Por Raquel Rinaldi
A Lei Geral de Proteção de Dados (LGPD, nº 13.709/2018) trouxe uma série de princípios, dentre os quais temos os principios da “Responsabilidade e da Prestação de Contas (conhecido como Accountability)”, que impõe que os agentes que lidam com dados pessoais deverão demonstrar a adoção de medidas eficazes e capazes de comprovar a observância do cumprimento das normas de proteção de dados pessoais, inclusive as de segurança da informação, demonstrando a sua eficácia.
O dever de responsabilidade e de prestação de contas diz respeito à demonstração de como o controlador conduz suas atividades de tratamento de dados à luz:
(i) das medidas técnicas adequadas - assim entendidas, de acordo com o artigo 44, III, da LGPD, como aquelas disponíveis à época em que for realizado o tratamento - que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los, nos exatos termos do artigo 48, § 3º, da LGPD; e
(ii) dos relatórios de impacto por ela produzidos, em linha com o artigo 38 da LGPD.
Com efeito, cumpre ao controlador fazer tudo aquilo que estiver ao seu alcance para garantir o sigilo e a inviolabilidade dos dados pessoais por ele tratados, com base nos riscos apurados, na tecnologia acessível e nos recursos razoavelmente disponíveis para tanto.
Nesse contexto, o respeito ao princípio da accountability pressupõe, além de um modelo de governança corporativa que assegure o efetivo cumprimento das obrigações acima, a organização e a manutenção de um conjunto de documentos capaz de evidenciar que tais obrigações estão de fato sendo satisfeitas.
Esse conjunto de documentos pode basicamente ser dividido em cinco grandes grupos, todos pensados e elaborados com base nos princípios gerais de tratamento de dados pessoais contidos no artigo 6o da LGPD:
(i) políticas corporativas;
(ii) registro das operações de tratamento;
(iii) atividades do encarregado;
(iv) relatórios de impacto; e
(v) registro de incidentes de segurança.
Em primeiro lugar, o artigo 50 da LGPD prevê a formulação de regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas de treinamento e reciclagem, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Será com base nessas políticas corporativas que a empresa irá nortear toda a sua atividade de tratamento de dados pessoais.
A obrigação de registro das operações, por sua vez, encontra-se prevista no artigo 37 da LGPD e deve compreender todas as atividades de tratamento de dados pessoais, em especial quando baseado no legítimo interesse. Esse relatório deve indicar de maneira detalhada todas a informações relevantes acerca do tratamento de dados pessoais, tais como, quais os dados tratados, de que forma, com que finalidade, por quanto tempo, inclusive de modo a identificar eventuais riscos potenciais que possam justificar a realização de relatórios de impacto.
No que tange às atividades do encarregado, previsto no artigo 41 da LGPD, não basta a mera indicação da pessoa física ou jurídica nomeada para o exercício do cargo. Deve haver o registro minucioso de todas as suas atividades, evidenciando o efetivo desempenho de suas funções com total independência, como, por exemplo, a fiscalização das operações de tratamento, as orientações dadas a empregados e contratados acerca das práticas e políticas da empresa, as repostas dadas e as providências adotadas em relação às reclamações e comunicados recebidos de titulares.
Já o relatório de impacto encontra-se previsto em linhas gerais no artigo 38 da LGPD, que deixa maiores detalhes para regulamentação a ser editada pela Autoridade Nacional de Proteção de Dados ("ANPD"). De todo modo, o relatório de impacto deverá conter, no mínimo, a descrição dos tipos de dados tratados, a metodologia utilizada para a tratamento e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Embora a LGPD estabeleça que caberá à ANPD determinar em que circunstâncias será necessária a elaboração de relatórios de impacto, a experiência derivada do tratamento de dados no âmbito da Comunidade Europeia mostra que as empresas devem ter a iniciativa de preparar relatórios de impacto sempre que suas atividades de tratamento de dados compreendam mais de uma das seguintes hipóteses:
(i) avaliações ou scoring;
(ii) tomada de decisões por meios automatizados, como nas classificações de crédito;
(iii) monitoramento sistemático, tal qual o realizado por shopping centers;
(iv) dados sensíveis, nos termos do artigo 5o, II, da LGPD;
(v) dados tratados em larga escala, considerando a quantidade de titulares, o volume de dados, o tempo de tratamento e/ou a extensão geográfica da área de coleta;
(vi) realização de cruzamentos ou combinações de grupos de dados;
(vii) dados de titulares vulneráveis, como crianças e idosos;
(viii) utilização de soluções tecnológicas ou organizacionais inovadoras; ou (ix) quando o próprio meio de tratamento do dado possa prevenir os titulares de exercerem seus direitos ou usarem o produto ou serviço, como, por exemplo, na implantação de processos de autenticação que induzam limitações de acesso (leituras biométricas, assinaturas digitais etc.).
A presença de duas ou mais dessas hipóteses é um forte indicativo da necessidade de elaboração do relatório de impacto.
Por fim, o registro de incidentes de segurança, previsto no artigo 48 da LGPD, derivado do dever de comunicar à ANPD e ao titular do dado a ocorrência de eventos que possam acarretar risco ou dano relevante, mencionando, no mínimo:
(i) a natureza dos dados pessoais afetados;
(ii) os titulares envolvidos;
(iii) as medidas técnicas e de segurança utilizadas para a proteção dos dados;
(iv) os riscos relacionados ao incidente; e
(v) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Ademais, mesmo antes do comunicado à ANPD, é importante que se mantenha registro de todo procedimento adotado, em linha com plano de gestão de crise, desde o momento em que o vazamento de dados foi identificado5: pessoas envolvidas, atas das reuniões realizadas, decisão pela necessidade ou não de comunicar a ANPD e os titulares etc.
Nenhum comentário:
Postar um comentário