Este é o primeiro artigo da nossa série LGPD na Prática que tem por objetivo auxiliar na disseminação e compartilhamento de informações acerca da adequação dos procedimentos em atendimento à Lei Geral de Proteção de Dados. Neste texto, você compreenderá a necessidade da implementação e Adequação à LGPD, por onde iniciar o processo de adequação da sua empresa, as fases do projeto de implementação dos procedimentos e processos visando a conformidade com a lei além de apresentarmos as peculiaridades do projeto quando desenvolvido em Startups.
Toda operação que utilize dados pessoais como matéria prima, seja ela de coleta, produção, recepção, classificação, processamento, arquivamento, armazenamento, eliminação, transferência de dados, dentre outras utilizações, se encontra regulada pela Lei n. 13.709/2018, a Lei Geral de Proteção de Dados (LGPD).
A lei se aplica para qualquer operação de tratamento de dados, sejam eles em meio digital ou não, realizada por pessoa natural ou por pessoa jurídica de direito público ou privado em território nacional, cujo objetivo seja a oferta ou fornecimento de bens ou serviços localizados em território nacional ou referente a dados que tenham sido coletados em território nacional.
A Lei Geral de Proteção de Dados vem para regular a explosão na quantidade e qualidade dos dados coletados que, dentro da Sociedade da Informação, torna-se a regra em todos os ambientes e modelos de negócio, em especial dentre aqueles que existem no ambiente digital.
Os objetivos da lei, em acordo também com o GDPR (Regulamento Geral Sobre a Proteção de Dados) da União Europeia e demais leis de proteção de dados ao redor do mundo, são os de garantir a proteção e a privacidade dos titulares dos dados, bem como garantir transparência no seu tratamento, reduzir o risco de vazamentos de dados e estabelecer responsabilidades claras para as empresas, gerando, consequentemente, maior segurança jurídica para os modelos de negócios que dependem do uso de dados pessoais.
A LGPD define os dados pessoais como qualquer “informação relacionada a pessoa natural identificada ou identificável”, não incluindo então dados de pessoas jurídicas ou dados devidamente anonimizados. Importante ressaltar que dados não identificados, mas que possam ser identificáveis por quaisquer meios razoáveis tanto pelos agentes do tratamento quanto por terceiros consistem também de dados pessoais.
A lei define também a categoria de dados pessoais sensíveis, que, por serem dados referentes à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referentes à saúde ou à vida sexual ou dados genéticos ou biométricos, exigem maior rigor para a justificativa de seu tratamento, sendo proibido seu processamento senão com expresso consentimento para finalidades específicas, processamento necessário para cumprimento de obrigação legal, processamento necessário por razões de substancial interesse público ou seja o processamento necessário para garantia da prevenção à fraude e à segurança do titular.
Para a lei, o titular dos dados pessoais é a pessoa natural a quem se referem os dados, incluindo nesta definição não somente clientes e usuários, mas também funcionários ou demais indivíduos cujos dados estejam nos bancos de dados da empresa por quaisquer motivos. [1]
Índice
Discussão sobre a entrada em vigor da LGPD
A Lei Geral de Proteção de Dados, aprovada em agosto de 2018, inicialmente tinha sua entrada em vigor prevista para 16 de fevereiro de 2020. Com a aprovação da Lei n° 13.853/2019, em julho de 2019, a entrada em vigor da lei foi alterada para 16 de agosto de 2020.
A Lei 14.010/2020, que, dentre outros temas, institui que a LGPD entrará em vigor no dia 16 de agosto de 2020, mas que a validade da aplicação das sanções previstas na lei terá início somente à partir de 1º de agosto de 2021, foi aprovado pelo congresso e sancionada pelo presidente no dia 10/06/2020.
A LGPD entrou em vigor em 18 de setembro de 2020 após muitas idas e vindas no Congresso e Presidência da República.
Curto prazo para adequação à LGPD
Independente das possibilidades de data para a entrada em vigor da Lei Geral de Proteção de dados, as empresas tem à sua frente um grande desafio para sua adequação à LGPD e para a implementação das medidas necessárias para estar de acordo com as novas exigências legais.
