Nos quatro primeiros capítulos da Série “LGPD na Prática” foi possível identificar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), como manter uma estrutura de governança de dados dentro da organização, como preservar um inventário de dados pessoais e mecanismos de transferência e como implementar uma política de privacidade de dados.

Continuando com a proposta de esclarecer como a nova regulamentação influenciará nas rotinas da organização e a melhor forma de se preparar para cumprir com as novas obrigações legais, passo a exemplificar em que rotinas será necessário incorporar a privacidade de dados, sustentando procedimentos operacionais consistentes com as normas internas e externas e aos objetivos de gerenciamento de riscos:

1. Mapear os processos internos e aprimorar os controles de acesso. Conforme visto no capítulo anterior, deve-se revisitar ou implementar políticas e normas de conduta relacionadas à coleta, tratamento e guarda de dados pessoais, contudo a redação de documentos de nada adiantará se os processos e controles internos não respeitarem as regras criadas internamente e as regulamentações tais como a LGPD ou a GPDR. O mapeamento de todos os processos internos permitirá identificar com maior precisão quais são as áreas mais sensíveis da organização e, consequentemente, onde estão os maiores riscos, no que concerne à proteção de dados, seja de clientes, colaboradores, usuários de sistemas de informação ou aplicações, etc, permitindo que sejam aplicadas restrições ou implementadas melhorias nos controles de acesso a determinadas informações, por exemplo.

2. Integrar as normas de coleta, tratamento e guarda de dados às rotinas internas, como por exemplo:

2.1 No uso de cookies e mecanismos de rastreamento. No caso dos websites de organizações que processam dados pessoais ou que possam ser combinados ou selecionados para identificar determinada pessoa, será necessário revisar os termos de consentimento, possibilitando ao usuário de maneira ativa aceitar ou recusar os vários tipos de cookies antes de prévia configuração, informando de maneira clara por que, como e com que finalidade os dados serão utilizados e permitindo que, a qualquer momento, seja possível ter uma visão completa de todos os cookies ativos e que o consentimento possa ser revogado. Também deve restar devidamente identificado quais dados do usuário são compartilhados com terceiros em razão de aplicações que porventura estejam incorporadas ao seu website. Sob o ponto de vista das obrigações legais, as organizações devem registrar todos os consentimentos dos usuários, armazenando-os de forma segura para que possam ser utilizados como eventual prova. Já existem no mercado soluções que integram a política de cookies ao monitoramento da atividade de cookies em websites, gerando inclusive relatórios mensais sobre o processamento de dados.

2.2 Na retenção de dados. Conforme mencionado anteriormente, o inventário de dados permitirá que a organização livre-se de dados obsoletos, imprecisos e que eventualmente tenham sido processados sem o consentimento dos titulares evitando sua exposição às penalidades previstas pela LGPD. No entanto, com relação aos dados que permanecerão sendo processados é interessante que sejam implementados processos de categorização destes dividindo-os em categorias quanto ao tempo de retenção (curta, média ou longa, por exemplo). Importante salientar que o direito à revogação do consentimento de processamento de dados, por parte de qualquer titular, não pode se sobrepor ou contrariar outras legislações que versem sobre a obrigatoriedade de manutenção de determinados registros.

2.3 Nas práticas de marketing e publicidade digital. A LGPD impactará no engajamento e na relação entre as organizações e seus atuais, potenciais e ex-clientes. A fase de prospecção de vendas, em especial os formulários online e offline e as práticas de e-mail marketing deverão ser revisitados para estarem em conformidade com a nova regulamentação. No caso de aquisição das famosas “listas” com dados pessoais, a organização deverá obter junto ao terceiro coletor, de quem eventualmente as adquiriu, as informações de consentimento adequadas. Até mesmo no mundo B2B, ações simples de networking como a troca de cartões de visita e inclusão das respectivas informações em banco de dados das organizações deverá passar por um processo de revisão e readequação às normas. A coleta de dados comportamentais para potencializar a segmentação de anúncios também passará, fatalmente, por uma reformulação e segundo recente reportagem da Harvard Business Review*, a resposta está na publicidade contextual, ou seja, anúncios serão exibidos não com base no perfil de um consumidor, mas no conteúdo que está sendo visualizado em tempo real.

2.4 Na contratação de empregados e manutenção dos seus dados pessoais. Conforme verificado anteriormente, a LGPD não diz respeito somente à garantia de conformidade para com os dados de clientes e usuários de sistemas de informação de determinadas organizações. Uma área que não deve ser menosprezada na aplicação da nova regulamentação é o Departamento de Recursos Humanos, que coleta e processa dados pessoais de colaboradores (efetivos e potenciais) e terceiros, seja para selecionar, contratar, demitir, pagar, fornecer benefícios, inscrever o profissional em cadastros de órgãos públicos, etc. Neste particular, inclusive, o conceito de consentimento para tratamento e retenção dos dados se confunde com obrigações legais da organização para execução do contrato de trabalho e para cumprir com obrigações legais de ordem trabalhista e previdenciária, por exemplo, motivo pelo qual deve-se encontrar o equilíbrio entre os direitos de privacidade dos colaboradores e a promoção de interesses legítimos da organização no papel de empregadora. Ou seja, é fundamental que os empregados não só tenham plena consciência de suas obrigações, como colaboradores de organizações que processam dados, mas também de seus direitos, como titulares de dados que são processados por seus empregadores.

2.5 Na segurança patrimonial, em especial no uso de câmeras de vigilância. Dado pessoal é uma informação relacionada a pessoa natural identificada ou identificável, portanto vai muito além do nome, endereço, número de telefone, data de nascimento, contas bancárias, registros médicos, etc, de modo que imagens também devem ser tratadas com o mesmo cuidado, mormente se considerado o potencial que câmeras de vigilância conectadas à internet têm de ameaçar as liberdades individuais. Por essa razão, para reduzir significativamente as chances de violação, sugere-se que a empresas invistam em softwares e hardwares seguros para sua vigilância e conectividade de vídeo e que transfiram esse tipo de preocupação a eventuais terceiros fornecedores, operadores de sistemas de alarme, por exemplo.

No próximo capítulo, irei discorrer sobre como cumprir um cronograma interno de treinamento e comunicação.

Para acessar o primeiro capítulo da Série, clique aqui.

Para acessar o próximo capítulo, clique aqui.

* “How GDPR Will Transform Digital Marketing“. Disponível em: https://hbr.org/2018/05/how-gdpr-will-transform-digital-marketing. Acesso em 17. jan. 2019.

× Fale Conosco