REGISTRO DOI: 10.5281/zenodo.8083748
Sarah Cristina de Oliveira Biscaro1
Marcos Bandeira Amorim2
Resumo
A Lei Geral de Proteção de Dados do Brasil (13.709/18) entrou em vigor no Brasil em setembro de 2021, com o objetivo de garantir os direitos fundamentais de liberdade e privacidade. Até o momento da escrita desse artigo, ainda existe uma grande parcela das empresas que não estão aptas às diretrizes impostas, muito disso está relacionado a falta de entendimento de como implementar os controles previstos na LGPD. Este artigo tem como proposta inicial apresentar o resultado do estudo de caso realizado com três empresas aptas a LGPD para entender quais os recursos utilizados, como são tratados os dados pessoais e quais suas dificuldades. No entanto, obteve-se resultado de duas empresas somente. O método de pesquisa escolhido foi estudo de caso exploratório, utilizando-se de questionário como método de coleta de dados. Os resultados demonstraram que as empresas, denominadas de Alfa e Beta, utilizam comitês para gerir as atividades de tratamento de dados. Esses comitês são formados por profissionais do setor jurídico, estratégico e tecnológico, entre elas, a Empresa Beta optou por contratar uma empresa terceirizada para auxiliar no tratamento. As empresas utilizam bancos de dados e Enterprise Resource Planning (Planejamento de Recursos Empresariais – ERP) para armazenar e gerir os dados. Atualmente a Empresa Alfa ainda enfrenta problemas de adaptação dos colaboradores às novas práticas impostas pela LGPD. Por fim constatou-se, que o processo de digitalização, desenvolvimento tecnológico e mudança da política organizacional é a chave para um processo mais simples e seguro de controle dos dados dentro das empresas.
Palavras-chave: LGPD; Proteção; Tratamento; Dados.
1. INTRODUÇÃO
A Era da Informação trouxe muitos benefícios para o cotidiano, transmitindo dados entre pessoas de diferentes países em questão de segundos. No entanto, o meio digital é um novo mundo e como tal não surgiu com regulamentos para garantir a segurança de seus usuários. Empresas virtuais e físicas utilizam dados a todo momento, em cadastro de plataformas, compras online ou mesmo na interação social ou no acesso de conteúdo, e essa alta acessibilidade aos dados dos usuários é um grande risco. Em 2018 a BBC News Brasil, divulgou o caso da Cambrigde Analytica, onde a empresa através de um teste psicológico na plataforma do Facebook coletou informações de mais de 50 milhões de pessoas sem o consentimento das mesmas para fazer propaganda política.
Por situações como essas, normas e regras foram implantadas para regular e organizar as relações neste novo ambiente. A União Europeia iniciou este processo com o Regulamento Geral de Proteção de Dados (GDPR) de 2016 o qual foi base para criação da lei brasileira. A Lei Geral de Proteção de Dados do Brasil -13.709/18 (LGPD) foi criada com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, segundo seu Art. 1º:
Art. 1° “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
A LGPD entrou em vigor somente em setembro de 2020, ainda sem aplicação de sanções administrativas, e a partir deste momento os setores públicos e privados precisaram se adequar às novas diretrizes impostas por ela. No entanto, segundo pesquisa realizada pelo Grupo Daryus no período de 2022-2023, 80% das empresas no Brasil ainda não incluíram seus projetos de adequação à LGPD.
Portanto, o presente trabalho tem como proposta apresentar um estudo de caso de abordagem exploratória de como três empresas do setor privado que já se encontram adequadas às diretrizes determinadas pela Lei Geral de Proteção de Dados estão trabalhando, quais os tipos de recursos que elas utilizam, como é feito o tratamento dos dados e quais foram e continuam sendo suas dificuldades. A relevância deste estudo se sustenta na possibilidade de avaliar as estratégias utilizadas pelas empresas entrevistadas para que outras empresas que estejam tendo dificuldades possam se utilizar e aprimorar seus procedimentos.
