Foto: Pixabay/Pexels Antes de começarmos a dar visão do que eu considero privacidade maquiada, vamos entender um dos principais artigos da LGPD, o Art. 6º, que fala sobre os princípios.
O Art. 6º é um dos principais da LGPD, pois a partir dele diversas iniciativas nas medidas de proteção podem ser motivadas através dos seus incisos. O Art. 6º também é um grande motivador à sustentabilidade de um programa de privacidade.
Vamos dar alguns exemplos simples:
- Inciso VI - Transparência: Atendido, porém não limitada a essa medida, pelas famosas políticas e avisos de privacidade nos canais de acesso pelos titulares. É o que chamamos de medida organizacional.
- Inciso VIII - Prevenção: Esse inciso é fundamental. Levando em consideração um ponto de vista bem claro, ele está diretamente ligado e é usado como um motivador à inovações tecnológicas e investimentos das organizações em implementar medidas organizacionais e tecnológicas que irão proteger, de forma preventiva, os dados pessoais. Importante termos a visão de uma ligação direta ao inciso anterior, o inciso VII (segurança), que dá suporte direto na garantia e sustentabilidade da adequação, o que auxilia a prevenir danos aos titulares.
Agora que já falamos um pouco sobre esse artigo importante para a LGPD, vamos entender como ele se aplica ao artigo?
Para isso vamos entender alguns exemplos. E usarei os exemplos citando os incisos acima, para que o título faça sentido.
Vamos falar da famosa política ou aviso de privacidade que está presente na grande maioria dos websites (e acreditem, alguns ainda não possuem esse requisito da LGPD). Algumas políticas e avisos contemplam os diversos aspectos que garantem a transparência que é pedida no inciso VI, porém outras são básicas e não contemplam os requisitos mínimos de transparência. É bom ficar claro que, se for constatada a não conformidade, uma advertência pode ser emitida pelo órgão fiscalizador indicando um prazo para adequação conforme indicado no Art. 52º que fala das sanções administrativas prevista pela legislação.
Pegando outro exemplo da política ou aviso de privacidade, um dos requisitos é mencionar sobre as medidas de segurança. Não considero mandatório descrever as medidas, porém é uma prática informar ao titular que a organização possui e implementa medidas eficazes para a proteção dos dados pessoais. Importante deixar claro que algumas resoluções podem demandar necessidades de divulgação pública de políticas relacionadas à segurança da informação como e exemplo da resolução 4.893/21 – Art. 5º do BACEN.
Vamos explorar esse item que está presente na grande maioria das políticas e avisos de privacidade?
Uma boa parte das organizações, e acredite isso acontece demais comigo em consultorias, tem políticas e avisos de privacidade, muito bem redigidas, porém não implementam de forma consistente as medidas informadas nas políticas. Vou dar alguns exemplos para deixar mais claro.
- Faltam medidas contratuais efetivas (que podem ser diversas). Medidas contratuais são medidas organizacionais. Elas precisam ter cláusulas especificas falando sobre a proteção de dados. E podem motivar medidas tecnológicas dependendo de como é a gestão de contratos na sua organização;
- Faltam medidas tecnológicas (que também podem ser diversas). São medidas técnicas.
Como exemplo:
Uma plataforma de Gestão de cookies e sua documentação descritiva. Vale lembrar que a gestão de cookies deve abranger medidas organizacionais e técnicas.
Um simples gaveteiro com tranca é considerado uma medida técnica. Com essa tecnologia (tranca) é possível proteger documentos físicos que possam conter dados pessoais ou dados sensíveis (Ex.: Contratos sigilosos, atestados médicos, registros de funcionários, informações sensíveis dos clientes, entre outros). Explorando o tema, como informação adicional, você sabia que um “simples” carimbo pode conter dados pessoais que podem ser usados de forma indevida para cometer fraudes? Será que proteger esse ativo foi considerado na sua organização? Seu registro de operações contém essa informação?
Como é o seu processo para que os titulares exerçam seus direitos? Sua empresa é um agente de tratamento de pequeno porte, já possui esse mecanismo implementado? Imagina um titular solicitar informações sobre o tratamento dos dados pessoais e informações do compartilhamento realizado com terceiros. A sua política provavelmente menciona os direitos do titular, é uma boa prática, porém está claro como o titular pode exercer seus direitos? Seus funcionários foram treinados e sabem os mecanismos internos e fluxo para que uma resposta seja elaborada para o titular?
Você sabia que até fofocas dentro do seu ambiente corporativo podem ser encaradas como uma forma de incidente de segurança? É bem difícil ter um controle sobre o que é falado e como é falado. Existe um código de conduta e treinamentos periódicos sobre o tema com funcionários? E se algo falado cause algum tipo de dano para seu funcionário ou cliente por má conduta ou uso indevido de dado pessoal? Será que algum dado pessoal aparente ou informação privilegiada sobre o titular foi utilizada de má-fé? Lembre-se que seu colaborador é um representante da sua organização e será um risco uma possível má conduta.
Eu acho que poderia citar inúmeros exemplos de como a privacidade poderia ser maquiada pelas organizações, além do que foi comentado, que não possuem ainda um profissional especializado na proteção de dados. Quer ver? Vamos lá!! Podemos falar sobre políticas internas (que podem ser diversas), avaliações de risco no uso dos dados pessoais, adequação de processos, aquisição de ferramentas tecnológicas que possam garantir e prevenir o acesso ou uso inadequado dos dados pessoais, ferramentas que registrem os tratamentos realizados com dados pessoais e, não menos importante, treinamentos periódicos para seus colaboradores. Acreditem, muitas organizações ainda não entendem a preparação para a adequação por não possuir um profissional que realmente tenha uma visão dedicada à privacidade, o que já é considerado um grande risco para o processo e manutenção da conformidade.
Gostaria de deixar claro que não é meu objetivo criticar ou apontar erros em organizações e sim alertar que a adequação e sustentabilidade relacionada à LGPD é uma imensa oportunidade para que as empresas venham a ter um diferencial competitivo em relação à concorrência em primeiro lugar, alertar que ter um profissional especializado para atuar com proteção de dados (privacidade) é fundamental, e reforçar que as sanções administrativas já estão em vigor e em algum momento uma fiscalização pode ser realizada. Quer aceitar os riscos ou fazer o que é necessário para eliminar ou colocar esses riscos em um nível aceitável para a sua organização?
Finalizo esse artigo com algumas perguntas.
Sua organização já está adequada ou em processo de adequação?
Há um profissional especializado em proteção de dados e privacidade?
As Medidas organizacionais estão em equilíbrio com as medidas tecnológicas?
Caso alguma das respostas seja “não”, recomendo procurar o quanto antes um profissional especializado para que os riscos possam ser avaliados e as medidas necessárias possam ser implementadas. O profissional poderá interagir e integrar as equipes da sua organização para que um bom programa de privacidade seja devidamente efetivado.
E de forma provocativa pergunto. Sua empresa está maquiada em relação à proteção dos dados pessoais que controla ou considerou e implementou as medidas necessárias em respeito aos incisos do Art. 6º?
Eu me chamo Nilson Brito, Sou DPO certificado pelo EXIN© desde a ano de 2020 e atuo como consultor autônomo em processos de adequação e sustentabilidade na conformidade com a Lei Geral de Proteção de Dados Pessoais. Sou palestrante, escrevo artigos e ministro cursos em organizações públicas, privadas e instituições de ensino que promovem a conscientização na LGPD.
