, em qualquer incidente de segurança que eventualmente ocorra, é dever da organização informar à Autoridade Nacional de Proteção de Dados. CRÉDITOS: Divulgação
A fase de implantação é a que demanda um maior esforço da organização, pois é necessário entender e mapear o fluxo que os dados pessoais percorrem dentro da organização, desde sua entrada até seu armazenamento ou descarte.
21-01-2025 às 10h14
Levindo Ramos*
A Lei Geral de Proteção de Dados – LGPD, Lei nº 13.709/18, impôs um grande desafio às empresas e entidades governamentais de modo a proteger os direitos fundamentais de liberdade, privacidade e do livre desenvolvimento dos cidadãos. Para que essas empresas e entidades governamentais possam garantir esses direitos, houve por bem a referida lei trazer como fundamentos o respeito à privacidade; a autodeterminação informativa, de forma que cada pessoa possa controlar e proteger seus dados pessoais; liberdade de expressão, informação, comunicação e de opinião; a não violação da intimidade, da honra e da imagem; o desenvolvimento econômico, tecnológico e a inovação; a livre iniciativa e concorrência e a defesa do consumidor; bem como os direitos humanos, o desenvolvimento da personalidade, da dignidade e o exercício da cidadania.
A LGPD procurou resguardar o dado pessoal, que é qualquer informação relacionada à pessoa e que a identifique, definindo como dado sensível, aquele que inspira maior proteção, ou seja, os relativos à origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou organização de caráter religioso, filosófico ou político; os referentes à saúde ou à vida sexual; os dados genéticos ou biométricos.
Dessa forma, qualquer operação realizada com dados pessoais, como, por exemplo, a coleta, a produção, classificação, utilização, transmissão, processamento, arquivamento e armazenamento mereceu atenção de regulação pela LGPD.
Para que as empresas e entidades públicas realizem o processo de adequação à LGPD e possam garantir que os dados pessoais por elas tratados estejam seguros, auditáveis e disponíveis ao titular que os forneceu ou teve seus dados coletados algumas importantes etapas são necessárias.
A fase de implantação é a que demanda um maior esforço da organização, pois é necessário entender e mapear o fluxo que os dados pessoais percorrem dentro da organização, desde sua entrada até seu armazenamento ou descarte.
Essa compreensão a respeito do fluxo dos dados na entidade é que possibilita o desenvolvimento das medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de algum tipo de deterioração dos dados, como perda, alteração, comunicação ou qualquer tratamento inadequado.
Aliás, em qualquer incidente de segurança que eventualmente ocorra, é dever da organização informar à Autoridade Nacional de Proteção de Dados e ao próprio titular a sua ocorrência de modo a descrever a natureza dos dados afetados; as informações sobre os titulares que tiveram seus dados envolvidos; a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; os riscos relacionados ao incidente; as medidas que foram ou estão sendo adotadas para mitigar ou reverter os efeitos do prejuízo.
Ainda sobre os desafios de implantação da LGPD nas organizações, em especial as de grande porte, um deles é estabelecer um programa de governança em privacidade de dados, que possui uma dupla função: resguardar os dados pessoais sobre sua guarda e mitigar suas responsabilidades sobre os dados tratados. Esse programa de governança em privacidade deve demonstrar o comprometimento do controlador dos dados (a organização) em adotar processos e políticas internas que assegurem o cumprimento das normas e boas práticas de proteção de dados; deve ser aplicável a todos os dados que estejam sob seu controle, esteja numa correção com a estrutura, a escala e o volume das operações da organização; deve estabelecer uma relação de confiança com o titular dos dados pessoais; estar sempre atualizado a partir do monitoramento contínuo e de avaliações periódicas, dentre outros requisitos.
Nessa etapa de estabelecimento de programa de governança em privacidade e monitoramento de dados pessoais no setor público, podemos destacar a bem gerida iniciativa do Tribunal de Contas do Estado de Minas Gerais, que se sobressai no cenário nacional como uma das entidades governamentais mais bem preparadas a responder aos desafios impostos pela LGPD e que tem contribuído para a gestão municipal de toda a Minas Gerais com o compartilhamento da experiência nos encontros técnicos que ocorrem ao longo do ano, nas mais diversas regiões do estado mineiro.
*Mestre e Doutor em Direito pela UFMG, Professor e Advogado, Consultor na área de Governança Algorítmíca e LGPD. Consultor Jurídico da SOAMAR-BH.
Colunista do Diário de Minas.
