Os primeiros 10 capítulos da série “LGPD na Prática” permitiram ao leitor entender quais empresas são impactadas pela nova regulamentação, qual a melhor maneira para estruturar um sistema de governança de dados, como gerar um inventário de dados pessoais e mecanismos de transferência, de que maneira implementar uma política de privacidade, como as rotinas da organização são afetadas pela nova lei, de que forma treinar e como se comunicar com colaboradores e demais stakeholders com relação à temas de segurança e privacidade de dados, de que forma mapear e gerenciar riscos próprios e de terceiros, como aplicar avisos legais (“disclaimers“) e de que modo estabelecer procedimentos internos para responder tempestivamente às solicitações e reclamações de usuários.
O presente capítulo será destinado a tratar do chamado “Privacy by Design“, ou seja, como identificar nas práticas operacionais novos processos, ou processos já existentes, que já estejam ou possam vir a estar relacionados à coleta, processamento e tratamento de dados, de modo a adapta-los, à nova legislação, às regulamentações internacionais e às normas de conduta e políticas internas, visando preservar o direito à privacidade do usuário final. Em outras palavras, deve-se propugnar pela proteção de dados em todos os estágios do negócio, ou seja, desde o design de um sistema, produto ou serviço até todo o seu ciclo de vida, instaurando medidas técnicas e organizacionais que objetivem prever riscos e eventos invasivos de privacidade antes que eles ocorram e tomando medidas para evitar danos ao titular dos dados. Para tanto, passo a elencar alguns passos a serem seguidos:
1. Manter diretrizes e modelos detalhando como conduzir avaliações de impacto de privacidade ou avaliações de impacto de proteção de dados para garantir que os riscos de proteção de dados são medidos e analisados periodicamente quando há um novo projeto envolvendo o uso de dados pessoais, novos sistemas de segurança da informação ou o compartilhamento de dados com terceiros, e também no caso de projetos já em andamento e sistemas existentes. As avaliações de impacto de privacidade devem ser conduzidas o mais cedo possível no ciclo de vida do projeto (daí a expressão Privacy by Design), para que recomendações possam ser incorporadas durante o seu andamento, identificando os riscos que a iniciativa planejada possa fazer emergir e formas alternativas de processamento dos dados pessoais para mitigar essas ameaças potenciais. Nas avaliações de impacto de privacidade devem estar envolvidos o Data Protection Officer (DPO), um profissional de segurança da informação, o processador dos dados e um consultor jurídico especialista em privacidade de dados. A ICO (Information Commissioner’s Office), autoridade britânica criada para defender os direitos de informação, disponibiliza um template bastante intuitivo que pode ser usado como apoio para realização de uma avaliação de impacto de privacidade.
2. Estruturar a avaliação de impacto de privacidade de maneira lógica e procedimentalizada. A avaliação de impacto de privacidade deve ser concebida de forma coerente, de modo a permitir que todos da organização sigam o mesmo norte quando da necessidade de realiza-la. Isso significa que deve ser procedimentalizada. Nesse sentido, sugere-se sejam adotados ao menos os seguintes passos: (i) estudo do contexto, com um overview do processo e do produto ou serviço, fase na qual são identificados o controlador e o processador, quais serão os dados a serem processados e armazenados e o ciclo de vida desses dados (preferencialmente com um diagrama de fluxos e uma descrição detalhada do passo a passo); (ii) estudo dos princípios fundamentais, com a identificação da justificativa para recolhimento dos dados, a legalidade do tratamento, minimização de dados, qualidade, duração dos registros, informações para os titulares, obtenção do consentimento do titular e possibilidade de acessar seus dados diretamente, portabilidade, possibilidade de retificar e apagar os dados, contestar ou restringir o processamento e transferência para outras jurisdições, explicando e justificando as escolhas feitas e descrevendo os controles selecionados para cumprir os requisitos legais; (iii) estudo dos riscos de segurança de dados, a ser executado pelo responsável pelo projeto, avaliação de controles existentes ou planejados sobre os dados processados, sobre a segurança do sistema no qual o processamento é realizado e no gerenciamento do projeto, no caso de incidentes e violações e na relação com terceiros; (iv) validação da avaliação de impacto, fase na qual os resultados das fases anteriores são consolidados e apresentados, com o mapeamento dos riscos e os respectivos planos de ação para mitiga-los. O framework proposto pela CNIL, autoridade administrativa independente da França, disponível no link a seguir (https://www.cnil.fr/en/privacy-impact-assessment-pia), também pode ser bastante útil aos profissionais que terão a função de preparar o plano de avaliação de impacto dentro das organizações.
3. Envolver terceiros como parte destes processos de avaliações de impacto de privacidade ou de proteção de dados. Na avaliação de impacto de privacidade a participação de partes interessadas como usuários de sistemas, clientes, colaboradores e até mesmo os órgãos reguladores pode oferecer novas perspectivas sobre os riscos. Por essa razão, buscar a opinião desses stakeholders pode ser útil durante o desenvolvimento de um novo projeto, seja por meio de surveys ou mesmo da imersão total para melhor entendimento de quais são e como se dará o processamento e armazenamento dos dados.
4. Acompanhar e abordar os problemas de proteção de dados identificados durante as avaliações. Uma avaliação de impacto de privacidade ou de proteção de dados geralmente é iniciada com um processo de assessment, na qual perguntas são feitas para identificar se a iniciativa proposta terá ou não impacto sobre os direitos e liberdades dos indivíduos quanto à proteção de dados. As perguntas devem ser projetadas de modo que sejam fornecidos indicadores sobre o grau, o escopo e a escala dos problemas de privacidade. Auxilia nesta etapa a elaboração de uma planilha compartilhada de Project Management, na qual são identificados os riscos, as respectivas soluções, proteções e/ou processos alternativos para mitiga-los, os responsáveis pela sua implementação e a pessoa responsável para endereçamento de preocupações futuras relacionadas à essas ameaças na eventualidade de surgir quaisquer problemas.
5. Elaborar relatórios para os reguladores e partes interessadas, quando necessário. O relatório de avaliação de impacto de proteção de dados detalhará os riscos identificados durante o processo e os priorizará de acordo com a gravidade, devendo ainda esclarecer quais são os impactos sobre os direitos dos titulares dos dados caso os riscos venham a ocorrer, além de recomendar a adoção de controles apropriados para mitiga-los e reduzi-los a um nível aceitável. Estes relatórios poderão ser submetidos aos reguladores ou a terceiros que tenham ou não participado do processo, para que todos sejam informados acerca dos riscos de privacidade antes do lançamento de um novo produto, sistema ou processo.
No próximo capítulo, irei discorrer sobre como conduzir de forma estruturada a apuração e correção de violações de privacidade.
Para acessar o primeiro capítulo da Série, clique aqui.
Comentários