2. FUNDAMENTAÇÃO TEÓRICA OU REVISÃO DA LITERATURA
O Governo do Brasil sancionou a Lei n° 13.709/2018 em 14 de agosto de 2018, para a regularização do tratamento de dados por parte da população e das entidades públicas e privadas em meios físicos e digitais, conforme descrito em seu Art. 1° (BRASIL):
Art. 1º “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
O Ministério do Esporte (2018) aborda em sua plataforma que “o tratamento de dados pessoais pode ser realizado por agentes de tratamento, que incluem o Controlador e Operador”. Além deles, existe o Encarregado, que conforme o Art. 5°, VIII da Lei n° 13.709/2018 (BRASIL, 2018), “é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
O tratamento de dados é uma das práticas fundamentais da LGPD, no qual é considerada no Art. 5°, X da Lei n° 13.709/2018 (BRASIL, 2018) como:
X – “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”
O agente deve se assegurar, primeiramente antes de iniciar qualquer forma de tratamento de dados, de que a finalidade da operação está registrada de forma clara e explícita e de que os propósitos foram especificados e comunicados de forma adequada ao titular dos dados (MINISTÉRIO DO ESPORTE, 2018).
2.1. Os princípios da lei geral de proteção de dados
A Lei n° 13.709, de 14 de agosto de 2018 determina em seu Art. 6° que “as atividades de tratamento de dados pessoais devem ser conduzidas de boa-fé e os seguintes princípios” (BRASIL, 2018):
I – “finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;” (BRASIL, 2018).
Ou seja, conforme diz o TRF da 3° Região, “o dado deverá, na coleta, ter a indicação clara e completa que a justifique”.
Márcio Pestana (2014) também diz que:
“Todos esses objetivos que, integradamente, conformam a finalidade admitida pelo normativo, devem ser informados ao titular, o qual, com ele concordando, delimitar o objeto do tratamento, domínio esse que não poderá ser subsequentemente alterado, salvo se nova, específica e expressa concordância for obtida desse titular.”
II – “adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;” (BRASIL, 2018).
O princípio da adequação determina, portanto, que o tratamento deve ser realizado conforme o acordado com o titular, não podendo executar nada fora desse eixo.
III – “necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;” (BRASIL, 2018).
Conforme diz Márcio Pestana (2014) a respeito do princípio da necessidade, “somente deverão ser tratados os dados pertinentes, ou seja, aqueles que se mostrem imprescindíveis para que o objetivo previamente tracejado seja atingido.”
IV – “livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;” (BRASIL, 2018)
Marcio Pestana (2014), comenta que o fácil acesso e conhecimento da integralidade dos dados, é um direito do titular.
V – “qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;” (BRASIL, 2018)
VI – “transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;” (BRASIL, 2018)
“A ênfase da transparência deseja destacar a importância que a LGPD dispensa à fluidez de informações para o titular dos dados tratados, afinal, ele, titular, juntamente com os seus dados, constituem os elementos mais importantes de todo o processo de tratamento.” (Márcio Pestana, 2014)
VII – “segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;” (BRASIL, 2018)
O objetivo do princípio é garantir que os dados pessoais sejam preservados, sempre em ambiente seguro, através de técnicas contemporâneas de segurança. (Márcio Pestana, 2014)
VIII – “prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;” (BRASIL, 2018)
A respeito do princípio da prevenção, para González (2019):
“A segurança dos dados pessoais não deve ser tratada apenas de forma reativa, mas principalmente preventiva. Políticas fortes de proteção e privacidade de dados pessoais contribuem para o estabelecimento de rotinas e processos eficazes para impedir danos aos dados tratados e possibilitam a identificação prévia de riscos e ameaças à segurança da informação.”
