21-09-2020

As Ouvidorias e a vigência da Lei Geral de Proteção de Dados


Após muita polêmica quanto à efetiva data de vigência passou a valer desde o último dia 18 de setembro a Lei Geral de Proteção de Dados (LGPD) 13.709/2018.

A regulamentação do tratamento de dados pessoais dos cidadãos e clientes por parte dos órgãos públicos e empresas privadas entrou em vigor sem a definição da autoridade responsável pela fiscalização, nem aplicação de sanções. Somente em agosto de 2021 passarão a ser aplicadas as sanções pelo descumprimento da LGPD.

Resultado de quase uma década de debates e polêmica no Congresso, a legislação inspirada na legislação europeia afeta fortemente as Ouvidorias.Elas precisam estar estruturadas para o recebimento de manifestações que por ventura possam a violar o uso de dados pessoais e sensíveis das pessoas naturais sob sua custódia, sob pena de uma enxurrada de ações judiciais.

As empresas que não se prepararam, apostando no adiamento da vigência da lei agora têm que correr atrás do prejuízo.

A LGPD pode ser relacionada com as legislações que se constituem numa ferramenta de cidadania, com forte ponto de intersecção com o Código de Defesa do Consumidor, a Lei 8078/90 que completou em 11 de setembro 30 anos de sua promulgação. Ambas privilegiam a informação ao cidadão.

A LGPD tem entre seus princípios a autodeterminação informativa, ou seja, o consentimento do cidadão é essencial para o tratamento dos seus dados pessoais tanto pela Poder Público como pela iniciativa privada. Em outras palavras, ele detém o poder de agir ou não agir em relação ao uso de seus dados, a decisão é sua!

E aí é possível inferir o primeiro ponto que impactará nas manifestações à Ouvidoria. Para decidir é preciso que a informação seja prestada, de forma inequívoca, indicando a finalidade da coleta dos dados e como se dará eventual descarte.

Recomendações

A advogada Flávia Alcassa que participou de debate promovido pela ABO Nacional e ABO SP sobre o tema, recomenda como medidas para a governança de dados e boas práticas:

Elaborar um mapeamento de fluxo de dados/ inventário de dados (Data mapping). É o primeiro passo para diagnosticar a forma como a empresa lida com a privacidade e segurança da informação, com o objetivo de obter as informações necessárias para análise de vulnerabilidades técnicas e jurídicas.

Mapear os riscos (risk mapping) com o objetivo de obter informações de riscos legais, técnicos e de imagem.

Elaborar um Diagnóstico de adequação da proteção dos dados pessoais (conformidade com a LGPD – RIPDP- Relatório de Impacto à Proteção de Dados).

Revisar ou elaborar a Política de Segurança da Informação, políticas de privacidade, código de ética e conduta, termos de uso, termos de consentimento de uso de dados,  contratos com funcionários, clientes e fornecedores.

Nomear encarregado de dados (DPO)- uma peça chave para cuidar das questões relacionadas a proteção de dados da organização, entre outras medidas.

Elaborar termos de autorização de envio de dados a terceiros para finalidade específica;

Adotar um Código de Ética e Conduta para gerenciar dados pessoais (delimitar claramente os papéis que cada parte exercerá no tratamento dos dados pessoais, o que impacta diretamente na definição de suas responsabilidades, de acordo com a lei);

Incluir nos contratos de trabalho cláusulas de conformidade à LGPD, incluindo cláusulas de confidencialidade;

Elaborar aditivos dos contratos em vigor para adequação as exigências da LGPD, incluindo cláusulas de confidencialidade;

Revisar e incluir cláusula de conformidade nos contratos com prestadores de serviços;

Produzir cartilhas e informativos sobre a segurança da informação e proteção de dados.

Incluir nas gravações (o consentimento), pois se a conversa gerar coleta de algum dado, ele terá que ser indicado em alguma base legal.

Observar que caso precise do consentimento e não outra base legal para fazer a coleta, ele deve ser exclusivo, informado, destacado etc. E isso pode inclusive ser feito por gravação (informar de forma clara e acessível o motivo pelo qual necessita colher determinados dados pessoais, bem como, eventuais salvaguardas que a Ouvidoria possuir em relação à identidade das pessoas envolvidas na manifestação).

Para as ouvidorias municipais  a especialista indica como referência a ser estudada a regulamentação da Prefeitura Municipal de São Paulo que por meio do Decreto 59.767 de 15 de setembro de 2020, regulamentou a Lei Federal 13.709 de 14 de agosto de 2018, Lei Geral de Proteção de Dados, em âmbito municipal. Uma das questões importantes é que o responsável na condição de encarregado, nos termos da LGPD, é o Controlador Geral do Município.

Critérios para preservação dos dados

Vagner Diniz, gerente do Centro de Estudos sobre Tecnologias Web do NIC.br e do Consórcio W3C Capítulo Brasil , que também participou de debate sobre o tema, explica que do ponto de vista da tecnologia, a preservação dos dados significa a guarda de dados considerados relevantes.

A guarda deve atender algumas condições básicas: segurança (proteção da existência e acesso) e recuperação (eficiência na pesquisa). A guarda dos dados pode ser feita de maneira direta (Direct Attached Storage) em um dispositivo existente em seu computador ou servidor, ou em rede (Network Attached Storage) por meio de dispositivo de armazenamento com capacidade de se conectarem em uma rede sem precisar se conectar a um servidor, ou por uma rede de dispositivos (Storage Area Network) de armazenamento que distribuem as atividades de guarda e recuperação de maneira otimizada, ou ainda fazendo uso do armazenamento em nunvem (Cloud Computing).

