LGPD: cuidado redobrado com terceirizados ou quarteirizados
Não dá mais para as empresas esperarem para se adequar à Lei Geral de Dados Pessoais, adverte o consultor das Nações Unidas sobre leis para a Internet e advogado Gilberto Martins de Almeida. Segundo eles, é imediata a adoção de medidas como a revisão de termos de consentimento, a negociação de aditivos contratuais focados nas novas exigência e a criação de relatórios de impactos de proteção de dados nas empresas. As recomendações do especialista foram dados em debate realizado pelo TI Rio.
Para Gilberto Almeida, a experiência da Europa com o Regulamento Geral sobre a Proteção de Dados (RGPD) deve servir como exemplo. “As empresas que se prepararam antecipadamente apresentam melhores resultados nos negócios e ampliam mercados”. Entre as providências imediatas, o especialista sugere:
Ainda neste mês de agosto 2020, as empresas devem providenciar um menu básico de documentos e sistemas; adotar uma política de proteção de dados e indicar o Encarregado (DPO, Data Protection Officer).
Até dezembro, devem ter aprontado o relatório de impacto (DPIA), sistemas de segurança, regulamentos e ações de autorregulação.
É imperativo fazer seguros para proteção da empresa e do profissional nomeado como DPO, harmonizar políticas que devem estar entrosadas, como, por exemplo, o código de ética, as práticas de sigilo de informação e o compliance.
Gilberto Martins adverte ainda:
Cuidados com os elos fracos – É necessário um olhar atento que contemple os aspectos internos e externos, com atenção àqueles que podem ser “elos fracos na cadeia”. Nesse caso cita prestadores de serviços terceirizados ou quarteirizados. “É preciso estar atento e rever cláusulas contratuais que contemplem esses casos”.
No conjunto de ações básicas de preocupações técnicas, em contraste com ações mais completas, estão a pseudonimização, mascaramento ou bloqueio, em vez da anonimização de dados; a gestão manual, em vez da automatizada; a geração de questionários para fornecedores e parceiros, em vez de integração, due dilligence e auditorias; a criação de documentos individuais de consentimentos, em vez de logs de consentimentos em portal; o controle focado em processos, em substituição ao controle focado em sistemas (BPMS, CRM); a triagem caso a caso para envio de respostas, em vez de categorização automática para respostas; e o mapeamento pessoal de localização de dados, em vez de varredura eletrônica de localização de dados.
Prioridade para gerir legados de dados pessoais – Gilberto de Almeida destaca que é preciso monitorar a regulamentação do artigo 63 da LGPD, no qual está prevista adequação progressiva dos bancos de dados constituídos antes da entrada em vigor da lei.
Ele ressaltou que a prioridade é para a proteção de dados pessoais sensíveis. Recomendou também a consolidação da base de consentimentos e adoção de estratégia de renovação, de descarte ou bloqueio. De acordo com Almeida, é importante as empresas adotarem de forma gradativa controles mais sofisticados, como técnicas de anonimização, por exemplo. Além de recomendar a revisão periódica, no mínimo semestral, das bases.
Gilberto Almeida alertou às empresas que tenham contratos de negócios com países europeus para análise sobre as exigências da RGPD (GDPR) e esclarecimento sobre possíveis restrições. Ele lembrou que há cerca de três semanas a Justiça europeia invalidou um acordo com os Estados Unidos que permitia negócios com 5,4mil empresas americanas. Agora só ficam habilitadas as que fizerem acordos com cláusulas específicas que atendam às exigências do continente.
*Com informações da assessoria do TI Rio