Considerando que a implementação de boas práticas referentes à proteção de dados consiste de um processo de longa duração, e composto por diversos estágios como o desenvolvimento de uma mobilização inicial para o tema dentro da empresa, a formulação de uma avaliação inicial das práticas de retenção e processamento de dados, que se desenvolve em um diagnóstico detalhado do processamento destes, a criação de um inventário dos dados pessoais sob o controle da empresa, o estabelecimento das estruturas de governança de um Programa de Privacidade e Proteção de Dados dentro da equipe, bem como a apresentação de um plano de implementação e adequação à LGPD.
Todos estes passos estão presentes em uma fase inicial de implementação de um Sistema de Privacidade e Proteção de Dados, e é evidente que o prazo dado às empresas para sua adequação, agravado pela insegurança jurídica trazida pela não definição exata de uma data para a entrada em vigor, é curto.
Tal situação exige que as empresas tratem a adequação de seu processamento de dados à lei como uma prioridade imediata, para evitar que, com a entrada em vigor da lei, estejam sujeitas à multas e sanções.
A LGPD ainda não tá em vigor, mas…
Um dos principais riscos referentes ao processamento de dados pessoais é o risco de vazamentos de dados e do acesso indevido às bases de dados. Segundo levantamento da PwC em 2016, 90% das grandes organizações e 74% dos negócios de pequeno e médio porte reportaram ter sofrido com algum tipo de vazamento de informações.
Este risco se torna altamente oneroso para as empresas no momento em que as infrações à LGPD se encontram sujeitas à sanções administrativas, conforme o Capítulo VIII da lei, e ainda que a competência sancionatória seja da Autoridade Nacional de Proteção de Dados, que ainda não foi devidamente constituída, não exclui a possibilidade do eventual cabimento de demais ações administrativas, penais ou civis.
Assim, com base nos princípios elencados na LGPD, já encontramos ações e solicitações judiciais aplicadas antes mesmo da vigência da lei. Dentre os exemplos, a multa de R$6,6 milhões de reais aplicada pelo Ministério da Justiça e Segurança Pública brasileiro frente ao Facebook referente ao caso “Cambridge Analytica”, a multa de até R$10 milhões de reais que pode ser imposta à Telefônica (VIVO) pelo Procon e a multa de R$1,5 milhões de reais paga pelo Banco Inter após acordo com o Ministério Público do Distrito Federal.
Fora do Brasil, em pouco menos de 1 ano de vigência do GDPR, mais de US$126 milhões de dólares foram cobrados em multas. O Ministério Público do Distrito Federal requereu que a VIVO elaborasse também, nos moldes do previsto pela LGPD, um Relatório de Impacto à Proteção de Dados referente ao produto “Vivo Ads”. No mesmo sentido, o Procon/SP já disponibilizou em seu Sistema Integrado de Atendimento os meios para que os consumidores registrem reclamações por violações de dados.
Para além das sanções administrativas, como multas e a suspensão temporária das operações de tratamento de dados de empresas condenadas, vazamentos de dados também podem diminuir a confiança de usuários, consumidores e investidores nas empresas.
Por que adequar à LGPD?
Enquanto a Lei Geral de Proteção de Dados diz respeito à todo tipo de processamento de dados pessoais em território nacional, sejam estes dados em meio físico ou digital, a construção de um ambiente e de processos de tratamento de dados adequados à LGPD é de grande importância para os negócios que transitam pelo ambiente digital.
A realidade econômica do século XXI exige que as empresas e negócios que querem se manter relevantes passem por uma transformação digital, que inclui a otimização da utilização de dados. Estar preparado para a entrada em vigor da LGPD traz tanto ao empresário quanto ao consumidor maior segurança frente às novidades que os avanços tecnológicos podem trazer para todos os tipos de modelos de negócio.
A adequação à Lei Geral de Proteção de Dados também demonstra o comprometimento da empresa com a implementação dos padrões de Compliance, e consequentemente com os padrões éticos relacionados à utilização e tratamento dos dados. Assim como o Compliance com a Política de Segurança da Informação, a LGPD se torna um dos principais documentos referentes às boas práticas e ao Compliance Digital.