IX – “não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;” (BRASIL, 2018)
O princípio retoma aos fundamentos que constam no Art. 2, IV e VII da Lei n° 13.709/2018 (BRASIL):
IV – à inviolabilidade da intimidade, da honra e da imagem;
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
X – “responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.” (BRASIL, 2018)
Tal princípio refere-se à atividade o qual os agentes, controlador e operador, realizam no momento da fiscalização da ANPD, autoridade competente ao órgão inscrita no Art.55 – J, IV da Lei n° 13.709/2018 (BRASIL0, “fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;”.
2.2. Classificação dos dados
2.2.1. Dados Pessoais
Os Dados Pessoais, conforme no Art. 5°, I da Lei n° 13.709/2018 (BRASIL, 2018), são descritos como “informação relacionada a pessoa natural identificada ou identificável”. O Ministério do Esporte (2018), exemplifica como:
“Nome e sobrenome; data e local de nascimento; RG; CPF; retrato em fotografia; endereço residencial; endereço de e-mail; número de cartão bancário; renda; histórico de pagamentos; hábitos de consumo; dados de localização; endereço de IP (protocolo de internet); testemunhos de conexão (cookies); número de telefone.”
2.2.2. Dados Sensíveis
Os Dados Sensíveis são aqueles dados pessoais que necessitam de uma maior atenção em seu tratamento, tais como os descritos no Art. 5 da Lei n° 13.709 (BRASIL, 2018):
II – “dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;”
Em casos de os dados pertencerem a crianças ou a adolescentes, o Ministério do Esporte (2018) informa que “é imprescindível obter o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal e se limitar a pedir apenas o conteúdo estritamente necessário, sem repasse a terceiros”.
Somente haverá exceção à coleta dos dados pessoais de menores sem o consentimento de pelo menos um dos pais ou responsáveis legais quando for para contatar os mesmos, não podendo ser armazenado os dados. Conforme descrito no Art. 14, §3° da Lei n° 13.709/2018 (BRASIL, 2018):
§ 3º “Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.”
O Ministério do Esporte (2018), informa que a LGPD define que somente será possível a coleta de dados sensíveis quando:
“A informação for indispensável em situações relacionadas a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; ao exercício regular de direitos; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o(a) titular.”
2.2.3. Dados Públicos
Para Seta (2019):
“Os dados públicos são aqueles encontrados nos portais das autoridades estatais, como os dados disponíveis até nos sites ligados à justiça, receita federal. Já os manifestamente públicos pelo titular, podem ser lidos como os dados publicados e compartilhados abertamente pelos titulares, por exemplo, nas redes sociais.”
O Art. 7, § 3 da Lei n° 13.709/2018 (BRASIL) retrata que “o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.”
O Art. 7, § 4 da Lei n° 13.709/2018 (BRASIL) fala também que “é dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.”
Porém, se a organização quiser compartilhar esses dados com outras organizações, necessariamente ela deverá pedir outro consentimento para esse fim – resguardadas as hipóteses de dispensa previstas na Lei. (MINISTÉRIO DO ESPORTE, 2018)
2.2.4. Dados Anonimizados
Conforme o Art. 5 da Lei nº 13.709 (BRASIL, 2018), “dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.”
Os Dados Anonimizados tratam-se daqueles que passaram pela técnica de anonimização, onde conforme descrito pelo Google Privacidade e Termos, “a anonimização é uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa. Essa técnica resulta em dados anonimizados, que não podem ser associados a nenhum indivíduo específico”.
