Compliance, Governança, Riscos e a Lei Geral de Proteção de Dados. A jornada! (Parte III)

27 de maio de 2019

Compliance, Governança, Riscos e a Lei Geral de Proteção de Dados. A jornada! (Parte III)

Escrito por

No artigo anterior viajamos por uma breve explanação sobre a importância da Gestão Integrada de Riscos. Falamos em como ela abrange toda a organização, desde a estratégia até a operação. Existe mais um fator importantíssimo que embasa a perspectiva de riscos na orientação das organizações: a transformação digital!

Considere os seguintes fatores: utilização em massa de smartphones, expectativas dos usuários por serviços rápidos e sempre disponíveis, velocidade e disponibilidade crescentes da internet, inovações tecnológicas disponíveis a todos os públicos. É a receita para que as organizações explorem oportunidades e capacidades de crescimento e de criação e proteção de valor! E a tecnologia é o habilitador para isto.

Considere agora a velocidade das mudanças proporcionadas por aqueles fatores. Vale a pena investir em determinado produto ou serviço? E se o timing for perdido, qual seria o impacto? Para garantir a sustentabilidade da organização é indispensável a gestão dos riscos associados a tais mudanças e às oportunidades criadas pelo mundo digital.

Assim, o primeiro passo para sua estratégia de riscos digitais é implantar medidas robustas em relação à cibersegurança, sendo recomendável a abordagem tradicional da segurança da informação: avaliação dos riscos dos sistemas e seus ativos. Também é importante considerar outras áreas de riscos como, por exemplo, riscos de reputação da organização relacionados às redes sociais ou os riscos relativos à proteção de dados dos clientes, colaboradores e terceiros ou, ainda, os riscos concernentes ao vazamento de dados.

Agora que finalizamos nosso prelúdio sobre Compliance, Governança, Riscos e IRM, vamos falar sobre a Lei Geral de Proteção de Dados. Farei algumas análises básicas da Lei, mas focarei em um método para implantá-la na organização, além de sua relação com a governança, os riscos e o compliance.

A primeira e mais óbvia relação dá-se entre a LGPD e o compliance. Claro, todas as organizações que tratam dados pessoais precisam estar em compliance com ela para sobreviver. Mas a relação entre os dois não é assim, tão rasa. A apresentação de alguns conceitos presentes na Lei é necessária antes de continuarmos, desta forma segue um excerto dos incisos I e X do artigo 5º:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; (grifos nossos)

Atente para os termos “identificada” e “identificável” no inciso I. Consegue notar a sutil diferença entre os dois? Vejamos. Considere uma empresa hipotética que mantém um cadastro conforme a tabela 1.

 

Tabela 1 – Exemplo de informações relacionadas a pessoa identificada

Nome Telefone Endereço Profissão
Arnaldo Silva (161) 99999-11111 Rua 152, casa 1054, Jardim Marciano Analista
Amado Batista (157) 10101-22222 Rua solar, casa 3, Bairro Universal Educador
Annita Silveira (122) 98989-12345 Avenida 7 de setembro, casa 1822, Bairro Novo Brasil Artista

Neste cadastro, observe que os titulares dos dados estão identificados, é possível saber exatamente quem são cada um deles. Agora tomemos outro exemplo hipotético, com o cadastro conforme a tabela 2.

Tabela 2 – Exemplo de informações relacionadas a pessoa identificável

Sexo Idade Estado Civil Profissão Nacionalidade
Feminino 32 Casado Psicóloga Brasileiro
Masculino 44 Viúvo Consultor Brasileiro
Feminino 56 Casado Advogada Espanhol

Agora, considerando os dados da tabela 2 um cadastro nacional, realizado em diversos estados do país, é impossível com as informações coletadas identificar as pessoas. Elas não estão identificadas, tão pouco há possibilidade de identificá-las, ou seja, também não são identificáveis.

Vamos a uma terceira situação hipotética. O mesmo cadastro constante da tabela 2, mas agora a empresa, que só tem dez empregados, cadastrou os dados de seus funcionários. Desta vez é possível descobrir exatamente quem são as pessoas cadastradas, é bem improvável que existam dois homens, com 44 anos, viúvos que atuem como consultores e sejam brasileiros. E mesmo que existam duas pessoas com as mesmas características, a imprecisão em relação à identificação foi reduzida a duas pessoas em 10. Ou seja, neste caso os titulares são identificáveis.

Agora que entendemos o que é dado pessoal, passemos para o tratamento destes dados. Tratamento de dados é todo e qualquer procedimento realizado com os dados pessoais. Sua empresa cadastra os visitantes? Então está tratando dados pessoais. Sua organização anota o telefone dos clientes para enviar uma mensagem como, por exemplo, “obrigado pela visita”. Ela trata dados pessoais.

Perceba, no parágrafo anterior as nuances entre as duas operações. Na primeira, os dados dos visitantes são cadastrados em um sistema. Na segunda, anotados em uma agenda. E nos dois casos está caracterizado o tratamento de dados pessoais? Está! Porque a Lei aduz logo em seu artigo 1º: “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais […]”.

Bem, ficamos por aqui neste artigo.  Encontramo-nos no próximo!