Como nas outras áreas do Compliance, a adequação às melhores práticas de tratamento de dados legitima as ações das empresas e traz um resguardo e segurança no caso de qualquer incidente que possa vir a acontecer.
No ambiente digital, tanto para a escolha de um negócio pelos consumidores quanto para negociações e parcerias entre empresas, dentro do Brasil ou no exterior, o sucesso depende muito da reputação da marca. Ao mesmo tempo em que a adequação à LGPD demonstra o cuidado com os clientes e o respeito às informações por eles disponibilizadas, assim como a confiança de que dados repassados por parceiros econômicos não estarão vulneráveis, multas, sanções e vazamentos de dados podem manchar a imagem de um negócio, em especial daqueles que tem o meio digital como seu ambiente e os dados como ponto relevante de seu modelo de negócio.
Assim, poder prestar informações claras sobre todo o ciclo de vida dos dados tratados, bem como políticas de privacidade claras e bem formuladas, a implementação de um Programa de Privacidade e Proteção de Dados servem como um diferencial competitivo, que demonstra o respeito aos dados coletados e a adequação da empresa às recentes tendências relacionadas à inovação digital.
Por onde iniciar a preparação do projeto de adequação à LGPD?
A elaboração de um bom projeto de adequação à LGPD parte da compreensão detalhada sobre a coleta, tratamento e ciclo de vida dos dados dentro da empresa. Esta compreensão deve ser geral, analisando as fontes de dados nas mais diversas áreas da empresa, mapeando os macroprocessos como Recursos Humanos, Marketing, etc. Para otimizar a participação de todas as grandes áreas da empresa no processo, workshops com seus representantes são recomendados.
Este momento serve tanto para esclarecer conceitos e práticas importantes referentes à proteção de dados quanto para compilar inicialmente informações com a equipe.
O início deste processo é complexo, e por isso exige um planejamento do projeto em fases que facilitem e otimizem os resultados. A compreensão sobre os dados tratados pela empresa permite, ao final desta fase inicial de implementação (Adequação à LGPD), que seja estabelecida governança, responsabilidades e criado um plano de ação referente à proteção dos dados.
Fases do Projeto de adequação à LGPD
O primeiro passo importante a se tomar em relação à mobilização inicial para a adequação à LGPD é a definição do escopo de trabalho, considerando o macrocontexto da empresa, incluindo todas as áreas que participam do ciclo de vida dos dados, sejam eles de clientes, funcionários, parceiros.
Algumas etapas que podem ajudar a simplificar e tornar mais claro o projeto também consistem na definição de um responsável para a aplicação do projeto, desenvolver uma avaliação inicial do cenário de privacidade da empresa seguida de um inventário inicial dos dados da empresa, que serão apresentados ao Comitê Executivo de Privacidade e Proteção de Dados. As informações contidas na avaliação inicial e no inventário de dados dão a dimensão da importância do projeto, ao mesmo tempo em que facilitam a visualização do caminho que há pela frente.
Este também é um bom momento para se designar um DPO (Data Protection Officer) ou encarregado, nos termos da LGPD. O encarregado pela proteção de dados deve ser um profissional que tenha domínio tanto sobre as matérias de direito relacionadas com as leis de proteção de dados quanto sobre matérias técnicas relacionadas com o tratamento em si e com a segurança dos dados, sendo por natureza um profissional multidisciplinar.
Parte da mobilização inicial consiste na designação dos principais atores dentro do projeto de adequação à LGPD, sendo eles o Comitê Executivo de Proteção de Dados, o já citado DPO e a criação de um grupo de trabalho inicial multidisciplinar que conjugue membros do compliance, jurídico e segurança da informação. Este grupo de atores deve estar bem preparado e acostumado com a estrutura e as particularidades da empresa para poder sanar quaisquer dúvidas sobre a legislação ou sobre a implementação do projeto de adequação à LGPD.
