O processo deverá facilitar a rotina dessas empresas em relação à proteção de dados, mas não significa conferir a elas s algum tipo de permissão para deixar de lado os direitos dos titulares de dados. A automação vai possibilitar que as PMEs cumpram e respeitem os direitos dos titulares, além de proteger as informações pessoais que circulam na sua rotina
Jéssica Cabrera*
Independentemente das conclusões e das ações tomadas ou não –, após as reuniões técnicas realizadas pela Autoridade Nacional de Proteção de Dados (ANPD) para discutir os diversos aspectos que envolvem a emissão dos Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) exigidos pela Lei Geral de Proteção de Dados (LGPD) – já é possível estabelecer um consenso. Só a automatização referente a esta exigência salvará as pequenas e micro empresas de levarem multas.
Essa realidade salta aos olhos porque, se antes da pandemia já seria difícil para as PMEs arcarem com os custos para a confecção destes documentos, parece óbvio supor que os desafios impostos pela crise sanitária impuseram outras prioridades com impacto direto e imediato na própria sobrevivência de empreendimentos deste porte. Por outro lado, uma observação mais cuidadosa do tema revela que o RIPD não precisa ser um documento que será elaborado à parte, pontualmente, mas, sim, o resultado de outras diversas ações, como um mapeamento de atividades de tratamento que leve à correta classificação dos riscos dentre outras ações.
Visto por esta perspectiva, é totalmente possível automatizar a emissão do RIPD por meio de uma adequada sistematização de informações que a empresa deve preencher no seu mapeamento, depois no gap analysis e, finalmente, analisando as atividades de tratamento de maior risco. Com essa metodologia, uma pequena clínica em que trabalham uma médica e uma secretária ou um pequeno escritório de contabilidade com três funcionários, por exemplo, podem gerar em qualquer momento o relatório de impacto.
Plataformas SaaS de conformidade com a LGPD já viabilizam esse tipo de solução fazendo o correto input das seguintes informações, para cada atividade de tratamento de dados pessoais de maior risco:
- Nome da atividade de tratamento;
- Finalidade;
- Risco classificado em alto ou severo;
- Dados tratados para cada categoria de titular de dados;
- Classificação dos dados em simples, sensíveis, financeiros e comportamentais;
- Salvaguarda e ciclo de vida dos dados;
- Compartilhamentos realizados;
- Plataformas utilizadas para os compartilhamentos;
- Análise de necessidade e proporcionalidade;
- Enquadramento legal (Arts. 7o, 11 e 14 da LGPD);
- Medidas de segurança administrativas e técnicas aplicadas.
Essa metodologia, aliás, guarda semelhança com algumas experiências vivenciadas na Europa. Já no que se refere à classificação dos riscos, pode se adotar uma matriz de riscos, em que sejam considerados os direitos dos titulares de dados para majorar ou minorar o risco, por exemplo, considerando um risco maior se houver dados de crianças ou adolescentes envolvidos na atividade de tratamento (uma abordagem de cálculo do risco que considera a necessidade de proteção dos titulares e não a proteção à empresa).
Seja como for, o fato é que é necessário que se façam todos os esforços possíveis, flexibilizações necessárias e que se use toda a tecnologia disponível para democratizar ao máximo a conformidade das empresas de todos os tamanhos à LGPD, sobretudo empresas menores que não têm condições de reservar altas quantias de seu caixa para este fim.
A automatização tem por objetivo facilitar a rotina das PMEs em relação à proteção de dados. Isto não significa de forma alguma dar a elas algum tipo de permissão para deixar de lado os direitos dos titulares de dados, que são a razão de existir da LGPD. Pelo contrário: automatizar essas ações é uma medida que vem justamente na direção de possibilitar que as PMEs cumpram, respeitem, de forma satisfatória, os direitos dos titulares e protejam as informações pessoais que circulam na rotina dos seus departamentos.
*advogada e gerente de produtos da Immunize System