No entanto, somente é considerado um dado anonimizado quando não houver, por meios técnicos ou outros, maneiras para reconstruir o caminho para revelar quem é o titular do dado. Caso contrário, o dado não é anonimizado, mas sim um dado pseudonimizado, e estará sujeito à LGPD. (MINISTÉRIO DO ESPORTE, 2018)
2.3. Direitos dos titulares
Segundo o Art. 17, Lei nº 13.709, de 14 de agosto de 2018, “toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.” (BRASIL, 2018)
2.4. Autoridade nacional de proteção de dados (ANPD)
A Autoridade Nacional de Proteção de Dados (ANPD) é uma autarquia criada pelo Governo do Brasil no Art. 55 – A da Lei n° 13.709/2018, a define como “autarquia de natureza especial, dotada de autonomia técnica e decisória, com patrimônio próprio e com sede e foro no Distrito Federal.” (BRASIL, 2018)
Seu propósito é “zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional;” (MINISTÉRIO PÚBLICO, 2018)
2.5. Agentes de tratamento
Os profissionais envolvidos no processo de tratamento de dados pessoais são denominados de Controlador, Operador e Encarregado, conforme Art. 5 da Lei n° 13.709 (BRASIL, 2018):
VI – “controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;”
VII – “operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;”
VIII – “encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).”
O Encarregado ou o Data Protection Officer (DPO) determinado pelo Controlador, é o profissional, da instituição ou terceirizado, responsável pelas seguintes atividades descritas no Art. 41, § 2º da Lei n° 13.709/2018 (BRASIL) por:
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
2.6. Alcance da lgpd
De acordo com o SERPRO (2020) é determinado pela LGPD que caso haja o tratamento de dados pessoais de pessoas, sendo elas brasileiras ou não, residentes em território nacional brasileiro, a lei deve ser cumprida, independentemente da localização da instituição ou da sua base de dados, sendo elas no Brasil ou no exterior.
2.7. O que é tratamento de dados pessoais
Todo tipo de processo realizado com dados pessoais é considerado tratamento. Algumas ações que categorizam tratamento de dados pessoais conforme o Ministério do Esporte (2018) são acesso, armazenamento, arquivamento, avaliação, classificação, coleta, comunicação, controle, difusão e diversas outras conforme constam descritas no site do Ministério do Esporte.
3. METODOLOGIA
O presente trabalho tem como proposta apresentar um estudo de caso de abordagem exploratória de como três empresas do setor privado que já se encontram adequadas às diretrizes determinadas pela Lei Geral de Proteção de Dados estão trabalhando, analisando quais os tipos de recursos que elas utilizam, como é feito o tratamento dos dados e quais foram e continuam sendo suas dificuldades.
“Como método de pesquisa, o estudo de caso é usado em muitas situações, para contribuir ao nosso conhecimento dos fenômenos individuais, grupais, organizacionais, sociais, políticos e relacionados”. (Yin, 2015)
De acordo com Robert K. Yin (2015), um estudo de caso permite que os investigadores foquem um “caso” e retenham uma perspectiva holística e do mundo real.
Utilizou-se de questionário como método de coleta de dados para investigação dos procedimentos usados dentro das empresas para o tratamento dos dados pessoais.
4. RESULTADOS E DISCUSSÕES
Em pesquisa sobre privacidade e proteção de dados pessoais realizada em 2022, pelo Grupo Daryus, empresa de consultoria especializada em gestão de riscos, continuidade de negócios, privacidade e proteção de dados, segurança da informação e cibersegurança, constatou que 80% das empresas brasileiras ainda não incluíram seus projetos de adequação a LGPD.
A proposta do presente artigo é apresentar quais as ferramentas para adequação a LGPD são utilizadas para o tratamento de dados pessoais por três empresas entrevistadas que se encontram adequadas a LGPD. No entanto, obteve-se o resultado de somente duas empresas.
Para a pesquisa foi elaborado um questionário que visava mapear o caminho realizado pelos dados pessoais desde sua entrada até seu armazenamento ou eliminação, analisando o tratamento realizado em seu processo, quais ferramentas e quais os profissionais envolvidos.
As empresas serão denominadas no artigo da seguinte maneira para melhor compreensão: Empresa Alfa e Empresa Beta.
A Empresa Alfa é uma instituição de rede nacional que atua no ramo de educação sobre empreendedorismo há 50 anos. Atualmente, ela possui cerca de 300 colaboradores, entre eles, funcionários efetivos, terceirizados, estagiários, jovens aprendizes e consultores trabalhando diretamente.
