Com a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD) em 2018, diversas empresas começaram a dar os primeiros passos rumo à adequação de suas operações e à conformidade com a nova legislação. Passados dezenove meses e com a aproximação do dia 14 de agosto de 2020, data de entrada em vigor, diversas empresas dos mais variados setores têm intensificado seus esforços para garantir a aderência aos pontos dispostos na lei 13.709/2018 ou, ao menos, para evitar as sanções administrativas citadas no artigo 52. O problema é que, em vários casos, os esforços feitos pelas organizações não serão capazes de evitar que sofram as penalidades inicialmente previstas, sendo que o principal motivo para isso é a falta de ligação entre os projetos de adequação e a operação necessária para atender a própria legislação.
Embora pareça surreal, muitos projetos focados em privacidade e proteção de dados pessoais não estão considerando os resultados que devem entregar e em como estes serão entregues. É claro que se deve realizar um amplo assessment para mapear o cenário atual e definir um road map com as ações necessárias nos planos estratégico, tático e operacional. É evidente que envolver o departamento Jurídico, de TI, de Segurança da Informação, de Riscos, de Compliance e de Processos é indispensável, assim como é crucial a execução de projetos envolvendo a atualização de políticas e do código de conduta, a conscientização dos colaboradores, a governança dos dados, a revisão de contratos e a implementação de controles para obtenção dos consentimentos dos titulares, gestão de consentimento e prevenção contra vazamento ou roubo de dados pessoais. O ponto é que os projetos também precisam endereçar o futuro cotidiano do Encarregado de Tratamento de Dados, pois será através deste cotidiano que os resultados cobrados pela LGPD serão entregues. Para facilitar, segue uma atividade que fará parte do dia-a-dia do Encarregado:
“Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular… no prazo de até 15 (quinze) dias, contado da data do requerimento do titular”.
O Encarregado será responsável por atender todas as requisições feitas pelos titulares dentro de 15 dias. Imagine quantas solicitações poderão ser feitas para empresas que possuem bases de dados com informações de milhões de titulares. Como atender tantos pedidos dentro do prazo de 15 dias (corridos, não comerciais)? Mesmo que apenas 1% dos titulares solicite algo, ainda serão milhares de requisições para serem atendidas em aproximadamente duas semanas! Recebidas as solicitações, como encontrar TODOS os dados pessoais relacionados com CADA titular se estes podem estar armazenados em bancos de dados, em formatos não estruturados contidos em servidores, em ambientes on-premise ou em sistemas implantados no modelo SaaS, como Office 365 ou SAP? Como entregar tantas informações sensíveis de modo seguro e ainda gerar evidências que o prazo foi devidamente cumprido? Como interagir com tantas áreas dentro da empresa? Como se proteger de solicitantes mal-intencionados que façam uma avalanche de requisições, visando comprometer o prazo de entrega e entrar com uma petição contra o Controlador?
Outra atividade do Encarregado será:
“Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados…”.
Interagir com a Autoridade Nacional de Proteção de Dados (ANPD) será outra atividade comum do Encarregado e a elaboração e entrega do relatório de impacto à proteção de dados pessoais fará parte desta interação. Como garantir a acuracidade destes relatórios se processos, sistemas e produtos mudam com tanta frequência?
Outra exigência que entrará para o cotidiano do Encarregado está descrita no artigo 48:
“… comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.
Voltando para o primeiro exemplo, imagine o esforço necessário para se comunicar com milhões de titulares caso um incidente de segurança ocorra! E como fazer isso se, em paralelo, será necessário tomar medidas para conter o dano causado por tal incidente?
Por fim, pense no artigo 42 § 2º:
“O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa”.
Diante da possibilidade de inversão do ônus da prova, a Controladora precisará trabalhar para que possua todas as evidências necessárias diante de um eventual processo civil, sendo que o Encarregado será o responsável por validar a geração dessas evidências e a qualidade destas junto ao departamento Jurídico. Consegue imaginar a quantidade de validações que precisarão ser feitas em cada ponto de controle de cada processo?
Esses são apenas quatro exemplos de atividades que irão onerar os Encarregados e que, na vasta maioria dos casos, não estão sendo contempladas pelos projetos de conformidade com a LGPD. Note que estas atividades, se devidamente executadas, podem fornecer insumos extremamente valiosos para o próprio sistema de privacidade, conforme proposto pela ISO 27701, retroalimentando os processos e permitindo que sejam refinados através da melhoria contínua.
Assim, enquanto o dia 14 de agosto não chega, que tal olhar para os projetos envolvendo a LGPD e, ao se colocar no lugar no Encarregado, pensar em como tudo será operacionalizado para benefício da organização e dos titulares?