Setor de TI propõe Distrito de Inovação no aeroporto Carlos Prates
29 de março de 2023A alteração de entendimento sobre a tributação dos softwares
5 de abril de 2023Anderson Oliveira* esteve na Conferência Nacional dos Profissionais em Privacidade de Dados em São Paulo
Um dos principais resultados dos avanços tecnológicos nos últimos anos foi a Lei Geral de Proteção de Dados, ou LGPD (13.709/2018), cujo principal objetivo é proteger os direitos fundamentais à liberdade e privacidade e ao livre desenvolvimento da personalidade das pessoas físicas. Também tem como foco a criação de um cenário de segurança jurídica que promova a proteção dos dados pessoais de cada cidadão brasileiro por meio de normas e práticas padronizadas, de acordo com os parâmetros internacionais vigentes.
Desse cenário, surgiu a necessidade de especializar profissionais voltados à proteção dos dados pessoais coletados e tratados pelas organizações. Assim surgiram atores como o DPO, Encarregado de Proteção de Dados, os Gestores de Privacidade e afins.
A ANPPD®, Associação dos Profissionais em Privacidade de Dados, foi criada como o objetivo de promover a unidade dos profissionais de privacidade de dados de modo que tenham seus interesses atendidos dentro do cenário brasileiro, fomentando iniciativas que também favoreçam a classe.
Assim surgiram as CNPPD’s, Conferência Nacional dos Profissionais em Privacidade de Dados. Nas edições anteriores foram discutidos temas como: Cenários da LGPD, Conscientização Nacional e Regulamentações.
Nos dias 24 e 25 de março, após 3 anos de pandemia, a 4ª Conferência Nacional dos Profissionais de Privacidade (#CNPPD2023!) permitiu #NETWORKING com a participação presencial com 500 profissionais e outros milhares no ambiente virtual.
Entre os DPO/Data Protection Officers nomeados estão profissionais de Governança, Process, Risk and Compliance (GRC), advogados, além de profissionais de segurança da informação e TI.
O evento contou com a presença de vários especialistas de renome no mercado, como: José Antônio Milagre (especialista em crime cibernético), Dra Silvia Brunelli (Relações Internacionais e Entidades Associativas), Rafael Olivieri, P. Phd (Networking em pessoa), Davis Alves, PhD, Dra Patricia Peck (advogada especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e Cibersegurança), Leila Chevtchuk (Desembargadora Federal do Trabalho), e muitos nomes de peso no Brasil e no exterior.
Como desenvolvedor do software LGPDLITE – ferramenta para auxiliar os programas de adequação e sustentação à LGPD -, tive a oportunidade de trocar experiências, conhecer profissionais de todas as partes de Brasil e, principalmente, aprender.
Foram várias apresentações nos momentos de “networking”. Dentro do que vinha sendo discutido nas apresentações, pudemos ratificar que o LGPDLITE entrega todos os subsídios necessários para um programa de adequação dentro dos critérios impostos pela LGPD.
DPO´s e profissionais de privacidade dos mais variados segmentos puderam conhecer o DASHBOARD do módulo onde são registradas todas as atividades de tratamento (artigo 37º) em um escopo limpo e de fácil entendimento. Em um formulário único, o DPO ou consultor de privacidade, terá uma visão 360º de qualquer dado coletado em qualquer área de negócios da organização, dentre outros indicadores gráficos.
Encontramos com vários consultores licenciados do LGPDLITE que não conhecíamos pessoalmente. Foi um momento único. Concretizamos contratações e outras tantas prospecções e agendamentos para apresentações futuras. Claro que, acima de tudo isso, nada se compara ao sentimento humano do olho-no-olho, de um abraço e um aperto de mãos firmes.
Foram dois dias intensos e ricos em conteúdo. Vários temas foram tratados, como: Os desafios para a LGPD, boas práticas de um programa de adequação, inovações tecnológicas, decisões judiciais já tomadas, gerenciamento dos direitos dos titulares de dados, como se preparar para a fiscalização, demandas de um DPO, recomendações para os novos profissionais em privacidade etc.
Conclui-se, então, que um programa de adequação à LGPD se sustenta em cinco pilares do conhecimento. Por isso ele é multidisciplinar:
JURÍDICO: Responsável por todas as tratativas, atividades, tarefas e funções relacionadas aos aspectos legais. Além do entendimento sobre as hipóteses de tratamento mais adequadas, em relação à LGPD, estudar e aplicar as regulamentações setoriais específicas.
TECNOLOGIA DA INFORMAÇÃO: Administração dos recursos de infraestrutura física e lógica de ambientes informatizados.
PROCESSOS: Processos são o conjunto de atividades ou regras de um negócio.
GOVERNANÇA: Estrutura com práticas, regras e processos que regem uma organização no projeto de adequação.
