Adequação à LGPD: melhoria de performance em plataformas de ODR

BlogPosts
Nenhum comentário

A Lei Geral de Proteção de Dados Pessoais (LGPD) passou a vigorar em setembro e se tornou o assunto do momento nos negócios. Em razão disso, a MOL – Mediação Online, no início do mês, realizou um webinar para discutir a adequação à LGPD e os impactos da lei na performance de plataformas de online dispute resolution (ODR).

Participaram da conversa Leandro Miranda, diretor jurídico da Associação Nacional de Bureaus de Informação e Consultor de Privacidade e Proteção de Dados, e Davi Francelino, bacharel em Ciências da Computação com pós-graduação em inovação estratégia e head de produto da MOL. Quem apresentou foi Marina Bento. Confira os principais pontos abordados no bate-papo.

Dados identificados, identificáveis e anonimizados

A LGPD trata exclusivamente de dados relacionados a pessoas físicas. Ela define dados pessoais como toda e qualquer informação relacionada a pessoa natural identificada ou identificável. A lei estabelece parâmetros de como essas informações podem ser coletadas, processadas, armazenadas e destruídas ou descartadas.

Conforme Miranda ressaltou durante o webinar, é fundamental saber diferenciar os tipos de dados pessoais considerados pela normativa: os identificados e os identificáveis. Ele exemplificou: “O dado identificado é aquele ‘cara-crachá’. Você olha e já sabe quem é o dono, como o nome. Se você tem o nome, você sabe identificar quem é”.

Já o dado identificável é aquele que só pode ser atribuído a alguém dentro de um determinado contexto. “O número do RG só se torna um dado pessoal identificável quando você relaciona aquela codificação numérica ao nome. Se você só tiver só o número do RG e não tiver acesso à base, esse dado não será considerado pessoal.”

Neste caso, temos um dado anonimizado, ou seja, que não pode ser atribuído a alguém, considerando os meios técnicos usados em seu tratamento. Dados anonimizados não são considerados pessoais na LGPD.

Dados sensíveis

Para fazer a adequação à LGPD, é preciso ter mais cautela com um tipo específico de informação – os dados sensíveis, lembrou o diretor jurídico. “São dados que merecem uma maior proteção, porque podem trazer uma lesão maior aos direitos e liberdades do titular.”

Informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico são exemplos de dados sensíveis. “São todos fatores que podem causar perseguição e discriminação e que, por isso, são mais protegidos”, contou.

Controladores e operadores

Entender os papéis de controladores e operadores de dados também é fundamental para a adequação à LGPD. Miranda explicou que a lei entende como controlador aquele que adquiriu dados para se utilizar como se fossem dele. “Se você coleta a informação e decide o que será feito com ela, você sempre será controlador: você tem o poder de decisão sobre o que acontece com aquele dado.”

Já um operador é quem recebe os dados, cumpre a ordem e devolve a tarefa. “Eu brinco que ele é quase como um procurador: ele não pode usar o dado para mais nada além do que cumprir a obrigação que foi lhe transferida pelo controlador. Ele não fornece os dados para fora, não faz o enriquecimento”, exemplificou. “Agora, se você recebe esse dado para tomar uma decisão, para fomentar o seu próprio negócio, para atingir um objetivo direcionado que você decidiu que você precisa, não em nome de alguém, mas em nome próprio, você vai ser sempre o controlador”.

Tanto pessoas físicas quanto pessoas jurídicas de direito público ou privado podem ser controladores e operadores de acordo com a LGPD. É possível haver situações em que se opere simultaneamente em ambos papéis.

Segurança dos dados

Durante o webinar, Davi Francelino lembrou que o blockchain é uma tecnologia em que o registro da informação, em princípio, é imutável. “Mas, olhando para a lei agora, a gente tem que dar ao titular dos dados o poder de mudá-los”, disse.

Já existem alternativas no funcionamento do blockchain que permitem o uso de dois cadeados: um para o qual todos têm a chave e outro para o dono da informação. Com isso, ele escolhe se vai ou não liberar suas informações com determinadas instituições ou empresas, ou mesmo se deseja revogá-las ou destruí-las. A MOL – Mediação Online já usa essa solução em seus produtos.

“Além disso, temos algumas novas normas que estão sendo aplicadas, como a ISO 27.701, que tem foco na LGPD.”

O caminho dos dados pessoais na empresa

Francelino acredita que a adequação à LGPD nas empresas deve partir da revisão dos processos de gestão de dados pessoais desde a coleta, passando pela manutenção, tratamento, armazenagem até uma eventual eliminação das informações. “O que vai mudar, que precisa ser implementado, é realmente o controle. Todo mundo precisa ter acesso àquela informação? O trabalho será de saber quem vai efetivamente usar essa informação, reduzindo risco de vazamento ou compartilhamento indevido da informação”.

“Em uma plataforma de online dispute resolution (ODR) como a da MOL – Mediação Online, uma vez que um acordo seja concluído, eu não preciso mais de uma informação que a identifique. O que eu preciso é de um viés mais estatístico, saber que eu realizei um acordo, mas eu não preciso necessariamente determinar para qual pessoa.”

Adequação à LGPD na prática

De acordo com Miranda, ao revisar os processos para a adequação à LGPD, as empresas devem identificar quais dados pessoais ela detém, onde e como estão armazenados, como são tratados e com qual finalidade. “Identificou a finalidade, o que você quer, você vai ter que verificar se a lei permite que você continue fazendo essa operação, dentro de uma das dez hipóteses de tratamento”.

Em seguida, é preciso trabalhar em cada etapa do gerenciamento das informações. “Verificar todos os contratos com fornecedores que recebem ou transmitem dados para você, verificar como está essa relação, se você pode continuar mandando, se pode continuar recebendo, quais são as garantias que você tem”.

Outro ponto fundamental é criar uma cultura protetiva na empresa, educando os funcionários a entenderem que a proteção dos dados tem que acontecer a todo tempo, em todos departamentos e em todas as etapas.

Tecnologia como aliada

Ao longo desse processo de descobrimento da necessidade de obtenção do dado e do tratamento necessário, a tecnologia entra como um parceiro. “Eu acho bastante relevante que os times de tecnologia participem”, destacou Francelino.

Na MOL, a segurança sempre foi um fator muito importante em razão da sensibilidade das informações trabalhadas no dia a dia. “No que vamos um passo adiante é justamente em disponibilizar esses mecanismos para o consumidor final. Quem tem esses dados dentro das nossas plataformas, por exemplo, tem esse poder de conhecer a informação, de saber como efetivamente a estamos usando, com qual propósito. Ao final, ele também tem o controle se ele quer que mantenhamos ou não o dado ali”.

Por fim, o head de produto da MOL destacou que a lei não veio impedir as empresas de trabalharem com dados pessoais, mas para maturar a responsabilização e a relação entre as pessoas físicas e as pessoas que querem trabalhar com dados, normalmente empresas. “Na MOL, nós sempre estivemos muito atentos em relação à segurança das informações. A entrada em vigor da LGPD, na verdade, vai fazer só uma homologação dessa preocupação, e uma adequação em relação a alguns aspectos, para também dar essa transparência e visibilidade.”

, , ,

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.
Você precisa concordar com os termos para prosseguir

Posts Recentes

Menu