Dados pessoais e a LGPD: como proteger?

Uma das preocupações principais do compliance officer e do compliance trabalhista hoje em dia são os dados pessoais e a LGPD. Isso porque todo o ambiente digital, e o maior ativos que empresas buscavam e exploravam até hoje eram esses dados pessoais sensíveis de usuários.

Agora que legislações novas como a LGPD e GDPR têm surgido, as empresas precisam descobrir como proteger os dados pessoais com os quais ela lida e pode ter acesso o tempo todo.

Com isso, surgem dois conceitos importantes: dados pessoais e dados anônimos. Entender a diferença, saber como identificar e saber tratar cada um desses é a chave para conseguir fazer a devida proteção deles e proteger sua empresa das consequências do mal uso de dados pessoais.

O que são dados pessoais e dados anônimos

Para entendermos como tratar, primeiro temos que saber como identificar esses dados. De acordo com a LGPD, as definições para cada tipo são:

• Dado pessoal: Informação relacionada à uma pessoa natural identificada ou identificável;
• Dado pessoal sensível: Raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico ou dados de crianças;
• Dado anonimizado: Aquele cujo titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Por que anonimizar dados sensíveis?

Para o compliance, existem dois grandes motivos para anonimizar dados. O primeiro é o canal de denúncias, e o segundo é a LGPD.

Canal de Denúncias

O canal de denúncias é um dos primeiros pilares do programa de compliance. É ele que permite que funcionários participem da luta contra a corrupção na empresa, e ainda aumentam muito a probabilidade de encontrar e resolver prática ilegais ou antiéticas.

No entanto, as denúncias costumam conter uma grande quantidade de dados pessoais, o que pode levar a algumas situações desfavoráveis, como:

• Possibilidade de identificação do denunciante;
• Possibilidade de identificação de denunciados;
• Denúncia de alguém que terá contato com a denúncia e/ou interferência ou exclusão da denúncia;
• Impossibilidade de compartilhamento da denúncia com outras equipes para investigação; etc.

Esses e muitos outros problemas podem ser resolvidos facilmente com a adoção de um canal de denúncias terceirizado. No entanto, essas soluções não são possíveis para qualquer empresa, devido à grande estrutura e consequente alto custo.

LGPD

O segundo motivo importante para o compliance buscar proteger dados pessoais é a LGPD. A lei se aplica à proteção de dados pessoais e dados sensíveis. Ou seja, apenas os dados que permitem a identificação do titular do dado.

Se você tiver alguma forma de anonimizar os dados utilizados na empresa, não é necessário extinguir todos os processos que envolvem esses dados.

Afinal, os dados continuam sendo muito valiosos para conseguir fazer uma boa gestão nas empresas. Ajudam a ter insights, entender melhor as operações e criar novos processos e estratégias fundadas em dados concretos.

Como fazer a proteção de dados pessoais?

Em um outro blogpost, explicamos 7 importantes passos para conseguir fazer a proteção de dados pessoais na prática. São eles:

• Mapear entrada e saída de dados pessoais
• Mapear o tratamento dos dados e os riscos
• Categorizar os dados tratados pela empresa
• Elaborar o relatório de impacto
• Criar políticas corporativas sobre proteção de dados
• Fazer treinamentos sobre proteção de dados
• Exigir compliance de dados de terceiros