Chegando ao final do art.6º da Lei Geral de Proteção de Dados, vamos analisar os princípios da segurança, prevenção e responsabilidade e prestação de contas, dispostos, respectivamente nos incisos VII, VIII e X. Apesar de cada um guardar suas especificidades, é importante destacar a relação que guardam uns com os outros, como se verá a seguir.
O princípio da segurança é definido como a adoção de medidas técnicas e administrativas capazes de resguardar os dados pessoais de interferências e situações que possam causar algum prejuízo, seja ele acidental ou proposital. Essas ações devem ser direcionadas e relacionadas à atividade de tratamento utilizada, independentemente de como ela se realiza. Essa constatação é importante pois, com o advento da informatização da vida humana, tornou-se comum ligar a noção de proteção de dados à Tecnologia da Informação (TI) quando na verdade a própria LGPD expõe que seu âmbito de aplicação, conforme art.1º, caput, está “inclusive nos meios digitais”. É de suma importância ampliar a visão dos agentes de tratamento para proteger as informações nos meios físicos.
Assim, a implementação de um sistema satisfatório de segurança não está apenas na instalação de um bom antivírus, na atualização constante de programas de computador ou na aplicação de cifragem em senhas, mas também em aplicar medidas de “segurança física” (physical security), como verificar a qualidade de portas e fechaduras, instalação de alarmes, controle de acesso diferente para funcionários e visitantes nas instalações da empresa, política de descarte de documentos e lixos eletrônicos são alguns dos exemplos trazidos pela Autoridade de Proteção de Dados do Reino Unido (ICO).1
Um outro ponto a ser destacado quanto ao princípio da segurança é a compatibilização dos standards com as peculiaridades de determinado serviço/produto, adentrando no ambiente corporativo e na parte administrativa. Ainda que haja questões que possam ser reproduzidas por todos os agentes de tratamento, há especificidades que irão demandar abordagens diferentes. O tamanho da empresa, o compartilhamento de dados entre um grupo econômico e a quantidade de funcionários são apenas alguns dos exemplos. Todos esses fatores devem ser analisados, demandando um esforço coletivo para criar “novas rotinas de trabalho, de procedimentos de segurança de informação e aumento dos mecanismos de transparência e governança”.2 Sobre esse tema, a ANPD já elaborou o Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte. Ao destacar que “os recursos humanos de uma organização são o fator preponderante para o sucesso das medidas que se referem à segurança da informação e à proteção de dados pessoais”,3 a autoridade lembra a necessidade de participação dos funcionários e do processo constante de atualização a conscientização das práticas de segurança.
Essas medidas, contudo, não devem ser colocadas em prática apenas no momento do tratamento de dados ou após o término. Devem estar presentes antes mesmo da atividade ser iniciada, de forma que os riscos da atividade sejam ao máximo mapeados, não incorrendo em surpresas. Sobre esse prisma se baseia o princípio da prevenção, demandando “medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais” (art.6º, VIII).
Analisar e se antever aos riscos que permeiam a atividade é de suma importância, pois permitem ao agente de tratamento aplicar a melhor medida de segurança à proteção de dados pessoais. Uma das formas de conhecer esses riscos e endereçar medidas cabíveis é por meio do relatório de impacto à proteção de dados pessoais (RIPDP), definido no art.6º, XVII como um documento com “a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Ele não é uma obrigação regulatória, mas é extremamente recomendável o seu feitio para permitir uma melhor análise do fluxo de dados pelos agentes de tratamento.4 Apesar de não termos ainda uma metodologia editada pela ANPD, já podemos buscar inspiração em contribuições exteriores como o Relatório de Trabalho do art.29 para a Proteção de Dados (Working Party 29),5 no qual é possível encontrar recomendações de quando é necessário e oportuno elaborar o Data Protection Impact Assessment (DPIA).
