As sanções da Lei Geral de Proteção de Dados (LGPD) – ou Lei nº 13.709 – já estão em vigor desde agosto deste ano. Isso significa que instituições, públicas e privadas, devem procurar a adequação à lei, a fim de priorizar o fluxo seguro de dados pessoais e privacidade dos titulares, e de prover transparência a tais titulares de forma que eles saibam como os seus dados coletados estão sendo tratados e armazenados.
Entrar em conformidade não é mais uma opção: promover uma cultura de proteção de dados pessoais precisa ser uma preocupação permanente. Diante disso, as organizações devem trabalhar para implementar programas de compliance e de governança de privacidade e proteção de dados. Com a entrada em vigor, a adequação à lei se mostrou urgente, tendo em vista que ela prevê a aplicação de multas e sanções. Dentre as sanções legais temos advertência, medidas corretivas, suspensão ou proibição da atividade de tratamento de dados. Para empresas, as multas podem ser de até 2% do faturamento, com o limite de R$ 50 milhões.
Nas áreas de educação, pesquisa e, principalmente, saúde, dados pessoais e sensíveis são manipulados o tempo todo. Quais informações são essas? Nome, CPF, endereço, e-mail, telefone, matrícula de um aluno ou funcionário, são exemplos de dados pessoais. Alguns são considerados sensíveis, devido à possibilidade de discriminação, como origem racial ou étnica, opinião política, convicção religiosa, orientação sexual, informações sobre a saúde e vida sexual, dentre outros.
Mesmo diante desta realidade de grande fluxo e produção de dados, em levantamento feito com 56 instituições, no âmbito da Edição 2020 da “Pesquisa de Segurança e Privacidade no Sistema RNP”, reunimos números que demonstram que ainda há muito a ser feito quanto a adequação à lei em vigor.
-
57% das instituições admitiu que deveria gerenciar o consentimento dos usuários, mas não gerencia.
-
54% ainda não definiu um processo para responder às solicitações dos titulares de dados pessoais.
-
64% indicou que promover a cultura de proteção de dados pessoais continua sendo um dos seus principais desafios.
Apesar de haver similaridades nos parâmetros a serem seguidos, as instituições do Sistema RNP possuem suas especificidades em relação a outros tipos de organizações.
As instituições devem ficar atentas ao compartilhamento de dados pessoais com terceiros. Ele só pode ser realizado com expresso consentimento do titular de dados pessoais. Sem o consentimento, com destaque para informações sensíveis, o compartilhamento só é permitido para estudos de órgãos de pesquisa, sempre que possível, com uso de anonimização.
Para pesquisas em saúde pública, o mesmo vale. Os órgãos de pesquisa podem ter acesso a bases de dados pessoais, mas apenas em ambientes seguros e incluindo também a anonimização. Não é permitida a divulgação ou compartilhamento desses dados com terceiros.
Como o Programa LGPD foi pensado para apoiar as instituições do Sistema RNP?
O Programa LGPD trabalha em três frentes, oferecendo apoio metodológico, consultivo e educacional. A iniciativa visa auxiliar as instituições nas ações necessárias para o cumprimento da lei já em vigor, levando em consideração as características das organizações do Sistema RNP e também o fato de que existem instituições em diferentes fases da adequação.
Como apoio metodológico, o Método RNP de adequação à LGPD – conhecido também como Método RNP – foi desenvolvido por uma equipe multidisciplinar de especialistas, tendo como subsídios a experiência de adequação da própria RNP, o projeto piloto conduzido pela RNP na Universidade Federal da Bahia e consultorias conduzidas por empresas parceiras em algumas instituições da comunidade RNP. O método ajuda as organizações a estruturarem ações necessárias para que a LGPD seja cumprida e traz elementos relacionados à cultura de privacidade, preparação, mapeamento de dados e riscos, implementação e adequação, segurança e proteção de dados e governança em privacidade.
“O processo de adequação não é trivial – atender os vários requisitos da Lei exige um esforço estruturado da organização, e isto não é feito da noite para o dia. Por isso, é fundamental que as instituições de ensino reconheçam o quanto antes a importância não apenas da adequação à Lei em si, mas principalmente a importância de se promover a cultura de privacidade, da proteção de dados pessoais e de se estabelecer um programa de privacidade permanente. E é para ajudar nesta questão que pensamos no Programa LGPD e no Método RNP”, diz Emilio Nakamura, Diretor Adjunto de Cibersegurança na RNP.
No dia 13, foi oficialmente lançado o Método RNP, no Webinar “Desenvolvendo a Cultura da Privacidade no Sistema RNP”, com a diretora da Autoridade Nacional de Proteção de Dados (ANPD), Miriam Wimmer. Falamos sobre os benefícios da metodologia para o Sistema RNP e contamos com o depoimento do Superintendente de TI da Universidade Federal da Bahia, Luiz Claudio Mendonça. Ele descreveu sua experiência na implementação do projeto piloto do Método RNP, na UFBA.
Além da metodologia, a RNP também oferece serviços de consultoria, exclusivos para instituições do Sistema RNP, e treinamentos para capacitação de profissionais que precisam aprender mais sobre o assunto, através da Escola Superior de Redes.
Próximo evento – SIG-LGPD@RNP. Convidamos todo o Sistema RNP para participar!
O SIG-LGPD@RNP é uma iniciativa que faz parte do conjunto de ações do Programa LGPD. O fórum inclui encontros virtuais com especialistas convidados para compartilhamento de experiências e boas práticas relacionadas à privacidade, à proteção de dados pessoais e à própria LGPD.
Amanhã (1º/10), será realizado o webinar “Convocatória para o 2º Ciclo do SIG-LGPD@RNP”, às 15h. Neste webinar, os interessados terão a oportunidade de conhecer os critérios de seleção, prazos e outros detalhes para se candidatarem a integrar o segundo ciclo desse fórum. As instituições que participaram do primeiro ciclo também estão convidadas.