Após a mobilização inicial vem a etapa da criação de uma avaliação inicial de privacidade, que busca compilar as principais informações sobre o ciclo de vida dos dados na empresa, bem como um primeiro diagnóstico dos gaps existentes que permitirá a identificação dos principais riscos, impactos e desafios que podem ser encontrados.
A coleta inicial de informações parte da criação de mapas do fluxo de dados em cada macroprocesso da empresa, que permitem uma apreciação inicial dos principais pontos de entrada, tratamento, armazenamento e terminação de dados.
O mapeamento neste momento não precisa ser detalhado, mas deve ser formulado a partir de entrevistas com responsáveis de cada área, abordando os pontos:
- Contexto Geral dos Dados existentes (que tipo de dados são tratados e em qual quantidade)
- Particularidades por área da empresa
- Base legal para a coleta e tratamento destes dados
- Nível de Segurança da Informação
- Locais de armazenamento de dados pessoais
Após este mapeamento, deve ser criado um inventário também das leis e regulamentações aplicáveis à sua empresa. Além da LGPD, devem ser levantadas as leis de proteção de dados de outros países com quem sua empresa possa ter relações ou clientes, além de regulações internas como o Código de Defesa do Consumidor (CDC), o Marco Civil da Internet, leis trabalhistas, leis setoriais, entre outras, bem como padrões implementados, certificados, frameworks e standards.
Desde a avaliação inicial de privacidade é importante que estejam em mente os princípios e fundamentos para o tratamento de dados dispostos na LGPD e nas demais leis de proteção de dados ao redor do mundo, como os princípios da finalidade, da adequação, da necessidade, não discriminação, etc.
Ao fim deste processo deve ser desenvolvido um relatório apresentando os resultados da avaliação inicial: o cenário atual na empresa, uma avaliação inicial dos principais riscos e dos gaps identificados, bem como recomendações iniciais para tratar os riscos e minimizar os gaps encontrados.
Contando com os mapas desenvolvidos e com este relatório da etapa, é o momento de desenvolver um diagnóstico mais detalhado acerca da situação.
Se tratando de um diagnóstico mais detalhado, sugerimos a leitura do artigo “O que é o mapeamento de dados?” publicado pelo Time BL Consultoria Digital.
Neste momento também devem ser avaliadas possíveis revisões de contratos com parceiros, fornecedores e clientes, bem como tomadas medidas referentes à cobrança de parceiros quanto ao tratamento de dados compartilhados.
Empresas que trabalham com marketing digital ou análise de dados devem tratar com profunda cautela os pontos levantados acima, bem como questionar a validade das bases legais de tratamento de dados, a compra de dados de fontes externas, para fim de possibilitar maior transparência sobre o grande volume de dados utilizados. Este diagnóstico exige um grande conhecimento sobre o funcionamento completo das atividades da empresa, para que possa adequar estes pontos e adicionar novos relevantes e específicos.
Ao fim do processo de criação do diagnóstico, o processo e seus resultados devem ser documentados em relatórios. Estes relatórios servem como base para o Relatório de Impacto de Proteção de Dados (DPIA, na sigla em inglês), que se encontra definido no art. 5º da LGPD:
“XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;”
Tendo em mãos o Relatório de Impacto de Proteção de Dados e o diagnóstico detalhado, é possível realizar um inventário completo de dados. O inventário deve percorrer o ciclo de vida dos dados dentro da empresa, ou seja:
Coleta de Dados Pessoais → Armazenamento dos Dados → Tratamento dos Dados → Processamento, Seleção e Análise dos Dados → Comunicação e Relacionamento com o Titular dos Dados → Compartilhamento de Dados com Parceiros/Fornecedores → Finalização do Tratamento/Exclusão dos Dados.
