*Por Giulio Franchi e Natássia Alencar
A Lei Geral de Proteção de Dados Pessoais (“LGPD”) orienta que todas as pessoas, físicas ou jurídicas, que lidam com dados pessoais em suas atividades econômicas implementem práticas de segurança no dia a dia para proteger esses dados.
Apesar de a LGPD não indicar as medidas a serem adotadas, o contexto da atividade realizada pela empresa com os dados pessoais deverá ser levado em consideração na hora de implementar normas de segurança. Desse modo, cada organização deve avaliar critérios como volume e tipos de dados tratados no momento de planejar as medidas de segurança adequadas ao seu modelo de negócio, sempre observando as melhores práticas de mercado.
A Autoridade Nacional de Proteção de Dados (“ANPD”), órgão responsável por fiscalizar o cumprimento da LGPD, disponibiliza um Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, no qual defende que uma Política de Segurança da Informação deve ser adotada por qualquer organização. Além disso, o Guia destaca a importância de medidas de conscientização e treinamento dos colaboradores, com especial atenção para aqueles envolvidos diretamente com atividades de tratamento de dados pessoais. Como exemplo de setores nos quais há grandes fluxos de dados pessoais, podemos citar recursos humanos, departamento pessoal, financeiro, marketing, comercial, atendimento, entre outros.
É importante que a Política de Segurança, além de prever as regras sobre utilização dos dados, estabeleça as consequências da utilização inadequada dos dados pelo colaborador. É essencial que as empresas promovam o treinamento constante dos empregados no correto tratamento de dados pessoais, para concretizar as normas previstas na Política e fomentar a cultura da proteção de dados na organização.
Uma medida amplamente adotada por diversas empresas e citada no Guia elaborado pela ANPD é proibir que os colaboradores armazenem os dados pessoais de clientes e outros titulares em seus dispositivos e ferramentas pessoais, como os computadores e celulares pessoais, bem como e-mails e nuvens.
É que, quando não existe separação entre assuntos corporativos e assuntos pessoais, a empresa pode perder o controle sobre os dados que estão sob sua tutela. E, uma vez perdido o controle sobre os dados pessoais tratados, as consequências podem ser bastante sérias tanto para o titular dos dados, quanto para a organização, que pode ser sancionada administrativamente ou judicialmente.
A LGPD estabelece que é obrigação de todo agente que utiliza dados pessoais manter registro das atividades de tratamento, que deve indicar, entre outros elementos, os locais de armazenamento dos dados, bem como medidas de segurança aplicadas aos dados. Dessa forma, precisa saber onde cada tipo de dado está armazenado e especificar os controles de segurança que são aplicados sobre os dados. Contudo, se os dados ficam armazenados em dispositivos e ferramentas pessoais, a empresa pode acabar perdendo o controle sobre essas informações, dificultando a possibilidade de rastrear o dado e de protegê-lo adequadamente.
A falta de separação entre ferramentas pessoais e ferramentas corporativas pode afetar o cumprimento de outras obrigações, como o atendimento a direitos de titulares de dados pessoais. É que, geralmente, alcançada a finalidade de tratamento de certos dados, há a obrigação de o agente excluir estes dados. Entretanto, se alcançada a finalidade, os dados estiverem no e-mail pessoal do colaborador ou de ex-colaborador, por exemplo, a empresa provavelmente não terá como cumprir a contento o dever de exclusão.
Em síntese, o ideal é proibir que colaboradores que lidam diretamente com dados pessoais utilizem ferramentas pessoais, sejam e-mails, sejam dispositivos móveis, na execução do trabalho. Todavia, se isso for inviável para o seu negócio, é fundamental que você registre quais os dispositivos e as ferramentas pessoais de colaboradores são utilizados para a execução dos trabalhos e aplique sobre eles as mesmas medidas de segurança dos dispositivos e ferramentas corporativas, a exemplo de software antivírus atualizado e possibilidade de apagamento remoto de dados em caso de eventual roubo ou furto, conforme recomendado pela ANPD. Por fim, é sempre bom lembrar: por mais que as empresas contenham normas sobre a segurança dos dados, é essencial que sejam promovidas capacitações frequentes aos empregados sobre proteção de dados, já que falhas humanas podem desencadear incidentes e outros tipos de violações.
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).