A melhor forma de se preservar dados é começar identificando qual modo de armazenamento oferece melhor resposta em termos de capacidade, segurança e agilidade.

Especificamente sobre a peseudonimização, que exige  a possiblidade de associação dos dados a seus titulares, Diniz observa que há diferentes técnicas para garantir que os dados estejam em lugar seguro (criptografia, blockchain, token etc.)

A LGPD menciona que “as atividades do encarregado consistem em aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências...”, Mas nem sempre essas atribuições recaem sobre o ouvidor. Pode ser um profissional ligado a ele.

De acordo com Vagner Diniz o Data Protection Officer (DPO, ou encarregado, na LGPD) é uma das figuras previstas em lei das mais importantes na viabilização e operacionalização da LGPD. Até o momento, a prática comum no setor privado tem sido estabelecer na área jurídica o locus principal do planejamento e implementação da conformidade à lei.

O DPO, destaca Diniz,  precisa ter um bom conhecimento da legislação nacional e internacional sobre o tema. Não precisa ser profissional do Direito, mas ajuda muito. Além disso, esse profissional precisa conhecer insfraestrutura de TI, gestão de dados e governança da Internet. Provavelmente não recairá sobre o Ouvidor tais atribuições, mas alguém ligado a ele diretamente.

Os dados sobre saúde foram relacionados como sensíveis, no entanto existem recomendações para o tratamento dos dados objetivando obter vantagens econômicas e ao mesmo tempo uma necessidade em disponibilizá-los para subsídio de políticas públicas.

Diniz observa que por definição legal, os dados gerados na administração pública são públicos, o sigilo é a exceção. Ou seja, é permitido o sigilo sobre dados públicos se já houver algum ato explicitando o motivo e o período de sigilo.

Dados sensíveis são dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

O uso de dados pessoais para vantagens econômicas precisa de consentimento expresso do titular. Empresas públicas de mobilidade (ônibus, metrô) devem estar muito atentas às nuances para os casos de serviços sob concessão. É fundamental ter um serviço claro e inequívoco de consentimento do usuário e da finalidade do uso de dados, não podendo ser genérico.

O uso de dados sensíveis é vedado pela LGPD, mas cabe a exceção em caso de consentimento expresso do titular e outras exceções, como execução de políticas públicas.

Em ambos os casos, a regulamentação sobre o procedimento de obtenção do consentimento expresso do titular dos dados e do uso das exceções é essencial para evitar eventuais judicialização da lei.

No período denominado de “quarentena”  durante a pandemia de Covid-19 que se iniciou com a decretação de situação de emergência em Estados e Municípios, de uma maneira geral; o monitoramento dos cidadãos em isolamento social se baseou em grande medida pelo acesso e monitoramento dos celulares de maneira anonimizada, observando-se as disposições da LGPD. Diniz não concorda que na prática o Poder Público internalizou a LAI e a LGPD. “O monitoramento do isolamento social com o uso de dados extraídos dos celulares de usuários de diferentes operadoras é um assunto polêmico, ainda não pacificado entre diversos atores interessados no tema”, argumentou.

Mesmo que tal monitoramento tenha respaldo “antecipado” na LGPD, a indispensabilidade e a eficácia do seu uso não fica explícito pelas seguintes razões:

- os dados coletados identificam a casa do usuário do celular

- os dados coletados identificam o deslocamento do usuário do celular

- não há previsão legal para que as operadoras coletem esses tipos de dados

- o usuário não foi informado que e como esses dados seriam coletados e compartilhados pelas operadoras com o poder público

- a função de geolocalização precisa estar ativada no celular para que o resultado não se baseie apenas nos dados das estações de rádio-base, que são imprecisos em termos de localização.

- a imprecisão de dados de localização dos celulares pode chegar a casa de 60 metros. Pessoas que vivem em um mesmo prédio, porém em apartamentos diferentes, estariam aglomerando-se por esse tipo de monitoramento.

- um em cada quatro brasileiro não tem acesso à Internet

As pequenas e médias empresas estão utilizando plataformas oferecidas por bancos, entidades como associação comercial, parcerias, para viabilizar o e-commerce. A dúvida é se a LGPD se aplica e a responsabilidade será compartilhada em relação à proteção de dados. Para Diniz a LGPD aplica-se a todos do ecossistema de tratamento dos dados. A responsabilidade principal perante o titular dos dados pessoais é do agente que faz a última milha.

O protagonismo da proteção de dados também se identifica pela cibersegurança adotada como prática em muitas organizações, sejam públicas ou privadas. Diniz  explica que Cibersegurança significa “segurança cibernética”. Cibernética tem origem no grego e significa a arte do piloto e chegou até nós como pilotar, governar, dirigir seres vivos e máquinas. Porém, por alguma razão desconhecida, o termo é mais utilizado para o mundo das máquinas. Portanto, cibersegurança podemos traduzir como governança da segurança de máquinas.

 No contexto deste debate, cibersegurança é todo um conjunto de práticas que protege computadores, servidores, dispositivos móveis, sistemas eletrônicos, redes e dados de uma organização contra acessos indevidos e ataques internos e externos. Para assuntos de cibersegurança, é recomendável que as organizações tenham em seus quadros próprios ou terceirizados a figura do Chief Security Officer (CSO) ou o Responsável pela Segurança da Informação.

Quanto ao tratamento de denúncias virtuais de assédio, na opinião de Diniz, aplicam-se todas as normativas expressas na LGPD, em especial as questões relacionadas a dados sensíveis do denunciante e vítima.
 
 

Comentários