O Serviço Federal de Processamento de Dados (Serpro) promoveu debate sobre os caminhos para que empresas, instituições públicas e entidades sem fins lucrativos possam se adaptar à Lei Geral de Proteção de Dados (Lei nº 13.709/2018). A norma foi aprovada em 2018 e entraria em vigor em agosto deste ano, mas a Medida Provisória 959 de 2020 prorrogou o prazo para maio de 2021.

A LGPD estabeleceu os direitos dos titulares de dados pessoais, mas também as obrigações do que chama de “tratadores de dados”. Nesse cenário, em que cada vez mais as informações são digitalizadas, armazenadas e utilizadas, qualquer negócio ou entidade com um cadastro de trabalhadores ou de consumidores deverá se adaptar ao que diz a norma.

Segundo o advogado Márcio Cots, especialista em direito digital, as companhias devem prestar a atenção a um conjunto de passos, para sair de uma situação sem preocupação com a proteção de dados e gestão sobre as informações administradas para um novo estágio com governança de dados e processos adaptados ao que a lei requer.

“A lei vem para criar um ecossistema que até então não existia. Por mais que tenhamos normas, o fato é que esse ecossistema não tinha a estrutura que existe a partir da vigência da LGPD. Ela é mudança de paradigma. Veio para mudar as operações de empresa, governos e entidades sem fins lucrativos”, assinalou Cots.

Desafios

Ele elencou três desafios principais nesse esforço: o mapeamento dos processos que envolvem dados pessoais; a revisão de contratos com fornecedores ou consumidores quando necessário e a mudança de cultura dentro de cada firma.

Cots apresentou um modelo de processos organizado em etapas. A primeira delas é um levantamento preliminar, que visa entender onde há tratamento de dados na organização. Nesse momento, é importante envolver os trabalhadores e gestores com os objetivos do processo e com as oportunidades abertas pela LGPD, recomenda.

O segundo momento é o de produzir um inventário dos dados pessoais e dos procedimentos adotados na companhia envolvendo esses registros, bem como de que maneira cada tratamento se dá e quais suas implicações.

A terceira etapa tem como foco a classificação dos dados. Nem todas informações são pessoais, e a LGPD só trata dessa modalidade. Dessa forma, é importante separar entre o conjunto de dados quais se enquadram nessa categoria, explica o especialista.

Para além disso, segundo Cots, a lei traz regras e obrigações especiais para determinados registros denominados “sensíveis” (como os dados biométricos, de raça e cor ou de preferências políticas). O advogado ressaltou a importância de identificar esse conjunto, que merecerá um tratamento diferenciado.

Após preparar os integrantes, mapear os dados e classificá-los, entendendo o que deverá ser trabalhado, as entidades devem promover a adequação ao que fala a lei, que envolve as mudanças de processos, a implantação de ferramentas de gestão dos dados e eventuais ajustes jurídicos, como na alteração de contratos.

A iniciativa mais importante nessa etapa, de acordo com o advogado, é a mudança de cultura da organização, que passa pela reformulação dos valores e padrões compartilhados relacionados ao uso de dados nos bens e serviços das empresas ou nas atividades de instituições públicas ou entes sem fins lucrativos.

Na quinta etapa, ainda segundo o advogado, é preciso regularizar as atividades já transformadas. Essa adaptação traz um “pente fino” nos processos para identificar onde há riscos de responsabilização. É possível, segundo Cots, adotar procedimentos como a anonimização ou até mesmo o descarte dos dados. Outra alternativa é cumprir o mandamento da LGDP e obter consentimento dos usuários para determinadas finalidades pretendidas.

Por fim, de modo a fixar os novos processos e garantir que eles sejam respeitados, Cots diz que é preciso construir mecanismos de capacitação dos participantes, sejam eles empregados de empresas, servidores de órgãos públicos ou associados de uma entidade sem fins lucrativos.

Políticas

Entre as exigências da norma estão a indicação de responsáveis específicos pelas ações de tratamento e a elaboração de políticas. O advogado Márcio Cots recomenda a formulação de quatro políticas. A primeira teria caráter mais geral, sobre a gestão de dados. A segunda, disciplinaria o tratamento dos dados, com caráter de orientação interno.

Mas é preciso ter também uma política de privacidade aos consumidores ou usuários externos de bens e serviços, explicitando quais dados são coletados, para qual finalidade e de que maneira estes são tratados, alerta Cots.

Por fim, a LGPD exige uma política de segurança da informação, que discrimine as ações empregadas para evitar vazamentos e proteger os registros tratados pelo ente.