EDUCACIONAL: Desenvolver, capacitar, engajar e disseminar as boas práticas em relação ao tratamento de dados e informações nas organizações.
Muitos mitos sobre a LGPD e um programa de adequação, também foram discutidos, dentre eles:
“Somente advogados podem atuar na LGPD”: Não há restrições quanto à qualificação do profissional em privacidade. Trata-se de uma lei que veio para regulamentar uma área técnica e jurídica, tendo a governança e processos como elo. Se faz necessária uma capacitação sobre o tema.
“A LGPD não vai pegar!”: Já pegou e, recentemente, a ANPD (Autoridade Nacional de Proteção de Dados), divulgou a dosimetria, o método que orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa aplicável ao infrator. (https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria).
“Basta comprar um selo LGPD”: Isso, definitivamente, não existe. Nenhum órgão é autorizado a emitir um selo de adequação. Trata-se de um processo contínuo de atualizações constantes.
“Adquirindo um software para LGPD, a minha empresa está em conformidade.”: Primeiramente é importante deixar claro que software não organiza e nem adequa empresas. O que buscamos fazer é maximizar os resultados de um programa de adequação com indicadores diversos. O LGPDLITE possui uma inteligência de reusabilidade de mapeamento de dados de atividades de tratamento da base de conhecimento.
“A LGPD é somente para as grandes organizações.”: Engana-se quem pensa assim. Qualquer organização que simplesmente anote um dado pessoal, seja em um pequeno software, planilha eletrônica ou mesmo em uma agenda física, pode estar no escopo de adequação à LGPD.
“Uma política de privacidade publicada, basta.”: É um erro gravíssimo pensar que basta um documento intitulado política de privacidade e a organização está adequada. Não há como desenvolver os documentos de conformidade sem conhecer quais são os dados coletados e tratados pela organização. Quem são os donos desses dados (titular dos dados). O que são feitos com esses dados, dentre outros questionamentos. No artigo 37 da LGPD está descrito que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem. Somente após o levantamento de cada atividade que tratam os dados pessoais, pode ser atribuída a conformidade e, consequentemente, desenvolver uma política de privacidade adequada.
“Adequação em 24 horas.”: É a melhor de todas. Muitas pessoas e empresas – que se dizem consultores -, se aproveitam do momento em que a LGPD é novidade e disponibilizam documentos e “templates” que devem ser criados durante um programa de adequação coerente. Esses “pais-farofa”, travestido de consultores, prometem o que é impossível. Um programa de adequação requer seguir uma trilha detalhada e morosa. Como é possível identificar todos os dados pessoais que trafegam dentro e fora das organizações? É um trabalho de “formiguinha”. Um passo de cada vez.
Com ampla coleta e tratamento de dados, a lei Geral de Proteção de Dados (LGPD) é uma forma para que as organizações possam desenvolver políticas de boas práticas ao lidar com as informações de clientes, funcionários e parceiros comerciais e serem transparentes sobre a finalidade de sua coleta, armazenamento e tratamento.
Para a sociedade, a LGPD garante a proteção total da sua liberdade, segurança, consentimento e privacidade no acesso às suas informações pessoais.
Não damos o assunto como esgotado. Muito temos a aprender com a Lei Geral de Proteção de Dados.
Não se trata de uma mudança que acontece da noite para o dia e nenhuma organização pode se considerar adequada à LGPD 100%. As atividades de tratamento são orgânicas. Se faz necessárias as revisões e atualizações constantes. O maior desafio de todos é a conscientização de uma mudança cultural e comportamental, bem como, o apoio a todos os envolvidos no trabalho.
*Anderson Oliveira
• Diretor Consultivo da Assespro-MG
• Pós-graduado em gestão estratégica da informação, UFMG;
• DPO (Encarregado de Dados), Fundação Getúlio Vargas (FGV);
• Gestor em Privacidade de Dados, Assespro-MG;
• Formação em Mentoria LGPD, TIExames;
• Perito Judicial e Assistente Técnico em Computação Forense, IAPA;
• Crimes Cibernéticos, ACADEPOL (Academia de Polícia Civil de MG);
• Especialização em Gestão Estratégica da Informação, UFMG;
• Instrutor do Curso de Privacidade de Dados, ASSESPRO / MG
• Integrante do grupo de consultoria LGPD ASSESPRO / MG
Analista em tecnologia da informação, especialista em desenvolvimento de SOFTWARE PARA GESTÃO EMPRESARIAL e modelagem de banco de dados. Desenvolvedor do software LGPDLITE Corporatum, sistema auxiliar para programas de adequação e sustentação à Lei Geral de Proteção de Dados (LGDP), com foco na consultoria e organizações de qualquer porte.