Um bom ponto de partida para esta etapa consiste da elaboração de um mapa visual que permita a verificação dos pontos de coleta, tratamento e compartilhamento dos dados. O mapa permite uma contextualização do inventário e a indicação de áreas de risco
Partindo de formulários que podem ser preenchidos por área na empresa, bem como da análise dos contratos vigentes com clientes e parceiros, o inventário deve analisar questões como:
- Qual a origem do dado
- Qual a sua classificação (dado cadastral, transacional, sensível)
- Qual a finalidade atrelada ao tratamento
- Qual a base legal para a coleta e o tratamento
- Quem é responsável na coleta dos dados
- Onde estão armazenados os dados
- Quais as medidas de segurança impostas para a Segurança da Informação
- Estão sendo utilizadas medidas de segurança como anonimização e uso de criptografia
- Como ocorre o compartilhamento dos dados
- Como são atendidos os direitos dos titulares dos dados
Tomados os devidos cuidados para adequar os detalhes da empresa, é possível, ainda, a utilização e automatização deste processo de inventário por softwares.
Análise do inventário
Com a criação do inventário de dados, é necessário elaborar um relatório que permita a análise do inventário, incluindo os riscos e gaps encontrados, o impacto dos riscos e recomendações para solução de gaps. A conclusão do inventário e a elaboração deste relatório devem explicitar a real necessidade de tratamento para os dados, seguindo o princípio da necessidade, limitando o uso de dados ao mínimo necessário para atingir as finalidades explícitas.
Governança de Privacidade
A implementação da Governança de Privacidade deve seguir alguns componentes.
A Governança deve partir de uma estratégia clara de Privacidade de Dados dentro da empresa, cujos objetivos devem estar bem implementados na cultura da empresa. Partindo desta estratégia de Privacidade de dados, o Plano de Governança de Privacidade deve abarcar as principais funções dentro da empresa e as respectivas responsabilidades a elas impostas.
| Comitê Executivo de Privacidade e Proteção de Dados | Este Comitê, que tem a responsabilidade de acompanhar a implementação do Programa de Privacidade e Proteção de Dados, deve ser composto pelos diretores e gerentes envolvidos com o tratamento de dados nas mais diversas áreas da empresa, como marketing, RH, jurídico, etc. |
| Grupo de Trabalho | Este grupo, que define um plano de implementação e acompanha sua execução, deve ser composto do DPO, membros do jurídico, Compliance, Segurança da Informação e TI, além de um PMO que possa gerir diretamente o projeto. |
| Executivos gestores de Negócios | Grupo focado no acompanhamento e na revisão da implementação do projeto, tendo como responsabilidade apresentar ao grupo de trabalho os aspectos do negócio que devem ser balanceados com a privacidade e segurança da informação |
| Usuários chaves e especialistas | Grupo com responsabilidade técnica para as atividades de saneamento, avaliação e desenvolvimento, sendo o grupo responsável pela execução da maior parte das ações de implementação do projeto de adequação à LGPD. |
É importante também que sejam definidos indicadores que possam medir de maneira eficaz o sucesso da implementação do projeto e que facilitem a visualização das áreas e pontos que estão em conformidade bem como as que podem apresentar maiores riscos. Os indicadores, que devem ser implementados em todas as camadas da estrutura de governança, facilitam a cobrança de metas e objetivos tangíveis em relação à implementação do projeto.
Outro ponto relevante para a estrutura de governança é a criação e implementação de políticas de privacidade e proteção de dados claras e transparentes, que permitam ao cliente acompanhar e compreender todos os processos de tratamento aos quais estarão sujeitos seus dados, bem como servirá de base para a gestão dos direitos dos titulares de dados.
A Lei Geral de Proteção de Dados apresenta uma série de direitos aos titulares de dados, os quais a empresa deve estar preparada para cumprir e demonstrar seu respeito. É papel do DPO ser o contato dos clientes com a empresa no que tange a estes assuntos, sendo recomendável a implementação de estruturas de automatização que possam simplificar o contato do cliente com o DPO, evitando complicações para ambos na dificuldade de acesso ou contato. Os direitos dos titulares de dados são:
- Consentimento
- Revogação do Consentimento
- Acesso à informação
- Correção de dados
- Anonimização, bloqueio ou eliminação dos dados
- Portabilidade
- Eliminação dos Dados
- Informação de dados compartilhados
- Oposição ao tratamento de dados
A aplicação pronta a estes direitos exige uma grande organização dentro da empresa para que seja possível prestar as informações exigidas, como ter em mãos os registros do consentimento, de toda e qualquer transferência de dados, bem como métodos para a exclusão dos dados, entre outros.