O serviço da empresa em questão é prestado por meio de plataformas on-line e principalmente por demanda presencial, onde o cliente pode ir diretamente à sede da empresa para ser atendido. Esses serviços são executados tendo como princípio o recebimento e armazenamento de dados pessoais e sensíveis, sendo assim necessário a gestão de uma grande quantidade de dados.
A Empresa Beta é uma instituição de ensino básico e superior que está a mais de 40 anos no mercado em sua unidade do Amazonas, onde possui cerca de 200 funcionários e 3.600 alunos. A principal demanda de serviços da empresa Beta é a de gerir e atualizar os dados dos alunos, a quantidade de dados sensíveis no contexto dessa empresa faz com que ela imprima uma rotina de cuidados e processos robustos de gestão de dados.
Após a análise dos resultados obtidos por meio de questionário elaborado, constatou-se que tanto a empresa Alfa quanto a Beta formaram comitês para a adequação a LGPD para gerir o tratamento de dados pessoais, no qual são compostos por profissionais da área jurídica, estratégica e tecnológica. Dentre as duas, a Empresa Beta ainda optou por realizar esse trabalho em conjunto com uma empresa terceirizada na qual é responsável pela manutenção do banco de dados da instituição.
No momento do início do processo da entrada dos dados em ambas as organizações, os resultados demonstraram que na Empresa Alfa e Beta, 90% de todos os dados obtidos são de maneira digital. Na Empresa Alfa, por meio de sistemas de atendimento ao cliente, registros de plataformas online. Os clientes inserem os dados na plataforma como meio de registro ou os funcionários inserem os dados para fins de registrar o atendimento. Na Empresa Beta, as matrículas são feitas em atendimento presencial e outros tipos de procedimentos como a rematrícula são feitos de maneira digital. Os 10% físicos são digitalizados para o armazenamento no banco de dados das empresas e posteriormente arquivados.
As empresas utilizam banco de dados e ERPs para armazenar e gerir os dados pessoais.
Contextualizando, o banco de dados segundo a Microsoft Azure, é “uma coleção de informações armazenadas como dados em um sistema de computador”. O “Enterprise Resource Planning (ERP) é um sistema de gestão que permite acesso fácil, integrado e confiável aos dados de uma empresa”. (TOTVS, 2022)
Portanto, os bancos de dados armazenam os dados que entraram e são geridos pela empresa através do ERP.
4.1. Medidas de Segurança
Segundo VII, Art. 5 da Lei º 13.709 (BRASIL, 2018) “segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
4.1.1. Empresa Alfa
Para o cumprimento do Princípio da Segurança e Prevenção, a Empresa Alfa adotou como medida a anonimização e criptografia dos dados armazenados no seu banco de dados.
4.1.2. Empresa Beta
Na Empresa Beta, os dados pessoais são armazenados e geridos pelo operador terceirizado e pela DPO (Encarregada) nacional da rede, no qual apenas eles possuem a permissão de realizar o tratamento dos dados que estão contidos em bancos de dados criptografados.
4.2. Dificuldades Enfrentadas
4.2.1. Empresa Alfa
A principal dificuldade relatada foi a conscientização e capacitação dos colaboradores que permanecem relutantes em cumprir as novas medidas impostas pela empresa. A adaptação dos funcionários é de fundamental importância para assegurar o comprimento do correto tratamento dos dados, uma vez que as diretrizes para seguimento não sustentam, por si só, a segurança da informação coletada e a correta gestão dos dados.
A adequação de antigos softwares para assegurar o correto processo de acordo com as medidas implementadas a serem cumpridas, foram realizadas.
Além disso, o processo de digitalização dos dados físicos é um processo extenso e demorado, visto que a empresa está no mercado há 50 anos.
