LGPD e Formação DPO (Encarregado)
Hoje é fundamental que as empresas se adequem à LGPD e por isso a Formação DPO está em alta valorização no mercado. Então, continue a leitura e conheça mais sobre esse assunto tão relevante às corporações atuais!
As mudanças trazidas pela LGPD
A saber, a LGPD – Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18) é a regulamentação brasileira no que concerne proteção de dados pessoais. Aliás, esse assunto é tão importante, que houve uma Emenda Constitucional em 2022, para garantir a proteção aos dados pessoais, expressamente no art. 5º, conforme segue:
Art. 5º – CF
LXXIX – é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais. (Incluído pela Emenda Constitucional nº 115, de 2022)
Até então, a Carta Magna preceituava a proteção da intimidade, vida privada, honra e a imagem da pessoa, mas sem menção expressa aos dados pessoais. Então, a privacidade como um aspecto geral, já tinha respaldo legal. Mas, ainda existiam discussões quanto à questão dos dados pessoais especificamente.
Embora possamos discutir diversos pontos sobre o aspecto jurídico de como chegamos a este cenário, meu objetivo neste artigo é voltado às questões práticas. Seja do ponto de vista da gestão, ou dos profissionais que desejam atuar como DPO, ou equipes de privacidade.
Assim, de forma a compartilhar experiências, posso dizer que nesta jornada de LGPD, me deparo quase sempre com situações que envolvem questões básicas. Isto é, incluindo o ponto de vista conceitual. Por isso cursos de Formação DPO são importantes para essa carreira. Por exemplo, algo muito comum é entendimento errado do conceito de dado pessoal e dado pessoal sensível.
A diferença entre dado pessoal e dado pessoal sensível
Não só os gestores e equipes de Privacidade, mas também todos os colaboradores de uma empresa devem entender estes conceitos. Assim como o que significa tratamento de dados pessoais. Isto porque é comum o entendimento errado de que dados pessoais são apenas dados cadastrais. Afinal, a lei fala em dado que seja identificável ou que identifique o titular. Portanto, como exemplos comuns, podemos citar a placa de um carro ou dados bancários.
Da mesma forma ocorre com dados pessoais sensíveis. Assim, por questões intuitivas e principalmente no âmbito de profissionais de TI e Segurança da Informação é comum a confusão entre o significado real perante a LGPD e o entendimento existente no âmbito de Segurança da Informação. Por exemplo, no caso de dados financeiros.
Os papéis dos agentes de tratamento: quem são o controlador e o operador de dados?
Outro ponto, não menos importante e que tem gerado muita confusão, é sobre o posicionamento dos agentes. Para quem ainda não se familiarizou com a Lei, os agentes são os responsáveis pelo tratamento de dados pessoais, portanto Controlador e Operador.
Assim, o primeiro é o agente que tem autonomia e determina o tratamento. Portanto, atua na linha de frente junto aos titulares de dados. Já o segundo, o Operador, é o terceirizado, que promove o tratamento de dados pessoais sob instrução do Controlador.
De fato, houve muita confusão, e confesso que ainda vejo este tipo de dúvida no posicionamento. Principalmente, acha-se que o colaborador interno seria o operador e o gestor o Controlador. Aliás, as ocorrências foram tantas, que a ANPD (Autoridade Nacional de Proteção de Dados Pessoais) responsável pela regulamentação e fiscalização da LGPD, se manifestou para esclarecer os papeis.
Na prática, mesmo para quem já se familiarizou com este entendimento, identificar os papeis dos agentes de tratamento ainda é um desafio. Sobretudo por que há limites tênues entre algumas relações. Assim, não ficam claras as responsabilidades. Além disso, podemos nos deparar com tratamento de dados e decisões conjuntas, o que muda a relação entre os agentes.
Formação DPO: Os princípios da LGPD
Outro ponto essencial da LGPD é conhecer os princípios da legislação. Em primeiro lugar, diferente do que muitos possam pensar, entendo os princípios da LGPD como requisitos. Quando estes não forem atendidos, estaremos diante de um cenário de não conformidade. Portanto, passível de aplicação das sanções previstas no art. 52º da LGPD.
Também na prática as bases legais têm sido um desafio enorme para as empresas. Afinal, a LGPD não se baseia apenas no consentimento. Na verdade, ela apresenta no total onze bases legais possíveis de serem utilizadas, onde oito delas são comuns entre dados pessoais e dados pessoais sensíveis. Mas, três dessas bases são distintas entre estes. Portanto, um ponto de atenção.
Apenas coletar o consentimento basta? Por que a Formação DPO é essencial para conhecer a Lei e aplicá-la na prática
Inclusive, posso dizer, pela prática, que muitas empresas saíram coletando o consentimento de forma indiscriminada. Mas, a adoção da base errada é um risco iminente. Mesmo que preze pelo consentimento do titular, existem dados que são tratados por obrigação legal ou que são de fato necessários para a prestação de serviços contratados. Nesse caso, coletar o consentimento gera uma situação de risco, pois o consentimento pode ser revogado (garantia da própria LGPD) e o titular pode pedir o apagamento desses dados.
Isto posto, percebam a criticidade de conhecer a Lei e saber aplicá-la. Por isso que o profissional que pretende atuar nesta área precisa estar preparado. Inclusive buscando atualização periódica, afinal, as novidades não param de chegar.
Inspiração da LGPD na GDPR
Também cabe considerar que a LGPD é um reflexo, ou melhor, é inspirada na GDPR, legislação da União Europeia. Portanto, as lacunas de entendimento, seguem uma tendência de serem preenchidas com entendimentos semelhantes a posicionamentos já estabelecidos por lá. Assim como, decisões pelas autoridades competentes.
Nesse sentido, muitas multas já foram aplicadas, e aqui no Brasil, não será diferente. Mas, há um ponto importante que não podemos deixar de ressaltar: as campanhas e treinamentos tem um papel fundamental no combate e prevenção a incidentes e, portanto, prevenção de responsabilidade legal.
Assim, no quesito governança, será preciso:
- adequar os contratos e políticas,
- mitigar riscos com terceirizados,
- e acima de tudo capacitar os colaboradores.
Formação DPO: essencial na adequação das empresas à LGPD
Na jornada de adequação à LGPD é preciso planejar as ações, mas como fazê-lo sem ter o diagnóstico do próprio cenário?
Hoje, levando em consideração o cenário das grandes corporações, bem como a carência de profissionais que atendam o mercado das empresas de pequeno porte, os cursos de capacitação de Formação DPO são fundamentais. Principalmente os preparatórios para provas de certificação Exin auxiliam muito o caminho! Não só de quem pretende atuar como DPO, mas também dos profissionais que querem contribuir ou atuar na área. Uma vez que esse cursos trazem uma direção sobre o que este profissional precisa saber e qual o caminho a seguir, o trajeto a ser trilhado.
Por fim, lembro que a LGPD exige a função do DPO, chamado pela LGPD de Encarregado, dentro das empresas. Por sua vez, este profissional pode ser terceirizado, cabendo exceção desta função. Mas, sendo um diferencial a ser levado em conta pela ANPD, apenas para as empresas de pequeno porte, nos termos da Lei.
