LGPD: mapa de adequação

Com a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD) e sua repercussão, você deve ter tido a chance de se familiarizar com o tema de proteção de dados pessoais. Se você é o responsável pela T.I, pelo jurídico ou pelo compliance da organização onde trabalha, é possível que essa nova lei tenha, inclusive, significado o surgimento de mais uma demanda na sua lista de afazeres. Mas afinal, o que é a LGPD e como lidar com ela?

A proteção de dados pessoais faz cada vez mais sentido no atual estado da técnica, onde é possível – e social e economicamente fundamental – processar dados pessoais em grande escala. Esse tratamento incide, necessariamente, em riscos à privacidade e a direitos fundamentais de cada um de nós. Os riscos associados ao processamento de dados pessoais são, de certo modo, a poluição que decorre da sociedade da informação. Esses riscos se materializam, por exemplo, na possibilidade de decisões equivocadas (e.g. relativas à concessão de crédito ou contratação para emprego); na falta de controle sobre o fluxo de dados que dizem respeito a uma pessoa e a eventuais consequências da discriminação e do profiling.

As Leis de proteção de dados pessoais nada mais são que respostas regulatórias aos riscos associados ao processamento massivo de dados pessoais. A legislação parte do pressuposto de que dados pessoais não podem ser processados sem que uma série de requisitos e controles sejam observados.  Na lógica da LGPD, governo e iniciativa privada partem do “não” para tratar dados pessoais. O caminho rumo ao “sim” é intrincado, exigindo tempo e investimento.

A LGPD é a lei brasileira, inspirada no modelo europeu, em especial na principal norma sobre o tema, o GDPR, que assegura a proteção de dados pessoais. Para olhos não treinados, a leitura da LGPD pode ser intimidadora.  São várias as obrigações e compromissos que deverão ser assumidos que, apesar de devidamente ordenados na lei, não guardam lógica aparente ou explícita.

Para chegar ao “sim” a LGPD (e, de maneira geral, qualquer lei de proteção de dados pessoais) exige quatro conjuntos de medidas ou ações daquele que pretende tratar dados pessoais: (i) observância dos requisitos para tratamento (e.g. obtenção de consentimento, existência de interesses legítimos, tratamento para a tutela de saúde); (ii) tratamento de acordo com os princípios aplicáveis à gestão de dados (e.g. apenas para a finalidade objeto do consentimento; mínimo de dados necessários para atingir o propósito do tratamento); (iii) observância dos direitos do titular quanto a seus dados (e.g. acesso, correção, portabilidade, eliminação e revogação); (iv) adoção de controles, processos, boas práticas e governança (e.g. DPO, Privacy by Design, Accountability).

São esses os marcos a serem perseguidos rumo à conformidade no tratamento de dados pessoais. Apesar de não serem simples de implementar, são uma referência  segura, tanto para a interpretação adequada da LGPD, quanto para a implementação dos controles internos de uma organização.

Tendo isso em mente, ética, confiança e comprometimento são as balizas de um processo de compliance em proteção de dados pessoais.  Ética no sentido de que a organização deve pautar seu tratamento de dados com base na razoabilidade; confiança no sentido de que a conquista de confiança de todos os stakeholders (e.g. titulares, regulador e parceiros) deve ser perseguido; comprometimento na medida em que nenhum desses objetivos será atingido sem o compromisso da alta administração.