A preocupação com a privacidade e a proteção dos dados pessoais é uma das prioridades das organizações públicas e privadas no mundo atual. O assunto é tão importante, que 28 de janeiro é o Dia Internacional da Privacidade dos Dados. E, no Brasil, a preocupação com o tema decorre do recente início de vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), que passou a valer em 18 setembro de 2020, com exceção das multas que só começarão a ser aplicadas em agosto de 2021.
Esse movimento globalizado tem modificado comportamentos e a forma de se fazer negócios na sociedade digital, trazendo reflexos diretos no dia a dia de instituições públicas e privadas em todo o mundo. Com esse contexto, o Jurídico pode desempenhar uma função extremamente importante: ensinar sobre a proteção de dados na prática diária das empresas. E, com isto, surge outra questão: a conformidade com a lei é somente jurídica? A resposta é não!
Embora o regulamento de proteção de dados tenha origem no meio jurídico, a conformidade em proteção de dados envolve também outros aspectos, entre eles: técnicos e culturais.
Regulamentos, como o europeu General Data Protection Regulation (GDPR) e a LGPD, trazem princípios e diretrizes para realizar o tratamento de dados, por isso a aplicação da lei é bastante multidisciplinar e envolve alguns parâmetros, entre eles:
Técnicos, que abrangem as ferramentas e tecnologias envolvidas no processo; Documentais, no que se refere a contratos, políticas, termos e normas que precisam ser modificadas ou atualizadas; Processuais, que abarcam a adequação da governança, as práticas e a gestão dos dados pessoais dentro da instituição e os Culturais, que envolvem a promoção de campanhas de conscientização de colaboradores, parceiros e demais terceiros e a realização de treinamentos internos.
Embora as regras sejam as mesmas para todos, a realidade de cada corporação é muito diferente e, por isso, cada projeto de implementação de proteção de dados deve ser único. Isso porque a implementação das regras deve observar as práticas de cada instituição e a maneira que o tratamento é realizado. Em geral, são três etapas centrais de um projeto de conformidade em proteção de dados:
- Mapeamento e classificação dos dados;
- Criação de políticas, padrões e procedimentos;
- Manutenção e atualização das políticas, padrões e procedimento.
Em cada uma dessas etapas, a privacidade por concepção e por padrão (by design and by default) deve ser observada. Em termos práticos, os regulamentos contemporâneos em proteção de dados exigem que as instituições considerem a privacidade como um dos nortes centrais de seus projetos que utilizem dados pessoais, do início ao fim do tratamento de dados.
Para auxiliar as equipes responsáveis pelos tratamentos de dados deve-se levantar os seguintes questionamentos. O tratamento de dados é realmente necessário? Qual é a finalidade dele e sua base legal que justifica o uso deste dado: consentimento, legítimo interesse ou obrigações legais ou contratuais? A segurança da informação está presente em todas as etapas? É possível anonimizar os dados em tratamento ou mitigar os riscos de outra forma?
Essas e outras questões devem ser levantadas a todo momento para que o projeto esteja de acordo com os parâmetros do privacy by design and default. A preocupação com a proteção de dados pessoais é real e deve estar no radar de todas as empresas atuais, para evitar dores de cabeça e problemas futuros. Isso porque, além de países como o Brasil possuírem regras claras sobre como o tratamento de dados pessoais deve ser realizado, existe hoje um movimento global de proteção à privacidade e aos dados pessoais.
*Larissa Lotufo, jornalista e advogada da área de Pesquisa e Negócios de Pires & Gonçalves Advogados Associados. Foi premiada pelo MVP E-commerce Brasil/ 2019. Autora/co-autora em 7 publicações de jornalismo investigativo, direito digital e cibersegurança
