Com esse artigo trago uma visão em que é possível entender, quais são os pilares da adequação e sustentação da Lei Geral de Proteção de Dados (LPGD) pessoais nas organizações.
Antes de falarmos dos pilares, vamos entender um pouco melhor alguns itens da Lei.
De acordo com o Art. 1º:
"A Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural."
Objetivo, conforme próprio título da Lei: PROTEGER.
Objeto: DADOS PESSOAIS.
E o que são dados pessoais? De acordo com o Art. 5º, incisos I e II é possível observar as seguintes definições:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Como exemplo: Dados de Identificação, Dados Profissionais, Dados de Contato, Hábitos de Consumo, entre outros.
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Agora que já entendemos o objetivo e objeto da LGPD, vamos entender como é possível se adequar e dar a sustentabilidade necessária para mantermos as organizações em conformidade.
As organizações e os profissionais que trabalham com a conformidade da LGPD costumam utilizar frameworks conhecidos para atingir os objetivos de conformidade. Vamos conhecer alguns?
* DPMS (Data Protection Management System) ou SGPD (Sistema de Gestão de Proteção de Dados);
* IAPP Privacy Framework;
* NIST Privacy Framework.
Todos os frameworks possuem um roadmap (guia para atingir os objetivos) similar, que tem como principal metodologia de gestão o PDCA (Plan, Do, Act e Check). 0 PDCA se baseia na repetição aplicada sucessivamente aos processos buscando a melhoria de forma continuada para garantir o alcance das metas necessárias à sobrevivência da organização e, em nosso caso de adequação e sustentabilidade, uma conformidade determinada pela legislação.
Uma curiosidade sobre o PDCA. A metodologia se popularizou nos anos 50 com o americano William Deming após ter sido criada na década de 20 por um outro americano chamado Walter Shewart. Para criar a metodologia do PDCA, Shewart se baseou no trabalho do inglês Francis Bacon intitulado Novum Organum publicado em 1620. (Fonte: Wikipedia).
Agora que já entendemos o objetivo e objeto da LGPD, e temos um guia para nos ajudar, vamos entender em quais pilares precisamos atuar nas organizações para atingirmos nosso objetivo de adequação e sustentabilidade. Vamos chamar esses pilares de "Pilares da Conformidade". Deixando claro que cada organização é única e outros pilares poderão ser considerados de acordo com a cultura e outros aspectos que sejam relevantes.
O primeiro pilar são os processos da organização. Processo é a sequência de atividades realizadas para gerar resultados estabelecidos.
Os processos podem ser dos mais simples até os mais complexos, porém todo processo possui um input e um output como resultado que pode alimentar um outro processo com uma entrega parcial ou ser um resultado com uma entrega final.
Durante a adequação, um detalhamento dos processos é realizado para identificar as operações de tratamento, o fluxo e o ciclo de vida dos dados pessoais (como os dados pessoais chegam e são usados na organização até o momento em que deverão ser eliminados).
A adequação irá documentar as atividades de utilização dos dados pessoais, e consequentemente haverá resultados como: mudanças, otimização, padronização e até mesmo melhoria dos processos dentro da organização.
A melhoria contínua e gestão de processos tem como exemplo os seguintes resultados: mudança de cultura, melhor gestão de indicadores e pessoas, aumento da produtividade e redução de custos operacionais.
O segundo pilar são as tecnologias. Tecnologias são as ferramentas utilizadas para gerar resultados estabelecidos e podem ser diversas como um sistema, uma plataforma contratada ou até mesmo uma simples caneta e um papel.
Sem a tecnologia adequada o esforço nas diversas entregas da organização pode se tornar maior e consequentemente pode haver um aumento no custo operacional.
Vamos exercitar alguns pensamentos:
Para o acesso aos locais restritos da sua organização quais tecnologias são utilizadas? Crachá de acesso? Leitura biométrica? Um teclado numérico com senha para acesso? Qual é a tecnologia mais adequada?
Qual tecnologia é usada para transferir dados confidenciais da sua organização para fornecedores, prestadores de serviço ou até mesmo entre regionais? É preciso utilizar algum mecanismo de criptografia? Que tipo de criptografia garante a segurança das informações que trafegarão pela internet?
Qual tecnologia é usada para manter os dados armazenados de forma segura e sem acessos não autorizados?
Levando em consideração os questionamentos acima é possível entender a influência desse pilar na adequação e sustentabilidade da conformidade.
Durante a adequação novas tecnologias poderão ser adquiridas e implementadas para garantir que os dados pessoais estejam seguros e sejam utilizados de acordo com as diretrizes da organização e em conformidade com a LGPD ou outras legislações aplicáveis ao negócio da organização.
Você sabia que um marcador de texto (de preferência preto ou da cor do impresso) é uma ótima tecnologia para ocultar dados pessoais que podem estar, de forma excessiva, em um papel impresso? E o custo é bem viável.
O terceiro pilar são as pessoas. As pessoas possuem o conhecimento para utilizar as tecnologias e realizar as atividades para gerar resultados estabelecidos.
Sem as pessoas e o conhecimento adequado não é possível alcançar os resultados, independente dos processos ou das tecnologias da organização.
Durante a adequação as pessoas deverão ser treinadas e conscientizadas. A orientação no uso dos dados pessoais dará uma melhor visão para as pessoas em relação aos processos e tecnologias utilizadas pela organização.
O uso correto das tecnologias e processos irão auxiliar para que pessoas possam utilizar de forma segura e coerente os dados pessoais.
Não menos importante será entender os riscos associados aos pilares de processos, tecnologias e pessoas. Entender as possíveis vulnerabilidades para determinar medidas cabíveis para eliminar, mitigar, transferir ou até mesmo aceitar os riscos identificados, ou aproveitar as oportunidades que poderão ser identificadas durante avaliações internas da organização.
Para finalizar esse artigo, é fundamental entender que a adequação e sustentabilidade da conformidade com a LGPD envolve todos os níveis na organização, precisará ser promovido pelos altos níveis de gestão e será um desafio, porém ao longo do tempo com o devido aculturamento de boas práticas, a sua sustentabilidade se tornará efetiva aos pilares das organizações.
Eu me chamo Nilson Brito, Sou DPO certificado pelo EXIN© desde a ano de 2020 e atuo como consultor autônomo em processos de adequação e sustentabilidade na conformidade com a Lei Geral de Proteção de Dados Pessoais. Sou palestrante, escrevo artigos e ministro cursos em organizações públicas, privadas e instituições de ensino que promovem a conscientização na LGPD.
Fonte: Contábeis