Neste artigo, explicaremos a importância de implementar um ciclo de vida dos dados nas empresas, em especial, àquelas que estão se adequando à LGPD.
1. ORIGEM
A criação da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) foi fortemente influenciada pelo Regulamento Geral sobre a Proteção de Dados (RGPD 2016/679 ) que regula o tratamento de dados pessoais dos Estados Membros da União Europeia.
O ciclo de tratamento de dados pessoais é fruto do modelo privacy by design, previsto no art. 25 do RGPD, criado pela Ann Cavoukian
O modelo privacy by design consiste em 7 princípios que tratam de medidas técnicas e organizacionais que visam garantir à privacidade e à segurança do tratamento de dados, contudo, neste estudo, vamos analisar o princípio da Segurança de Ponta a Ponta que tem o seguinte conceito:
A Proteção de Dados desde a Concepção (by design) tendo sido incorporada ao sistema antes do primeiro elemento da informação que está sendo coletada, se estende com segurança durante todo o ciclo de vida dos dados envolvidos – medidas de segurança fortes são essenciais à privacidade, do início ao fim. Isso garante que todos os dados sejam retidos com segurança e, em seguida, destruídos com segurança no final do processo, em tempo hábil. Assim, a Proteção de Dados desde a Concepção (by design) garante o gerenciamento do ciclo de vida de informações de ponta a ponta, seguro e de ponta a ponta.
Portanto, do princípio “Segurança de Ponta a Ponta” originou-se o conceito do ciclo de vida dos dados.
Por outro lado, no Brasil, entendemos que o termo privacy by design foi incorporado no art. 46, §2º, da LGPD:
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Vejamos agora cada um das fases dos ciclo de vidas dos dados.
2. CICLO DE VIDA DOS DADOS
Dentro de um projeto de adequação à LGPD deve ser estabelecido um programa de governança visando à segurança e à privacidade dos dados de ponta a ponta de todo o clico de vida dos dados.
O ciclo de vida dos dados pessoais possui as seguintes fases:
Coleta, processamento, transferência; armazenamento, término do tratamento e descarte.
2.1 FASE DE COLETA
A fase da coleta é uma das mais importantes do ciclo de vida dos dados, pois contém diversas normas que precisam ser respeitadas, antes que o dados pessoal seja processado. Notadamente, destacamos a importância de respeitar os princípios da LGPD:
- boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas
Assim como, o titular dos dados deve ser informado – de forma transparente – para qual finalidade seus dados pessoais serão utilizados.
- Por exemplo, uma empresa de streaming obtém o consentimento do cliente para indicar filmes que ele possa ter interesse de assistir levando em consideração os seus históricos de navegação
Todavia, a empresa, controladora dos dados, não tem a permissão para compartilhar essas informações com terceiros (afora as exceções legais), sem coletar um novo consentimento do titular ou informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Igualmente, a partir do momento que o dado é coletado, a empresa torna-se responsável pelo seu armazenamento, logo deve implementar medidas de segurança necessárias para proteger os dados dos titulares.
Em resumo, dependerá do contexto da coleta de dados para verificar os requisitos legais e as medidas de segurança, governança e boas práticas que podem ser implementadas na empresa, antes do processamento de dados pessoais.
2.2 FASE DE PROCESSAMENTO
2.2.1 TERMOS TÉCNICOS
Primeiramente, para entender esta fase do ciclo de vida dos dados, precisamos compreender alguns conceitos presente na LGPD, tais como:
- Tratamento de dados pessoais : qualquer operação que processe informações de pessoas naturais.
- Dados pessoais: são informações de pessoas naturais que, direta ou indiretamente identificam um indivíduo (titular de dados).
- O titular dos dados: é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
2.2.2 BASES LEGAIS
Para que dados pessoais possam ser processados é, obrigatório, atribuir a base legal adequada.
A LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá o controlador e/ou operador processar dados pessoais com fundamento em, pelo menos, uma das 10 bases legais previstas no art. 7, vejamos:
- i) Consentimento;
- ii) Cumprimento de obrigação legal;
- iii) Tratamento pela Administração Pública;
- iv) Realização de estudos por órgão de pesquisa;
- v) Execução de contrato;
- vi) para exercício de processo judicial, administrativo ou arbitral,
- vii) proteção da vida)
- viii) tutela da saúde;
- ix) interesse legítimo;
- x) proteção de crédito.
