O surgimento da internet permitiu uma troca de informação mais rápida, aproximando pessoas e gerando novas possibilidades no mundo dos negócios. Mas, ao mesmo tempo, trouxe um risco para a segurança das informações pessoais, que muitas vezes ficam disponíveis na rede e, se não houver o devido cuidado, podem acarretar danos de imagem e prejuízos financeiros, entre outros.
Para prevenir o uso indevido de dados pessoais, mais de 120 países já aprovaram e colocaram em vigor leis nesse sentido. No Brasil, a Lei nº 13.709/18 – mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) — passou a vigorar em setembro de 2020. Desde então, cooperativas, empresas, órgãos de representação, profissionais liberais, órgãos públicos e organizações sem fins lucrativos estão correndo para se adaptar à legislação.
“As cooperativas que atuam em segmentos altamente regulados, como as de saúde, de distribuição de energia e crédito estão mais adiantadas no processo, até pelo fato de já seguirem uma série de normas”, explica Cristhian Groff, encarregado de proteção de dados (DPO) do Sistema OCB. “Mas há um grupo bastante significativo de cooperativas para quem a LGPD ainda não é realidade, mesmo mais de dois anos após a entrada em vigor. Isso a gente percebe nas ações de conscientização, nos eventos. Alguns temas básicos são novidade para muita gente”.
Segundo Groff, muitas cooperativas que pensam estar adequadas à LGPD têm, na verdade, muito ainda a ser ajustado. “Elas têm uma abordagem muito simplista. Pensam que modificar um contrato e fazer mudanças no site já é suficiente. A verdade, no entanto, é que são necessárias uma série de ações de caráter multidisciplinar, que envolvem profissionais da área jurídica, de tecnologia da informação, a organizacional”, aponta o DPO — cargo que, aliás, é uma exigência da LGPD e precisa ser criado em todas as cooperativas que tratam os dados de clientes e cooperados, exceto aquelas de pequeno porte.
AJUDA BEM-VINDA
As cooperativas podem contar com o apoio do Sistema OCB para realizar as adequações necessárias à LGPD. No portal LGPD no Cooperativismo, você encontra informações gerais sobre a lei, cartilhas, cursos on-line, vídeos explicativos e um passo a passo detalhado para a adequação, composto por cinco etapas: planejamento, mapeamento, avaliação, correção e manutenção/mitigação.
“O diferencial do site LGPD no Cooperativismo está nas informações sobre privacidade e proteção de dados pessoais voltado para as cooperativas com os demais agentes de tratamento”, explica a gerente jurídica do Sistema OCB, Ana Paula Ramos. “Buscamos sempre particularizar as orientações e informações para o cooperativismo. Nesse sentido, quinzenalmente, produzimos novos conteúdos focados em atualidades sobre a LGPD ou mesmo para divulgar cartilhas, cursos, vídeos orientativos e outros materiais que elaboramos sobre a lei”.
Ciente da importância de se adequar à LGPD, há mais de dois anos o Sistema OCB vem colocando em prática um plano de trabalho com cerca de 520 ações. “São muitos os processos que realizamos com dados pessoais. A identificação de um visitante é um processo, o registro de um carro no estacionamento é outro, o mesmo vale para a seleção de um colaborador, a gestão de benefícios, a atualização dos dados cadastrais de nossa base de cooperativas e dirigentes, a indicação dos representantes legais de um contrato”, exemplifica Ana Paula.
Regras como essa também se aplicam a todas as cooperativas, que deveriam ter um programa de conformidade em relação aos dados. “Dizer que sua coop está adequada a LGPD sem ter uma política que crie diretriz internas é o mesmo que ter um programa de ética ou anticorrupção, sem ter um código de ética”, ensina Cristhian Groff, DPO do Sistema OCB.
Ainda segundo Groff, é preciso enfrentar o tema com dedicação e qualidade. “Não adianta fazer um serviço para inglês ver”, argumenta. “Até porque, em algum momento, será necessário evidenciar a conformidade. No caso de uma fiscalização, por exemplo, não dá para dizer ‘olha, eu estou em conformidade’. É preciso comprovar com documentos obriga - tórios, como o registro das operações de tratamento de dados, que geral - mente é o primeiro a ser cobrado”.
