A pandemia do COVID-19 fortaleceu ainda mais o teletrabalho, também conhecido por “home-office”, devidamente regulamentado pela legislação trabalhista no seu art.75-B, abaixo “in verbis”:
Art. 75-B. Considera-se teletrabalho a prestação de serviços preponderantemente fora das dependências do empregador, com a utilização de tecnologias de informação e de comunicação que, por sua natureza, não se constituam como trabalho externo.
Para as empresas que já possuíam ferramentas e políticas de privacidade e segurança de dados adequadas a transição do trabalho presencial para o teletrabalho foi rapidamente implementada, sem maiores preocupações mas, e aquelas empresas que não possuíam nem políticas e nem ferramentas adequadas?
Pois bem, este artigo busca exatamente alertar tais empresas sobre a necessidade de implementação de políticas de segurança e privacidade de dados e, em especial, dados pessoais, já que a Lei Geral de Proteção de Dados Pessoais já é uma realidade bem próxima.
Primeiramente é importante lembrar que as empresas, leia-se “controladores”para a LGPD, são diretamente responsáveis por qualquer dano patrimonial, moral, individual ou coletivo que vierem a causar em razão do exercício de atividade de tratamento de dados pessoais–art.42, caput da LGPD.
As empresas também respondem pelos atos dos seus fornecedores, leia-se “operadores” para efeitos de LGPD,uma vez que compartilhem com estes, dados pessoais.
Ainda, nos termos do artigo 52, os agentes de tratamento de dados, leia-se “controladores e operadores”, que atuarem em desconformidade com o disposto na Lei, estão sujeitos a sanções administrativas, mas não apenas:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I -advertência, com indicação de prazo para adoção de medidas corretivas;
II -multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III -multa diária, observado o limite total a que se refere o inciso II;
IV -publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V -bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI -eliminação dos dados pessoais a que se refere a infração;
VII ao IX -VETADOS
X -suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI -suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII -proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Infelizmente, observamos que algumas organizações não têm sequer ideia dos riscos a que estão expostas com o advento do “homeoffice” e o que pode parecer a panaceia de todos os problemas, mais ainda, para reduzir custos trazidos pela crise é também a porta de entrada de demandas que podem custar inclusive a paralisação total dos negócios.
Assim queremos num primeiro momento, e muito brevemente, alertar as organizações para a conformidade das suas operações e processos, apresentando um pequeno guia a fim de que as organizações comecem a entender a importância e a necessidade de adequação das suas operações à segurança e privacidade de dados.
Plano de adequação
Seu objetivo é garantir a conformidade ou “compliance”, ou seja, garantir que todos os dados pessoais sejam tratados com segurança e privacidade, impedindo sua alteração, perda, acesso ou exposição indevidas.
Basicamente o plano de adequação tem6 etapas: diagnósticos; programa de privacidade; revisão e adequação de contratos; treinamentos e comunicação; plano de resposta a incidentes de segurança em dados pessoais; revisão final e atualização.
1. Diagnóstico
Preliminarmente é importante identificar quais e que tipo de dados pessoais ou de dados sensíveis a empresa trata e com qual finalidade (vide art.7º-LGPD) visto que as hipóteses são restritas e previstas em lei.
Como se trata ou se processa esses dados, quem tem acesso a eles, onde ficam armazenados, com quem são compartilhados são algumas das questões que nortearão esse diagnóstico que será mais ou menos complexo dependendo da operação e do negócio da empresa e ao final deve demonstrar o nível de conformidade atual e o que precisa ser feito.
2. Programa de Privacidade
Com base no diagnóstico nasce um projeto de conformidade ou “compliance” que vai lançar as bases da política de privacidade e segurança da informação da organização, dentro da qual está inserido o programa de segurança de dados pessoais.
Veja que aqui a organização tem uma oportunidade única de mapear seus fluxos e processos, tecnologia utilizada (softwares, hardwares, servidores, armazenamento, etc.) sua necessidade ou não, sua adequação ou não, suas falhas e incompletudes, os responsáveis por cada atividade e sua relevância ou não para o negócio.