Treinamento LGPD
Um aspecto muito importante para que as medidas tomadas na implementação do Projeto de implementação e adequação à LGPD é o treinamento do pessoal para que seja efetivada uma cultura de respeito à privacidade e proteção de dados, incluindo a segurança da informação. A efetividade deste treinamento está condicionada a algumas questões relevantes: o treinamento deve ter em mente a realidade e os riscos presentes na sua empresa, sendo os gaps e riscos reais o pano de fundo para a conscientização.
Novamente, é positivo que sejam estabelecidas métricas e parâmetros que possibilitem a compreensão dos objetivos e resultados. O treinamento deve ser preparado com antecedência para engajar a equipe, priorizando a atitude comportamental e com exercícios de simulação e dinâmicas inteligentes.
Adequação à LGPD: Implementação do Sistema de Compliance em Privacidade
Em relação ao Compliance com fornecedores e parceiros, existe uma série de pontos relevantes a serem levantados:
→ Contratos com clientes, parceiros e fornecedores:
Os contratos devem ser formulados levando em consideração a privacidade e a proteção de dados, sendo importante que estes deixem claro o papel e as responsabilidades das partes, bem como dos controladores e processadores. Os contratos devem também considerar a Segurança da Informação, sendo possível a inclusão de seguros para Cyber Risks.
→ Empresas coligadas e parceiros de negócio:
É importante que o sistema de Compliance com parceiros leve em consideração os “co-controladores”, deixando claros os diferentes papéis e responsabilidades, sendo importante que as políticas de privacidade e compartilhamento de dados sejam transparentes. Outro ponto relevante para o Compliance é a implementação de uma gestão integrada de incidentes de segurança.
→ Plataformas em nuvem:
Os ambientes em nuvem exigem uma série de cuidados específicos, como o controle sobre transferência internacional de dados, a aplicação de Segurança da Informação e o constante monitoramento contra ataques e vazamentos de dados.
→ Compra de dados de bureaus:
A compra e venda de dados exigem contratos que respeitem e explicitem as bases legais que suportam esta comercialização, bem como a definição clara dos papéis e responsabilidades, a transparência ao titular dos dados e o tracking da origem dos dados nas bases de dados e sistemas.
→ Monitoramento
A implementação interna ou a contratação externa de um serviço de SOC (Security Operation Center) é uma boa opção para o monitoramento dos sistemas e para melhor implementação da Segurança da Informação, sendo uma boa opção especialmente para empresas de pequeno e médio porte.
São pontos relevantes a efetivação de auditorias periódicas do parceiro, bem como a aplicação das penalidades previstas se necessário.
LGPD em Startups: o que muda no projeto de Implementação e Adequação à LGPD?
Uma abordagem com muitos aspectos positivos para qualquer tipo de negócios que lide com dados, é o privacy by design sendo especialmente proveitoso na formulação de projetos e aplicações desenvolvidos pelas Startup.
O conceito, que significa que os quesitos de privacidade e proteção de dados, bem como os princípios e fundamentos das leis de proteção de dados, devem ser considerados como parte essencial do projeto desde suas primeiras concepções, de modo que todo o plano para a criação da Startup e de seu modelo de negócio sejam baseados na proteção da privacidade.
Neste sentido, alguns princípios da abordagem são úteis no momento da concepção da Startup, tal como a proatividade em relação à privacidade, significando a antecipação de possíveis riscos. Do mesmo modo, a privacidade deve ser a configuração padrão, sendo o mais alto nível de proteção aos dados, incluindo criptografia e anonimização, já implementado de início como o padrão. Tendo estas questões em mente desde o início do projeto, a implementação de medidas necessárias de proteção à privacidade não serão empecilhos para o bom funcionamento do sistema, que já é construído com elas em mente.
Para além da estrutura de governança apresentada nos tópicos acima, as Startups, que costumam utilizar um maior volume de dados e funcionar em meio ao ambiente digital devem ter alguns aspectos importantes a serem considerados no momento da implementação da estrutura de governança:
Categorias de dados pessoais:
A governança deve incluir o cuidado na coleta, armazenamento e processamento de dados, levando em consideração as diferentes categorias de dados coletados.