4.2.2. Empresa Beta
O processo de digitalização também foi uma dificuldade exposta pela Empresa Beta, pois possui dados de mais de 40 anos. Atualmente, esse processo já foi realizado e todos os dados estão digitalizados e armazenados em seu banco de dados. No entanto, a empresa ainda mantém arquivados alguns dados, já digitalizados, de maneira física.
5. CONCLUSÃO/CONSIDERAÇÕES FINAIS
“As tentativas de golpes por meios digitais – como computadores e celulares – cresceram 20% no segundo trimestre deste ano no Brasil” (G1, 2022). Essa reportagem do G1 e a citada na introdução deste artigo a respeito do caso Cambridge Analytica divulgado pela BBC News Brasil, são apenas algumas entre tantas diversas notícias que são vistas no cotidiano, por esse motivo, o Governo Federal sancionou em 14 de agosto de 2018 a Lei nº 13.709, como medida para garantir os direitos de proteção dos dados pessoais dos cidadãos, brasileiros ou não, residentes em território nacional brasileiro.
No entanto, segundo pesquisa realizada pelo Grupo Daryus no período de 2022-2023, 80% das empresas no Brasil ainda não incluíram seus projetos de adequação à LGPD.
Em vista desse cenário, a proposta era apresentar o estudo de caso exploratório de três empresas já adequadas das diretrizes da LGPD, relatando quais os recursos utilizados, como é feito o tratamento dos dados e quais foram e continuam sendo suas dificuldades. No entanto, obteve-se apenas o resultado de duas empresas.
O questionário foi o método escolhido para realizar a coleta dos dados.
Os resultados da pesquisa demonstraram que as empresas, denominadas de Alfa e Beta, utilizam comitês para gerir o processo de adaptação e manutenção das atividades para tratar os dados e se adequar a LGPD. Esses comitês são formados por profissionais do setor jurídico, estratégico e TI, entre elas, a Empresa Beta optou também por contratar uma empresa terceirizada para auxiliar no tratamento dos dados.
Ambas relataram que cerca de 90% dos dados que entram já são digitais e os outros 10% físicos são digitalizados. Para armazenar os dados são utilizados bancos de dados e ambas fazem a gestão através de seus ERP (Enterprise Resource Planning).
Ao fim, constatou-se que o processo de digitalização dos dados, o desenvolvimento tecnológico e a mudança da cultura organizacional são a chave para obter sucesso e tornar a empresa adequada para a nova realidade que a LGPD proporcionou.
REFERÊNCIAS
ANPD, Autoridade Nacional de Proteção de Dados. Perguntas Frequentes – ANPD. In: Gov.br Ministério da Justiça e Segurança Pública. Data de Publicação: 18, fev, 2021. Disponível em: https://www.gov.br/anpd/pt-br/acesso-a-informacao/perguntas-frequentes-2013-anpd#c1. Acesso em 8 de maio de 2023
AZURE, Microsoft. O que são banco de dados. In: Microsoft Azure. Disponível em: https://azure.microsoft.com/pt-br/resources/cloud-computing-dictionary/what-are-databases/. Acesso em 13 de maio de 2023.
BBC. Entenda o escândalo de uso político de dados que derrubou o valor do Facebook e colocou na mira de autoridades. Publicado em 20 de março de 2018. Disponível em: https://www.bbc.com/portuguese/internacional-43461751. Acesso em 20 de junho de 2023.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados. In: Planalto.gov.br. Data da Publicação: 14, ago, 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 29 de abril de 2023
COMISSÃO EUROPEIA. Proteção de Dados na EU. In: Comissão Europeia. Disponível em: https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_pt#:~:text=O%20regulamento%20entrou%20em%20vigor,(RGPD)%20no%20Acordo%20EEE%20. . Acesso em 29 de abril de 2023.
DARYUS, Grupo. Maturidade de Privacidade e Proteção de Dados Pessoais no Brasil. Data da Publicação: 2022. In: Daryus. Disponível em: https://materiais.idesp.com.br/pesquisa-protecao-e-privacidade-de-dados. Acesso em 8 de maio de 2023.