3.Revisão e adequação de contratos
Ao identificar os responsáveis pelas atividades podemos verificar se esta é feita dentro ou fora da organização, o que nos leva aos terceiros, parceiros contratados para desenvolver atividades necessárias à organização.
Aqui a revisão e adequação de contratos tem caráter essencial já que rege as relações com funcionários (vale lembrar que o código de conduta é parte da política de segurança da informação), clientes, parceiros, fornecedores e prestadores de serviço em geral.
4.Treinamentos e comunicação
Lembre-se: aparte mais vulnerável de qualquer organização são as pessoas.
Podemos ter o software mais seguro do mercado mas, se não tivermos a conscientização das pessoas em segurança e privacidade, estas abrirão as portas da organização em detrimento daquele.
Por esta razão sensibilização e treinamento são imprescindíveis, assim como o preparo e o alinhamento da comunicação interna e externa, através de protocolos de comunicação, seja com qualquer interlocutor (interno ou externo) da organização.
5.Plano de respostas a incidentes de segurança em dados pessoais
Como “incidentes” devemos entender, na forma do art. 46 –LGPD: “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
Por esta razão, o plano de respostas a incidentes de segurança deverá definir, acima de tudo um Comitê de Crises, envolvendo representantes das principais áreas da organização assim como a direção.
Esse comitê deve ter autoridade e conhecimento dos processos e políticas da organização, para a coleta de evidências, mas não pode ser nem muito grande nem muito pequeno, porque deve ser ágil mas competente para analisar todos ângulos e impactos do incidente para, atuando rapidamente, minimizarem os riscos e suas repercussões.
Importante destacar, que as medidas de resposta a incidentes devem ser tomadas de imediato, pois há casos em que a autoridade supervisora – ANPD –Autoridade Nacional de Proteção de Dados Pessoais, deve ser comunicada em “prazo razoável”, conforme art. 48, parágrafo 1º-LGPD, assim como os próprios titulares de dados.
Para isso a organização já deve ter estabelecido as formas de comunicação entre empresa-titulares-agência supervisora, ou seja, o responsável (DPO -art. 41 LGPD), os canais (email, telefone) e a forma oficial (formulários, relatórios, conteúdo, etc.).
6.Revisão e atualização
Considerando-se que nada é estático e que tecnologia e legislação estão em constante evolução, o projeto de “compliance”deve prever revisões e atualizações periódicas, do mesmo modo que a organização atualiza seus “softwares”deverá atualizar seus processos e políticas de privacidade e segurança de dados.
Sabemos que o assunto é vasto e não temos a pretensão e nem seria factível cobrir aqui, toda a sua complexidade, mas podemos abrir portas para que os interessados busquem mais conhecimento e não sejam “pegos de surpresa”.
Se você quiser saber mais, acesse meu artigo no Jusbrasil: “Por que a LGPD “vai pegar”! e pesquise a bibliografia abaixo.
Até a próxima.
Lilian Pinheiro
Advogada Especialista Direito Digital, DPO “as a servisse”, Empresária, Membro das comissões OAB Direito Digital e Compliance, Inovação e Empreendedorismo.
Email: contato@melopinheiroeveras.com.br
Bibliografia:
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Brasília, DF. Acesso em 20 jul.2020.
MALDONADO, Viviane Nóbrega. BLUM, Renato Ópice. Lgpd -Lei Geral De Proteção De Dados -Comentada.São Paulo: Revista dos Tribunais, 2019.
MARTINS, Ricardo Maffeis; GUARIENTO, Daniel Bittencourt. Adequação à LGPD: uma oportunidade para empresas reverem seus modelos de negócio e desenvolverem novos produtos. Migalhas.Acesso em 20 jul.2020.
PINHEIRO, Patrícia Peck.Proteção de Dados Pessoais.1ª Ed. SP: Saraiva, 2018.