Política de Privacidade:
A apresentação de políticas de privacidade claras, objetivas e honestas é de enorme importância para as startups, sendo essencial que sua boa elaboração seja efetivada por toda a equipe, incluindo os desenvolvedores, seguindo as noções de privacy by design.
Segmentação de dados:
A segmentação de dados exige um grande cuidado, em especial quando parte da utilização de dados sensíveis ou quando pode ser enquadrada como discriminatória, excludente ou abusiva. Estes pontos devem ser analisados com a equipe de Marketing, sendo recomendado colocar em prática avaliações de risco relacionadas ao processo.
Interpretação e auditabilidade de algoritmos:
Os algoritmos utilizados pela Startup, especialmente aqueles que se utilizam de machine learning e deep learning, exigem interpretação e auditabilidade. Ainda que processos que utilizem inteligência artificial e as técnicas citadas sejam de difícil interpretação e dificultem a explicação de como o algoritmo chegou a um dado resultado, os esforços possíveis para esclarecer o processo devem ser devidamente documentados.
Governança nas equipes de desenvolvimento:
As equipes de desenvolvimento devem analisar constantemente os aspectos de privacidade e proteção de dados relacionados à sua atuação e implementá-los em sua metodologia, tendo sempre em mente os conceitos de privacy by design e privacy by default. A governança na área deve ponderar como levar em consideração as questões relacionadas a possíveis vieses inconscientes nos programas e algoritmos, bem como a segurança da informação.
Internet of Things (IoT):
Aplicações desenvolvidas no conceito da Internet das Coisas devem ter elevada atenção com a transparência na coleta de dados e no princípio da necessidade, bem como considerar as questões de segurança necessárias, levando em consideração que este tipo de aplicação rotineiramente é alvo de ataques e invasões.
Aplicação de componentes de segurança:
A aplicação de técnicas e componentes de criptografia, senha segura, duplo fator de autenticação, ativação e monitoramento de logs, prevenção a ataques, entre outros é de grande importância para a governança de dados na Startup.
Compartilhamento de dados com parceiros
É importante desenvolver um programa adequado de contratação e homologação de contratos que assegure que os dados compartilhados vão estar seguros, mantendo o mesmo nível de segurança e privacidade dos dados tratados dentro de sua empresa. Nesta seara, é importante a revisão de contratos e a elaboração de novos contando com mecanismos como penalidades, auditoria e monitoramento periódico, uma vez que o compartilhamento de dados com parceiros que não mantenham um nível decente de segurança e privacidade pode pôr em risco todos os cuidados internos para proteção de dados.
Monitoramento contínuo:
Assim como mencionado acima, é de grande importância para Startups terem um monitoramento contínuo que permita que os padrões de segurança e privacidade estejam sempre sendo aplicados. Assim, é recomendável a implementação interna ou a contratação de empresa especializada no monitoramento contra ataques, invasões e vazamentos.
Transferência Internacional de Dados
Tanto a LGPD quanto a maior parte das legislações sobre proteção de dados ao redor do mundo tem disposições específicas que regem a transferência internacional de dados que devem ser atendidas com cuidado.
Fontes:
[1] Adaptado de Comentários à Lei Geral de Proteção de Dados: Lei 13.709/2018. Bruno Feigelson, Antonio Henrique Albani Siqueira. São Paulo: Thomson Reuters Brasil, 2019.
[2] Adaptado de LGPD: Lei Geral de Proteção de Dados pessoais: manual de implementação. Viviane Nóbrega Maldonado (coord.). São Paulo: Thomson Reuters Brasil, 2019.
Time BL Consultoria Digital – Direito Digital e Análise Regulatória
Este artigo “Série LGPD na Prática: Elaboração do Plano de Ação do Projeto de implementação e Adequação à LGPD” foi escrito Por Rodrigo Glasmeyer, Revisado por MSc. Graziela Brandão. Conheça o BL Consultoria Digital, acesse aqui!
