar. Fixada essa avaliação, será possível dá seguimento à fase de avaliação dos riscos através da elaboração de um “relatório de impacto à proteção de dados.
Após as fases acima narradas, a empresa deve seguir para a validação do risco, que significa: quais os riscos ela está preparada e disposta a assumir e gerenciar? Quais são necessários mitigar? E quais são riscos aceitáveis?
Portanto, é evidente que uma análise dos riscos em alto nível quanto ao tratamento de dados pessoais dentro das empresas é de fundamental importância, mormente pelos impactos que a Lei Geral de Proteção de Dados pode trazer, que não fica apenas na ordem econômico-financeira, mas também na reputacional, tendo em vista que um eventual vazamento de dados pessoais pode acarretar um real entrave para a realização de novos negócios.