1
0
Não é objetivo desse artigo discutir o LGDP em si, mas provocar a discussão: sua arquitetura de dados está pronta para endereçar as demandas do GDPR/LGPD?
- Se uma pessoa física solicitar todos os dados que sua empresa tem sobre ela, sua arquitetura permite identificar esses dados de forma assertiva e em tempo hábil?
- Você é capaz de explicar o uso que é dado para todas os dados relativos a uma determinada pessoa física?
- É possível demonstrar uma política clara de gestão do ciclo de vida do dado (dato ativo, período de retenção de eliminação desses dados)?
- Como demonstrar que os dados estão protegidos contra acesso indevido e não são comercializados (de forma direta ou indireta) com outras empresas sem as devidas permissões?
- Para todos os dados referentes à uma pessoa física, é possível demostrar que a pessoa em questão manifestou explicitamente a autorização para que sua empresa armazene esses dados?
Segundo informações da iapp.org (International Association of Privacy Professionals), depois de um ano de GDPR 58% das empresas receberam 11 solicitações de informações por mês, mas 28% chegaram a receber mais de 100 por mês.
Dos questionamentos surgidos nas palestras, debates, e artigos muito bem desenvolvidos por colegas advogados, profissionais de TI, Segurança da Informação e Compliance, a questão de responder ao consumidor ou cliente está tirando o sono de muita gente.
E não é para menos, a nova inevitável e perspicaz legislação que vem proteger os dados pessoais e suas circulações, na verdade se adapta ao cotidiano da sociedade que necessita cada segundo mais de velocidade na obtenção de dados e sua manutenção/circulação via digital, das informações privadas invioláveis e que ficam sujeitas aos eventuais maus tratos e despreparos e muitas vezes desleixos das empresas e entidades.
Neste contexto, vale a pena começar a fazer um passeio pelas experiências já vivenciadas pela GDPR na Europa (que é a inspiração para a LGPD). Começam a surgir questionamentos e exigências de pessoas naturais, titulares dos dados e seus representantes legais às empresas e entidades detentoras de tais dados.
Um site está disponível inclusive para orientar o consumidor na Europa a solicitar formalmente as informações pessoais que qualquer organização possa ter sob sua tutela – https://shipyourenemiesgdpr.com.
Vale a pena transcrever o nível de questionamentos de forma resumida, visando a preparação legal e tecnológica para o quanto antes encararmos os desafios da implementação interna dos processos até o início de vigência da Lei, quais sejam:
“Diga-me quais são os dados pessoais armazenados pela empresa/entidade; diga-me o que você sabe sobre mim em seus sistemas de informação, estejam ou não contidos em bancos de dados, incluindo e-mails, documentos em suas redes, voz ou outras mídias que você possa armazenar, além disso, avise-me em quais países meus dados pessoais estão armazenados ou acessíveis. Caso você utilize serviços em nuvem para armazenar ou processar meus dados, inclua os países nos quais os servidores estão localizados onde meus dados estão ou foram armazenados (nos últimos 12 meses). Se os dados pessoais forem armazenados em servidores fora da UE, forneça essas informações. Por favor, forneça-me uma cópia ou acesso aos meus dados pessoais que você tem ou está processando e, se possível, com informações sobre a data exata em que você obteve esses dados em particular. Por favor, forneça-me uma lista detalhada das finalidades específicas do processamento dos meus dados pessoais. Por favor, forneça uma lista de todos os terceiros com quem você tem (ou pode ter) compartilhado meus dados pessoais. Se esses terceiros fornecerem meus dados pessoais para outro assunto, forneça a quem esses assuntos são/foram. Se você não puder identificar com certeza os terceiros específicos a quem você divulgou meus dados pessoais, forneça uma lista de terceiros a quem você pode ter divulgado meus dados pessoais. Por favor, identifique em quais jurisdições os terceiros que você identificou em 1 (a) acima que esses terceiros com quem você tem ou pode ter compartilhado meus dados pessoais, de onde esses terceiros têm armazenamento ou podem acessar meus dados pessoais ou de quais jurisdições meus dados pessoais são acessados. Por favor, forneça informações sobre as bases legais para a transferência de meus dados pessoais para essas jurisdições. Caso você tenha feito isso, ou esteja fazendo isso, com base nas salvaguardas apropriadas, forneça uma cópia. Por favor, informe quanto tempo você armazena meus dados pessoais, e se a retenção é baseada na categoria de dados pessoais, por favor identifique quanto tempo cada categoria é retida. Se você também coletar dados pessoais sobre mim de qualquer fonte que não seja eu mesmo, forneça-me todas as informações sobre sua fonte. Se estiver tomando alguma decisão automatizada sobre mim, incluindo perfil, forneça-me informações sobre a base para a lógica de tomada de tais decisões automatizadas, e o significado e as consequências de tais decisões˜.
Para que este artigo não fique muito extenso, apresentamos apenas uma parte de alguns questionamentos realizados pelos titulares dos dados para empresas privadas, que servem de benchmarking para nossa avaliação do que vem pela frente e a preparação dos nossos processos, no treinamento adequado de nossos executivos e parceiros e na aquisição/adaptação de tecnologia que nos permita possuir de forma célere e segura das informações que devemos resguardar e fornecer aos titulares dos dados no momento em desejarem saber sobre a guarda e os destinos e utilizações das suas informações pessoais.
Fica claro que todos devemos nos preparar para fornecer respostas imediatas a tais solicitações de forma clara e inequívoca e para tal é mandatório construir sistemas automatizados sob pena de cometer enganos no fornecimento de informações que podem trazer sérias consequências jurídicas e financeiras.
Autores: José Ricardo Maia Moraes, Executivo da Neotel Segurança Digital e Carlos Pereira Leite, advogado