Outras medida para prevenção de ocorrência de danos está na adoção da privacidade por padrão ou privacy by design, conjunto de princípios direcionados a implementar a proteção de dados pessoais desde a concepção, tornando a privacidade “incorporada em todos os padrões, protocolos e processos que afetam nossas vidas”6 (tradução livre). Desta forma, ao abarcar toda a vida do dado, os produtos e serviços oferecidos estarão mais preparados frente às novas ameaças às nossas informações.7
Como último princípio abarcado nesse texto, há a responsabilidade e prestação de contas, previsto no art.6º, X, segundo o qual o agente deve demonstrar a adoção de “medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. Ele encontra correspondente na legislação europeia pelo termo accountability, disposto no art.5.2 da GDPR.8 Segundo a ICO é dentro da accountability que há a possibilidade de mostrar e provar o quanto que sua atividade se importa com a privacidade das pessoas, ao mesmo tempo que, caso algo saia errado durante o tratamento, o agente será capaz apresentar meios de mitigação de danos por já se antever.9
A aplicação desse princípio repousa no que Maria Celina Bodin e João Quinelato chamam de postura proativa por parte dos agentes, de forma que não basta apenas cumprir a lei, mas estar em conformidade com ela, de forma que caiba “às empresas, em vez de à Administração Pública, a responsabilidade de identificar os próprios riscos e escolher e aplicar medidas apropriadas para mitigá-los”.10 Assim, realizar a documentação das atividades, elaborar um Relatório de Impacto e aplicar a privacidade por padrão são algumas situações que tornam nítida a importância da proteção de dados para determinada empresa. Não só é uma boa prática como também é medida que ajuda na fiscalização das atividades, caso a ANPD realize uma auditoria para averiguar a conformidade com a LGPD ou aplicar sanção por tratamento irregular.11
Terminamos aqui a série sobre os incisos do art.6º da LGPD, os quais expõe os princípios que guiam a proteção de dados no ordenamento jurídico brasileiro. No próximo texto, trataremos sobre um princípio disposto no caput do mesmo artigo: a boa-fé.
____________________
Referências
________________________________________
1. GUIDE to the General Data Protection Regulation (GDPR). Information Comissioner’s Office. 01 jan. 2021. Disponível em: https://bit.ly/3DI2j1A. Acesso em: 24 jan. 2022.
2. SOUZA, Carlos Affonso Pereira de Souza. Segurança e sigilo dos dados pessoais: primeiras impressões à luz da Lei 13.709/2018. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Org.). Lei Geral de Proteção de Dados e suas repercussões no direito brasileiro. São Paulo: Thomson Reuters Brasil, 2019. p.435.
3. GUIA orientativo sobre segurança da informação para Agentes de Tratamento de Pequeno Porte. Autoridade Nacional de Proteção de Dados, Brasília. Outubro de 2021. p. 8. Disponível em: https://bit.ly/3IvSk20. Acesso em: 24 jan. 2022.
4. Sobre o Relatório de Impacto a Proteção de Dados Pessoais na LGPD confira-se: GOMES, Maria Cecília Oliveira. Relatório de impacto à proteção de dados. Revista do Advogado, São Paulo, n. 133, p. 6-15, 2019. GOMES, Maria Cecília O. Entre o método e a complexidade: compreendendo a noção de risco na LGPD. In: PALHARES, Felipe (Coord.). Temas atuais de proteção de dados. São Paulo: Thomson Reuters Brasil, 2020, pp 245-271.
5. ARTICLE 29 DATA PROTECTION WORKING PARTY. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248rev.01. Disponível em: https://bit.ly/3Awq7We. Acesso em: 24 jan. 2022.
6. No original: “Privacy must be embedded into every standard, protocol and process that touches our lives”. CAVOUKIAN, Ann. Publicação da Information and Privacy Comissioner of Ontario. Publicado em maio de 2010. Revisado em jan. 2011. p.2. Disponível em: https://bit.ly/3Fcw7EN. Acesso em: 10 nov. 2021
7. Esse tema já foi tratado em texto desta coluna. Para tanto confira-se: KREPKE, André Felipe. Privacy by design: da recomendação à exigência regulatória. Magis – Portal Jurídico. 2021. Disponível em: https://bit.ly/3KKgrw7. Acesso em: 24 jan. 2022.
8. A versão em inglês dispõe: “The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’)”. Já em português: “O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová-lo (‘responsabilidade’)”.
9. No original: “Accountability is a real opportunity for you to show, and prove, how you respect people’s privacy. This can help you to develop and sustain people’s trust. Furthermore, if something does go wrong, then being able to show that you actively considered the risks and put in place measures and safeguards can help you provide mitigation against any potential enforcement action.”. GUIDE to the General Data Protection Regulation (GDPR). Information Comissioner’s Office. 01 jan. 2021. Disponível em: https://bit.ly/3DI2j1A. Acesso em: 24 jan. 2022.
10. MORAES, Maria Celina Bodin de; QUEIROZ, João Quinelato de. Autodeterminação informativa e responsabilização proativa: novos instrumentos de tutela da pessoa humana na LGDP. In: Cadernos Adenauer, volume 3, Ano XX, 2019, p.130
11. Conforme dispõe o art.55-J: “Compete à ANPD: IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público”.