A Lei Geral de Proteção de Dados(LGPD) nas ouvidorias públicas e privadas
Artigo de Flávia Alcassa*
Com a promulgação da Lei de Proteção dos Dados Pessoais (LGPD), nº 13.709/2018, realizada pelo ex-presidente Michel Temer em 2018, tornou-se uma obrigação de empresas e instituições públicas reavaliar as maneiras de coleta, armazenamento, uso e compartilhamento de dados pessoais para garantir que a lei não será descumprida.
As ouvidorias, tanto privadas quanto públicas, já atuavam de forma a proteger os dados pessoais dos cidadãos. Mas, agora elas devem garantir que estão colocando em prática os dez princípios elencados pelo artigo 6º da Lei nº 13.709/2018, já que elas têm contato direto com o público. A seguir, confira quais são eles e como implementá-los em uma ouvidoria.
Princípios da LGPD
Finalidade
De acordo com esse princípio, o tratamento de dados pessoais precisa ter uma finalidade específica, legítima e essa deve ser informada ao titular. Sendo assim, a Ouvidoria deve solicitar ao cidadão somente dados que estão de acordo com essa finalidade e explicar o porquê necessita dessas informações (em atendimentos presenciais, por telefone e online).
Adequação
Depois da coleta de dados, esses devem ser usados somente para a finalidade informada ao titular. Sendo assim, caso surja outra finalidade, a Ouvidoria precisa contatar o cidadão(titular) novamente e esse tem que permitir o uso das informações.
Necessidade
A coleta deve solicitar o mínimo necessário de dados para realizar a finalidade proposta. Dessa forma, é papel da Ouvidoria explicar claramente para o cidadão quais dados são de preenchimento obrigatório no atendimento e quais são opcionais.
Livre acesso
Esse princípio garante acesso facilitado e gratuito ao titular sobre a forma, duração e integralidade do tratamento de seus dados pessoais. Portanto, a Ouvidoria precisa criar um documento padrão de solicitação e resposta para que essa consulta seja realizada. Ainda, é necessário informar ao titular quem é o responsável por lidar com sua solicitação.
Qualidade de dados
Os dados coletados precisam ser claros, relevantes e atualizados, ou seja, devem ser de qualidade para que a finalidade do tratamento seja cumprida. É função da Ouvidoria estabelecer um padrão de qualidade, explicar isso ao titular, informar quais dados terão que ser atualizados e como essa tarefa será realizada.
Transparência
O tratamento de dados precisa ser transparente, portanto, todos os titulares devem ter informações claras e precisas sobre essa atividade. É obrigação da Ouvidoria divulgar as políticas de privacidade e os processos do tratamento. Além disso, esse conteúdo deve ser acessível, ou seja, compreensível para todos os indivíduos.
Segurança
Esse princípio garante que os dados devem ser protegidos de acessos não autorizados e situações acidentais, como perdas e alterações. Para isso, a Ouvidoria precisa armazenar os documentos de forma segura, por exemplo, com ferramentas de pseudonimização dos dados, criptografias, tokens etc. Outra ação interessante é treinar os colaboradores do setor para que eles compreendam a seriedade da confidencialidade no ramo.
Prevenção
É responsabilidade de toda instituição adotar medidas para prevenir danos causados pelo tratamento de dados. Então, é preciso fornecer ao titular, por exemplo, a oportunidade de realizar uma manifestação anônima e com sigilo de dados.
Não discriminação
O princípio da não discriminação deixa claro que a coleta não pode ser feita para fins discriminatórios, ilícitos ou abusivos. Isto posto, a Ouvidoria precisa se certificar de que todos os cidadãos recebem o mesmo atendimento e proteção da equipe, além de garantir que não há segregação e estigmatização fundamentadas pela coleta de dados pessoais.
Responsabilização e prestação de contas
O último princípio da LGPD deixa claro que o agente precisa adotar medidas eficazes e que comprovem a observância e o cumprimento das normas de proteção de dados pessoais. Por isso, os profissionais da Ouvidoria devem assinar um termo de confidencialidade em relação aos dados dos usuários que estão sob suas responsabilidades.
Assim, é possível garantir que a proteção de dados será cumprida na instituição e mostrar que esse é um comportamento fundamental para a empresa ou órgão público.
Quanto a vigência da lei, o deputado Damião Feliciano no dia 05/082020 em parecer preliminar sobre a Medida Provisória nº 959/2020, relatou em seu voto a importância da lei e a necessidade de manter o início da vigência para o dia 14/08/2020 diante do cenário atual de maior necessidade de proteção das informações pessoais “em tempos de isolamento social onde as pessoas estão mais dependentes da internet e interagem por este meio e demais ferramentas associadas para diversos aspectos de seu cotidiano, chamado “(rastro digital)”.
Diante de tantas alterações de datas do início de vigência da LGPD, não se sabe ainda se a LGPD vai entrar em vigor nos próximos dias ou apenas no ano que vem, porém, as instituições e suas ouvidorias precisam se preparar o quanto antes para implementar a LGPD no atendimento ao público.
Algumas sugestões para as ouvidorias públicas e privadas se adequarem a LGPD.
Algumas medidas importantes a adotar:
- Elaborar um Mapeamento de fluxo de dados/ inventário de dados (Data mapping) - sendo o primeiro passo para diagnosticar a forma como a empresa lida com a privacidade e segurança da informação, com o objetivo de obter as informações necessárias para análise de vulnerabilidades técnicas e jurídicas.
- Elaborar um Diagnóstico de adequação da proteção dos dados pessoais (conformidade com a LGPD – RIPDP- Relatório de Impacto à Proteção de Dados).
- Revisar ou elaborar Política de Segurança da Informação, políticas de privacidade, código de ética e conduta, termos de uso, termos de consentimento de uso de dados, contratos com funcionários, clientes e fornecedores.
- Nomear encarregado de dados (DPO)- uma peça chave para cuidar das questões relacionadas a proteção de dados da organização, entre outras medidas.
- Adotar um Código de Ética e Conduta para gerenciar dados pessoais (Delimitar claramente os papéis que cada parte exercerá no tratamento dos dados pessoais, o que impacta diretamente na definição de suas responsabilidades, de acordo com a lei);
- Incluir nos contratos de trabalho cláusulas de conformidade a LGPD, incluindo cláusulas de confidencialidade;
- Elaborar aditivos dos contratos em vigor para adequação as exigências da LGPD, incluindo cláusulas de confidencialidade;
- Elaborar cartilhas e informativos sobre a segurança da informação e proteção de dados.
- Incluir nas gravações (o consentimento) pois se a conversa gerar coleta de algum dado, ele terá que ser indicado em alguma base legal. Observar que caso precise do consentimento e não outra base legal (legitimo interesse) para fazer a coleta, ele deve ser exclusivo, informado, destacado etc. E isso pode inclusive ser feito por gravação (informar de forma clara e acessível o motivo pelo qual necessita colher determinados dados pessoais, bem como, eventuais salvaguardas que a Ouvidoria possuir em relação à identidade das pessoas envolvidas na manifestação)
REFERÊNCIAS:
- BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD) (Redação dada pela Lei nº 13.853, de 2019). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm Acesso em: 06/08/2020.
*Flávia Alcassa -Advogada, especialista em Direito Digital|DPO Data Privacy| Corporate| Membro do comitê jurídico da ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados, Membro da ANADD - Associação Nacional de Advogados do Direito Digital, certificada pela EXIN Privacy and Data Protection, Proteção de dados, Segurança Digital e Contratos pela FGV.