COMPLIANCE, GOVERNANÇA, RISCOS E A LEI GERAL DE PROTEÇÃO DE DADOS. A JORNADA! (PARTE III)

27 de Maio de 2019

Por: Sandro Tomazele de Oliveira Lima.

No artigo anterior viajamos por uma breve explanação sobre a importância da Gestão Integrada de Riscos. Falamos em como ela abrange toda a organização, desde a estratégia até a operação. Existe mais um fator importantíssimo que embasa a perspectiva de riscos na orientação das organizações: a transformação digital!

Considere os seguintes fatores: utilização em massa de smartphones, expectativas dos usuários por serviços rápidos e sempre disponíveis, velocidade e disponibilidade crescentes da internet, inovações tecnológicas disponíveis a todos os públicos. É a receita para que as organizações explorem oportunidades e capacidades de crescimento e de criação e proteção de valor! E a tecnologia é o habilitador para isto.

Considere agora a velocidade das mudanças proporcionadas por aqueles fatores. Vale a pena investir em determinado produto ou serviço? E se o timing for perdido, qual seria o impacto? Para garantir a sustentabilidade da organização é indispensável a gestão dos riscos associados a tais mudanças e às oportunidades criadas pelo mundo digital.

Assim, o primeiro passo para sua estratégia de riscos digitais é implantar medidas robustas em relação à cibersegurança, sendo recomendável a abordagem tradicional da segurança da informação: avaliação dos riscos dos sistemas e seus ativos. Também é importante considerar outras áreas de riscos como, por exemplo, riscos de reputação da organização relacionados às redes sociais ou os riscos relativos à proteção de dados dos clientes, colaboradores e terceiros ou, ainda, os riscos concernentes ao vazamento de dados.

Agora que finalizamos nosso prelúdio sobre Compliance, Governança, Riscos e IRM, vamos falar sobre a Lei Geral de Proteção de Dados. Farei algumas análises básicas da Lei, mas focarei em um método para implantá-la na organização, além de sua relação com a governança, os riscos e o compliance.

A primeira e mais óbvia relação dá-se entre a LGPD e o compliance. Claro, todas as organizações que tratam dados pessoais precisam estar em compliance com ela para sobreviver. Mas a relação entre os dois não é assim, tão rasa. A apresentação de alguns conceitos presentes na Lei é necessária antes de continuarmos, desta forma segue um excerto dos incisos I e X do artigo 5º:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; (grifos nossos)

Atente para os termos “identificada” e “identificável” no inciso I. Consegue notar a sutil diferença entre os dois? Vejamos. Considere uma empresa hipotética que mantém um cadastro conforme a tabela 1.

 

Tabela 1 - Exemplo de informações relacionadas a pessoa identificada

Nome Telefone Endereço Profissão
Arnaldo Silva (161) 99999-11111 Rua 152, casa 1054, Jardim Marciano Analista
Amado Batista (157) 10101-22222 Rua solar, casa 3, Bairro Universal Educador
Annita Silveira (122) 98989-12345 Avenida 7 de setembro, casa 1822, Bairro Novo Brasil Artista


Neste cadastro, observe que os titulares dos dados estão identificados, é possível saber exatamente quem são cada um deles. Agora tomemos outro exemplo hipotético, com o cadastro conforme a tabela 2.

Tabela 2 - Exemplo de informações relacionadas a pessoa identificável

SexoIdadeEstado CivilProfissãoNacionalidade
Feminino32CasadoPsicólogaBrasileiro
Masculino44ViúvoConsultorBrasileiro
Feminino56CasadoAdvogadaEspanhol


Agora, considerando os dados da tabela 2 um cadastro nacional, realizado em diversos estados do país, é impossível com as informações coletadas identificar as pessoas. Elas não estão identificadas, tão pouco há possibilidade de identificá-las, ou seja, também não são identificáveis.

Vamos a uma terceira situação hipotética. O mesmo cadastro constante da tabela 2, mas agora a empresa, que só tem dez empregados, cadastrou os dados de seus funcionários. Desta vez é possível descobrir exatamente quem são as pessoas cadastradas, é bem improvável que existam dois homens, com 44 anos, viúvos que atuem como consultores e sejam brasileiros. E mesmo que existam duas pessoas com as mesmas características, a imprecisão em relação à identificação foi reduzida a duas pessoas em 10. Ou seja, neste caso os titulares são identificáveis.

Agora que entendemos o que é dado pessoal, passemos para o tratamento destes dados. Tratamento de dados é todo e qualquer procedimento realizado com os dados pessoais. Sua empresa cadastra os visitantes? Então está tratando dados pessoais. Sua organização anota o telefone dos clientes para enviar uma mensagem como, por exemplo, “obrigado pela visita”. Ela trata dados pessoais.

Perceba, no parágrafo anterior as nuances entre as duas operações. Na primeira, os dados dos visitantes são cadastrados em um sistema. Na segunda, anotados em uma agenda. E nos dois casos está caracterizado o tratamento de dados pessoais? Está! Porque a Lei aduz logo em seu artigo 1º: “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais [...]”.

Bem, ficamos por aqui neste artigo.  Encontramo-nos no próximo!

COMPARTILHE:
Cadastre seu comentário

1 Comentário

Marcelo Almeida - 15/06/2019 - 15:09

Muito importante explicar as sutilezas legais para previnir confusões práticas. Grato pela oportunidade de reflexão

02 de Dezembro de 2019
O COMPLIANCE AMBIENTAL NA ADMINISTRAÇÃO PÚBLICA. VISÃO GERAL.
leia mais
01 de Julho de 2019
PROCESSO DE GERENCIAMENTO DE RISCO NAS ESTATAIS
leia mais
24 de Junho de 2019
COMPLIANCE NAS ESTATAIS
leia mais
17 de Junho de 2019
GESTÃO DE RISCOS QUE ATENDA À LEI 13.303/16
leia mais
03 de Maio de 2019
PRECISAMOS FALAR SOBRE GESTÃO DE RISCOS NAS CONTRATAÇÕES DAS ESTATAIS - PARTE V: RESPOSTAS AOS RISCOS PARA A ELABORAÇÃO DA MATRIZ DE RISCOS.
leia mais
03 de Maio de 2019
PRECISAMOS FALAR SOBRE GESTÃO DE RISCOS NAS CONTRATAÇÕES DAS ESTATAIS - PARTE IV: ESCALAS DE IMPACTO E PROBABILIDADE DOS RISCOS.
leia mais
Sabe o que podemos fazer por sua empresa ou órgão público?
Compliance integral.
6
CARREGAR MAIS ARTIGOS
Parceria: Grupo JML . jml corporate school . Apoio científico: pironti Advogados