G1, Tecnologia. Tentativas de golpes por meios digitais cresceram 20% no segundo trimestre deste ano no Brasil. In: G1. Data de Publicação: 11, out, 2023. Disponível em: https://g1.globo.com/tecnologia/noticia/2022/10/11/tentativas-de-golpes-por-meios-digitais-cresceram-20percent-no-segundo-trimestre-deste-ano-no-brasil.ghtml. Acesso em 14 de maio de 2023.
GONZÁLES, Mariana. LGPD Comentada. GUIALGPD, 2019. Disponível em: https://guialgpd.com.br/lgpd-comentada/. Acesso em 20 de junho de 2023.
GOOGLE. Como o Google anonimiza os dados. Disponível em: https://policies.google.com/technologies/anonymization?hl=pt-BR. Acesso em 20 de junho de 2023.
MINISTÉRIO DO ESPORTE. Classificação dos Dados. In. Gov.br Presidência da República. Disponível em: https://www.gov.br/esporte/pt-br/acesso-a-informacao/lgpd/classificacao-dos-dados. Acesso em 29 de abril de 2023.
MINISTÉRIO DO ESPORTE. Direitos do Titular. In: Gov.br Presidência da República. Disponível em: https://www.gov.br/esporte/pt-br/acesso-a-informacao/lgpd/direitos-do-titular. Acesso em 29 de abril de 2023.
MINISTÉRIO DO ESPORTE. Glossário dos Termos Técnicos da LGPD. In: Gov.br Presidência da República. Disponível em: https://www.gov.br/esporte/pt-br/acesso-a-informacao/lgpd/glossario-de-termos-tecnicos-da-lgpd. Acesso em 30 de abril de 2023.
MINISTÉRIO DO ESPORTE. Lei Geral de Proteção de Dado (LGPD). In. Gov.br Presidência da República. Disponível em: https://www.gov.br/esporte/pt-br/acesso-a-informacao/lgpd. Acesso em 29 de abril de 2023.
MINISTÉRIO DO ESPORTE. Princípios da LGPD. Disponível em: https://www.gov.br/esporte/pt-br/acesso-a-informacao/lgpd/principios-da-lgpd. Acesso em 29 de abril de 2023
PESTANA, Márcio. Os princípios no tratamento de dados na LGPD (Lei Geral da Proteção de Dados Pessoais). Disponível em: https://www.conjur.com.br/dl/artigo-marcio-pestana-lgpd.pdf. Acesso em 15 de junho de 2023.
SEPROR. O que muda com a LGPD. Data da Publicação: 2020. In: Gov.br. Disponível em: https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd. Acesso em 10 de maio de 2023.
SETA, Paduan. Como Tratar Dados Pessoais Públicos?. 2019. Disponível em: https://paduanseta.jusbrasil.com.br/artigos/789524287/como-tratar-dados-pessoaispublicos. Acesso em 20 de junho de 2023.
TOTVS. O que é ERP. In: TOTVS. Data de Publicação: 20, jul, 2022. Disponível em: https://www.totvs.com/blog/erp/o-que-e-erp/. Acesso em 13 de maio de 2023.
TRF3. Princípios. Data da Publicação: 02, dez, 2020. Disponível em: https://www.trf3.jus.br/lei-geral-de-protecao-de-dados-pessoais-lgpd/principios. Acesso em 15 de junho de 2023.
YIN, Robert K. Estudo de caso: planejamento e métodos [recurso eletrônico] / Robert K. Yin; [tradução: Cristhian Matheus Herrera]. n° 5. ed – Porto Alegre: Bookman, 2015.
1Discente do Curso Superior de Administração da Faculdade La Salle. e-mail: sarah.biscaro@gmail.com
2Docente do Curso Superior de Administração da Faculdade La Salle Manaus. Mestre em Engenharia de Produção (UFAM). e-mail: marcos.amorim@lasalle.org.br