Como já dito anteriormente, ainda não é uma dor para a maior das empresas no Brasil, no entanto, responder às demandas dos titulares de dados pessoais não é uma tarefa fácil.
A LGPD estabelece diversos direitos para os titulares e impõe responsabilidades aos controladores irão aparecer.
Para fornecer uma resposta efetiva, a empresa deve executar várias atividades importantes. Embora não seja possível listar todas aqui, destacarei algumas delas
- Em primeiro lugar, é essencial validar a identidade do titular dos dados.
- Além disso, a empresa precisa ter um conhecimento preciso de onde exatamente esses dados estão armazenados e quais atividades de tratamento são realizadas com eles.
- Identificar os fornecedores envolvidos no tratamento dos dados (operadores) também é crucial.
- É necessário estabelecer um fluxo de solicitação de informações entre a empresa e o operador, garantindo a coleta adequada de evidências.
- Por fim, é fundamental garantir um ambiente seguro para compartilhar essas informações com o titular dos dados.
Ufa! Imagina o Controlador recebendo 10 solicitações por dia?
A responsabilidade dos controladores e operadores
A função de responder às demandas dos titulares é do controlador, porém, temos percebido em alguns clientes, que é comum que muitos operadores assumindo essa tarefa sem perceber a responsabilidade envolvida.
Para garantir o exercício adequado dos direitos dos titulares, é essencial adotar uma abordagem organizada, promover conscientização e investir recursos necessários.
A LGPD estabelece prazos (que pode ser prorrogado) para o atendimento das demandas dos titulares, e é fundamental cumpri-los. Além disso, é necessário evidenciar (accountability) os atendimentos realizados para fins de fiscalização e prestação de contas.
A importância da gestão de dados
Uma gestão eficiente de dados é essencial para atender às demandas dos titulares de forma rápida e precisa. As organizações devem ter um sistema que permita encontrar, compilar e responder às solicitações dentro do prazo estabelecido pela lei. Além disso, é fundamental adotar medidas de segurança para proteger os dados e seu compartilhamento.
Nesse ponto podemos falar de dois momentos: 1) Inventário de Dados; 2) Descoberta de Dados.
O inventário de dados é a parte essencial para qualquer jornada LGPD. Nessa etapa é onde precisamos inventariar as atividades de tratamento, entender quais elementos de dados são tratados, qual o volume de titulares, retenção, quais ativos estão armazenando o dado, quais fornecedores estão envolvidos, se há transferência internacional de dados, dentre outras informações. Tudo isso é inventário é e uma parte essencial, onde chamo do Foundation em qualquer projeto LGDP. É a base!
Descoberta de Dados pode vir depois. É aqui que o DPO terá visibilidade de onde os dados estão armazenados, para que possa proativamente conversar com as áreas “donas” destas informações se há justificativa/finalidade para seu armazenamento. Se a resposta for Não, então delete esse dado. Se a resposta for Sim, tem que envolver a TI/Security para ajudar na implementação dos controles de proteção.
Transparência e responsabilidade
Durante todo o processo de atendimento às demandas dos titulares, é necessário observar o princípio da transparência. É fundamental fornecer informações claras e precisas sobre o tratamento dos dados e os direitos dos titulares.
Mesmo que a resposta completa não possa ser enviada de imediato, é importante dar uma resposta ao titular, comunicando as razões que impedem a adoção imediata da providência solicitada.
O desafio da portabilidade de dados (personal data portability)
Espero que as empresas não estejam recebendo solicitações de portabilidade, pois este é um desafio significativo.
Responder a perguntas sobre as informações que a empresa possui, atualizar dados e lidar com pedidos de exclusão são tarefas triviais que podem ser realizadas de forma automatizada ou manual.
No entanto, a portabilidade de dados apresenta um desafio adicional. Um dos direitos dos titulares é a capacidade de transferir seus dados para outro fornecedor de serviço ou produto. Infelizmente, muitas organizações não possuem as ferramentas adequadas para realizar essa transferência de forma eficiente. Além disso, é necessário garantir a proteção dos direitos de terceiros e dos segredos comerciais. Estabelecer padrões e definir os custos de interoperabilidade ainda é um desafio a ser superado.
Interoperabilidade é uma das competências do Conselho Diretor da ANPD, e que ainda merece um detalhamento maior sobre a regra e padronização entre diferentes sistemas.
“Art. 4º Ao Conselho Diretor, órgão máximo de direção da ANPD, compete:
….
III – dispor sobre:
….
c) os padrões de interoperabilidade para fins de portabilidade, o livre acesso aos dados, a segurança dos dados e o tempo de guarda dos registros, consideradas a necessidade e a transparência; e”
Fortalecendo a relação de confiança
Atender às demandas dos titulares não apenas cumpre a legislação, mas também fortalece a relação de confiança e transparência com os clientes. Demonstrar responsabilidade e prestar contas é essencial para estabelecer uma relação sólida e duradoura.
Ao permitir que os titulares exerçam seus direitos, as organizações não apenas cumprem a lei, mas também demonstram respeito aos direitos constitucionais e promovem a proteção da privacidade.
Atender às demandas dos titulares de dados não é uma tarefa simples. Requer organização, conscientização e investimento por parte das organizações. É necessário estabelecer procedimentos, garantir a segurança dos dados e promover a transparência. Ao cumprir esses requisitos, as organizações fortalecem a relação de confiança com os titulares e garantem o respeito aos direitos fundamentais de cada pessoa.
