#bomdialgpd
"Que o mundo ainda é verde
E o ar, oxigênio"
Oxigênio, Jota Quest
Voltei. Nos últimos 15 meses, a conformidade com a LGPD mudou significativamente e muitos achismos tornaram-se publicações da ANPD. Aproveitei os últimos dias para estudar estas publicações e alinhar as definições oficiais e aquelas que foram fonte de estudos técnicos, minutas, consultas públicas pela ANPD e em breve terão suas versões oficiais.
Chamo de conformidade com a LGPD à interseção entre os requisitos da LGPD (e as publicações da ANPD e outras leis e regulamentações), com os objetivos de negócio do controlador. Cada organização funciona de um jeito e a aplicação da LGPD é única, e cada vez mais será assim.
Em alguma palestra comecei a falar sobre a "molécula da conformidade com a LGPD" como uma maniera de formalizar os principais elementos da conformidade com a LGPD.
A Molécula da Conformidade com a LGPD tem três átomos: Titular, Hipótese Legal e Operação de Tratamento de Dados Pessoais.
É importante alinhar o entendimento e criar um dialeto comum na organização sobre estes três átomos:
- Titular: é o principal átomo, a LGPD é feita para ele, está no artigo primeiro - "... com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.", é importante lembrar que o projeto de lei de Inteligência Artificial que está para ser aprovada pelo Congresso este ano também tem o mesmo objetivo e esta não é a única coincidência entre os dois documentos;
- Hipóteses Legais: É o átomo intermediário, talvez um catalizador :). As publicações da ANPD aprofundaram e alinharam o entendimento das hipóteses legais que está na interseção entre os dados pessoais do titular e os objetivos do negócio, uma boa prática é adotar uma regra com um fluxo para padronizar a forma de definir as hipóteses legais das operações de tratamento de dados pessoais. Uma boa definição feita pela ANPD é que deve ser usada a expressão "Hipótese Legal" e não mais "Base Legal" ou "Hipótese de Tratamento";
- Operações de Tratamento de Dados Pessoais - É o átomo que está dentro da organização, que é estruturada por áreas, processos de negócios, sistemas, suportes de dados e agentes de tratamento. Os requisitos da LGPD mantém exigências em cima das operações de tratamento de dados pessoais, e é sobre esta estrutura que é definida a hipótese legal, o relatório de impacto, as fiscalizações e os incidentes por exemplo. As organizações devem definir um modelo para fazer a transformação entre o que é concreto (áreas, processos de negócios, sistemas, suportes de dados e agentes de tratamento) e o que acaba sendo abstrato (operação de tratamento de dados pessoais), há algumas maneiras de fazer isso. Aqui não temos as mesmas boas notícias do glossário da ANPD, tanto na LGPD quanto nas publicações da ANPD são utilizados três expressões: operação de tratamento de dados pessoais; atividade de tratamento de dados pessoais e processo de tratamento de dados pessoais.
Os três átomos da conformidade com a LGPD devem ser bem entendidos e fazer parte da linguagem comum, e todos (encarregado, equipe, comitê, alta gestão, colaboradores, ...) devem compreendê-los da mesma forma. Conseguir isso é fortalecer a base de sua conformidade.
Boa semana,
Aquele abraço,
FNery
Prompt do DALL-E 3: "Design a molecule with atoms 'Titular' (T), 'Hipotese Legal' (Hl), and 'Operacao de Tratamento' (Ot), with atomic weights of x, 3x, and 10x respectively. Use a contemporary scientific textbook style for the illustration, with each atom's name (T, Hl, Ot) displayed beside it. Ensure 'Titular' (T) and 'Operacao de Tratamento' (Ot) are not directly connected."