Por exemplo, o titular de dados (contratante) que pretende formalizar um contrato de prestação de serviços com uma empresa (contratada/controladora).
Neste caso, a empresa poderá utilizar da base legal execução de contrato para processar os dados do contratante.
Igualmente, para emissão de nota fiscal, a empresa controladora utilizará outra base legal para processar os dados: cumprimento de uma obrigação legal.
Ainda no mesmo exemplo, se o cliente (titular dos dados), insatisfeito com o serviço prestado, entrar com uma ação judicial contra a empresa, a fim de obter uma indenização, ela estará autorizada pela base legal “exercício de processo judicial” para se defender.
Em síntese, para identificar qual base legal deverá ser atribuída é necessário verificar quais são as finalidades do tratamento de dados.
2.2.3. TRANSPARÊNCIA COM OS TITULARES DE DADOS
É fundamental, durante toda o ciclo de vida dos dados, estabelecer uma relação de confiança com o titular, por meio de uma atuação transparente e que assegure mecanismos de participação dele (art. 50, §2º, inciso I, alinha e da LGPD).
A fim de atingir esse objetivo, é fundamental elaborar uma política de privacidade (sempre revisada e atualizada) que esclareça quais são os direitos dos titulares de dados e também como exercê-los na prática.
Portanto, é de suma importância que o controlador tenha um responsável – Encarregado – para ser um intermediador entre o titular e o controlador dos dados.
Nos casos dos agentes de tratamento de pequeno porte, não é obrigatório a indicação do Encarregado, porém, segundo a Autoridade de Proteção de Dados (ANPD), deverá ser disponibilizado um canal de comunicação com o titular de dados para:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
Além disso, a indicação de um Encarregado será considerado política de boas práticas e de governança, em especial, nos casos aplicação de sanções administrativas.
2.2.4. MEDIDAS DE SEGURANÇA TÉCNICA E ORGANIZACIONAL
Nesta fase, também é fundamental verificar se sua empresa tem implementado as medidas de segurança técnica e organizacional relacionadas à Segurança da Informação (SI).
Em suma, Segurança da Informação tem como objetivo proteger a confidencialidade (privacidade), integridade (garantir que os dados não sejam alterados de forma indevida) e disponibilidade das informações das empresas, que muitas das vezes são os seus maiores ativos, vejamos algumas medidas que podem ser aplicadas:
- Controle de acesso à informação: disponibilização de login – individualizado e identificável – para cada colaborador com restrições de acesso, ou seja, no caso de um funcionário, eventualmente, precisar obter outros dados além dos que já são autorizados para cumprir sua função, deverá, obrigatoriamente, solicitar autorização ao Controlador.
- Segurança Física: portões e portas com trava reforçadas, entrada somente de pessoas autorizadas, câmeras de vigilância, alarmes contra invasões, localização de computadores em ambiente refrigerados, proteção contra incêndio, etc.
Como podemos ver, existem diversas camadas de proteção que envolvem o tema SI, no entanto, devemos fazer uma análise individualizada de cada empresa para identificar quais são os riscos e qual a melhor forma – dentro da capacidade econômica da empresa – de saná-los, diminui-los, ou aceitá-los.
2.3. FASE DE TRANSFERÊNCIA
Percebemos que as fases, do ciclo de vidas dos dados, vão de interligando, notadamente na fase de transferência.
Em primeiro lugar, deve ser verificado se todas as bases legais utilizadas para tratamento estão em conformidade, respeitar os princípios que norteiam LGPD, assegurar os direitos dos titulares de dados e verificar demais diretrizes das Autoridades (Nacionais ou Internacionais) que representa o respectivo país, em especial, quando os dados forem tratados no exterior.
Na prática, a transferência de dados, no âmbito empresarial, pode ser realizar das seguintes formas:
2.3.1 Transferência interna
Transferência interna: somente os sócios e colaboradores autorizados podem acessar os dados para as finalidades que lhe foram atribuídas (controle de acesso).
Por exemplo: um funcionário de uma determinada área técnica da empresa não tem necessidade de ter acesso aos holerites de seus colegas de trabalho. Por outro lado, o departamento do RH precisa ter acesso aos holerites para exercer a sua função.
Assim, deve o controlador mediante controles de acesso definir quais departamentos e colaboradores terão autorização para processar dados internamente.
