Política de Privacidade: A Ponta do Iceberg da LGPD

LGPD: Como saber se sou um agente de tratamento de pequeno porte?

Este artigo nasceu fruto de um debate em um grupo de empreendedores e acreditamos que seja uma dúvida bastante recorrente. Será que para “obter” conformidade com a LGPD basta escrever uma política de privacidade e deixar que o titular simplesmente “aceite” (ou não) esse documento?

De forma extremamente clara, a resposta é não. A Política de Privacidade é a “chegada” e não a “partida”. É o reflexo de um trabalho prévio de mapeamento, validação, avaliação de riscos e ajustes realizados em processos, políticas e sistemas, por exemplo.

Exemplos de informações que precisam constar de uma política de privacidade são:

- Quais dados são processados e sob qual justificativa/base legal;
- Por quanto tempo (não pode ser por período indeterminado ou ad eternum);
- Quem são os terceiros (operadores) envolvidos no seu processo;
- Onde os dados estão localizados e se há transferência internacional de dados.

Se você não mapeou seus dados, suas bases de dados, seus processos (físicos e digitais), como poderia responder às questões acima? Como saber qual é o período de guarda estipulado para cada tipo de dado e efetivamente comunicar ao titular?

Como entender quais são as razões de tratamento e quais são as bases legais que o permitem? Como mensurar o impacto aos titulares frente às suas necessidades declaradas? E, desconhecendo tais fatores, como saber dos riscos a que se está exposto e que demandam mitigação? Ora, apenas tratamentos “justificáveis” sob uma base legal são permitidos perante à LGPD e a empresa deve minimizar – SEMPRE – o impacto e risco ao titular. Utilizar o “legítimo interesse” para justificar tratamentos que vão de encontro aos conceitos das legislações de privacidade não é adequado e não traz benefício, conformidade ou tranquilidade.

Importante lembrar de que tratamentos devem ser vinculados a uma finalidade real, um objetivo previsível (pelo titular) e nunca reutilizado sem uma avaliação prévia. Deve ser realizado, por exemplo, pelo tempo mínimo necessário ao atingimento do objetivo.

A má classificação de base legal, por exemplo, expõe sua empresa à riscos e multas, assim como ocorrido com a PwC no início da adoção da GDPR.

Se você apenas foca em escrever uma política de privacidade, sem passar por um processo de identificação e adequação, sua política será fraca e incompleta, carecendo de transparência e boa-fé, pilares básicos da LGPD.

“Mas meu usuário aceitou os termos”

O consentimento realmente é uma base legal que pode ser utilizada para justificar um tratamento, mas lembre-se que você não pode pedir “consentimento” para atividades que irão violar os princípios da LGPD, direitos de titulares ou serem “leoninas” com o titular.

Igualmente importante ressaltar que caso o “consentimento” tenha sido usado, o titular poderá revogá-lo e sua empresa terá de acatar e eliminar imediatamente os dados coletados por essa base legal.

Segurança da informação

Isso tudo sem falar na segurança da informação. Se você não mapeou seus riscos e não investiu em ferramentas, controles, treinamentos, conscientizações e houver vazamentos, você ainda será responsabilizado, mesmo que sua política de privacidade esteja “perfeita”.

Se você não documenta e não evidencia seus controles, não faz follow-ups com os times, não monitora o cumprimento das posturas definidas, não se atualiza constantemente, você segue com um grau alto de exposição e inconformidade.

A LGPD determina multas de até 2% do faturamento ou cinquenta milhões de reais por infração. Por infração. Se sua “VM” está na “China”, houver vazamento e você não informar ao titular desta transferência internacional, já são – ao menos – duas infrações.

A mensagem deste artigo

O objetivo deste artigo não é alarmar ninguém, mas apontar os riscos de criar uma política de privacidade inadequada, sem atenção à segurança da informação e confiando plenamente no consentimento.

É importante:

- Observarmos os tratamentos “as-is”;
- Identificar e tratar todo desvio identificado;
- Treinar e conscientizar continuamente todos da organização;
- Continuamente revisar tratamentos, suas mudanças, seus operadores e bases legais em uso;
- Implementar medidas técnicas e organizacionais para proteger dados pessoais;
- Auditar processos/tratamentos/sistemas e corrigir seus desvios;
- Evidenciar controles e resultados de revisões;

Só assim conseguiremos criar culturas de privacidade e proteção de dados alinhados aos fundamentos da LGPD.

Caso esteja em dúvidas sobre como começar o processo de adequação da sua empresa, entre em contato com a Macher Tecnologia. Será um prazer auxiliar.

Precisa de ajuda?

Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!

Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua PME.

Consulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.

Suportamos sua empresa na jornada de conformidade!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO

Consultoria e projetos de adequação
Treinamento EXIN PDPE
Adequação de sistemas (sites, aplicações, mobile apps, etc)
Gestão de Projetos / PMO
DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD
Revisão ou auditoria pontual em projetos / processos