2.3.2. Transferência externa
Transferência externa: ocorre quando o controlador transfere dados para outros agentes de tratamento (controladores, operadores, etc. ) com uma finalidade específica.
Por exemplo: transferência de dados pessoais para que o escritório de contabilidade elabore a folha de pagamento dos funcionário, igualmente, nos casos de emissão de notas fiscais.
Ambas transferências devem observadas as medidas técnicas e organizacionais, contudo, na externa destacamos:
- verificar quais medidas de segurança técnica e organizacional a empresa parceira tem implementado
- analisar a política de privacidade do operador
- inserir no contrato cláusulas que contenham exigências específicas relacionadas a privacidade e proteção de dados
- controlador deve estabelecer (restringir) as finalidades que o operador poderá tratar os dados
- verificar quais dados serão necessários compartilhar (princípio da necessidade)
- definir as condições do término de tratamento de dados
- estabelecer que o operador, obrigatoriamente, irá comunicar o controlador nos casos de incidentes de Segurança da Informação (SI)
- elaborar termos de confidencialidade
- definir a responsabilidade do operador no caso de vazamento de dados e/ou incidentes de segurança
2.3.3 Transferência internacional
Transferência internacional: ocorre quando os dados pessoais são transferidos de uma empresa localizada no território nacional para uma outra localizada no exterior. Vejamos quais são os requisitos legais estabelecidos pela LGPD no art. 33:
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V – quando a autoridade nacional autorizar a transferência;
VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.
Atualmente, a ANPD não estabeleceu, dentro das suas competências, quais são os critérios para que um pais ou organismo internacional obtenha “grau de proteção de dados pessoais adequado”.
Desse modo, para resolver essa questão, a ANPD iniciou uma Consulta Pública sobre a minuta de Regulamento de Transferências Internacionais de Dados Pessoais, que tem por objetivo a regulamentação das transferências internacionais de dados pessoais e também a apresentação do modelo de cláusulas-padrão contratuais.
2.4 FASE DE ARMAZENAMENTO
A Fase do Armazenamento, do ciclo de vida dos dados, está intimamente ligada as medidas de Segurança de Informação, ou seja, as informações armazenadas devem ser protegidas a fim de assegurar a confidencialidade (privacidade), integridade (garantir que os dados não sejam alterados de forma indevida) e disponibilidade das informações – ver item 2.2.3 – Medidas de segurança técnica e organizacional.
2.5 FASE DE TÉRMINO DE TRATAMENTO E DE DESCARTE
A LGPD determina que o término de tratamento ocorrerá nas seguintes hipóteses (art. 15):
I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – fim do período de tratamento;
III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
IV – determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
Como podemos ver, não há um prazo fixado para o término, ou seja, dependerá de uma análise jurídica da situação concreta.
Por outro lado, a LGPD também autoriza o controlador conservar os dados nos seguintes casos (art. 16)
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados
Logo, destacamos que o controlador é autorizado a armazenar os dados para suas cumprir obrigações legais (trabalhistas, fiscais etc. ), igualmente, para se defender em processos judiciais (art. 7, inciso VI).
Nesse contexto, dentro de um programa de compliance, a empresa pode criar uma tabela de temporalidade informando:
- Fundamentação legal: indicar as leis que autorizam a guarda dos dados e por quanto tempo. Exemplo: art. 205, do Código Civil
- Início da contagem do prazo de retenção: exemplo, quebra rescisão contratual
- Setor: RH, folha de pagamento, área técnica, vendas etc
- Tipo de documento: trabalhistas, fiscais, comerciais etc.
- Prazo legal : meses, anos etc.
- Demais informações relevantes sobre a necessidade de armazenamento dos dados
3. CONCLUSÃO
Em resumo, o ciclo de vida dos dados é uma dos processos mais complexos que envolvem o modelo privacy by design, em especial, por interligar diversas áreas do conhecimento – departamento jurídico, TI, SI, RH, etc.
Portanto, deve haver uma comunicação continua com todos os setores da empresa a fim de estabelecer um programa de governança de privacidade e de proteção de dados que contenha todas as fases do ciclo de vida dos dados.
Por isso, implementar um ciclo de vida dos dados é fundamental para as empresas que estão se adequando à LGPD.
____________________________
Dúvidas sobre como adequar a sua empresa à LGPD?
Entre em contato conosco via WhatsApp ou e-mail: contato@giarllarielli.adv.br