Entre as regras estabelecidas pela LGPD estão a prestação de informação, de forma explícita, para as pessoas a respeito de quais atividades serão realizadas com seus dados pessoais; registro das bases legais válidas e regulares, relacionadas a cada uma das atividades, no registro de operações de tratamento de da - dos pessoais; implementação de medidas de segurança da informação; e limitação do tratamento de dados pessoais ao mínimo necessário para que sejam alcançados os objetivos da atividade, dentre outras.
A fiscalização do cumprimento da LGPD é feita pela Autoridade Nacional de Proteção de Dados (ANPD). Além de implementar e cobrar o cumprimento da lei, a autarquia federal também é responsável por aplicar sanções nos casos de descumprimento da legislação, que podem ir de uma advertência à proibição parcial ou total das atividades.
A TODO VAPOR
Em algumas cooperativas brasileiras, o trabalho de adequação à LGPD já está bastante adiantado. É o caso, por exemplo, da Creluz, distribuidora de energia elétrica com cerca de 25 mil consumido - res em 36 cidades do norte do Rio Grande do Sul. O trabalho começou em 2020, foi realizado em cinco fases e envolveu o mapeamento de cerca de 160 processos.
Na primeira fase, a Creluz estruturou o comitê responsável pelo trabalho e realizou o levanta - mento inicial, um diagnóstico de desconformidade e um workshop para os colaboradores com abordagens técnica e jurídica. Na sequência, foram definidos o encarregado pelo tratamento de dados pessoais, a política de privacidade, a barra de cookies no portal, o canal de atendimento dos direitos dos titulares e mapeamento dos processos do negócio.
Já a terceira fase contou com a avaliação do organograma dos processos de tratamento de dados pessoais, da estrutura de segurança da informação, das políticas, dos contratos e das bases legais, além da elaboração de relatório de riscos e de planos de ação.
A quarta fase envolveu compatibilização das bases legais, relatório de atividades de trata - mento de dados pessoais, inventário de operadores, adequação do site e criação da política de retenção, descarte e eliminação de dados. Por fim, na quinta etapa, foi elaborada cartilha de proteção de dados e segurança da informação e realizado evento de conscientização de colaboradores com avaliação de conhecimentos.
Durante o processo de adequação, vários desafios precisaram ser vencidos. “O primeiro foi conhecer a fundo a LGPD e outros dispositivos sobre o tema para saber como e onde atuar. E depois estruturar processos de gestão adequados e objetivos, além de conscientizar a força de trabalho da necessidade”, destaca o gerente operacional e encarregado de proteção de dados da Creluz, Fernando Fiorentin.
“Realizamos um trabalho amplo, detalhado e que ainda continua. Para se ter uma ideia, os 160 processos que avaliamos estavam distribuídos nos 26 departamentos da cooperativa”, conta. “Deixar a cooperativa com maior grau de conformidade possível e manter um programa de conformidade vigente, eficiente e eficaz é um desafio que exige a participação e o comprometimento de todos”, completa.
Fiorentin destaca que a adequação à LGPD trouxe diversos benefícios para o dia o dia da Creluz, como a manutenção da credibilidade da marca com os titulares de dados pessoais, capacitação da força de trabalho, busca constante pela melhoria contínua e melhores práticas, simplificação de processos pelo cumprimento da legislação e remoção de fragilidades, deixando a organização mais segura, além de são sofrer penalidades pelo descumprimento da lei.
Outro benefício, cita Fiorentin, foi a melhoria em diversos processos de trabalho. Uma delas envolveu mudanças no uso dos telefones celulares corporativos. “Implantamos uma tecnologia que permite, por exemplo, a localização dos aparelhos por georreferencia - mento e impede acesso e instalação de da - dos sem autorização. Então, se um leiturista perde o telefone lá no interior, quem encontrá-lo não vai conseguir acessar absolutamente nada”, conta.
QUEM É PEQUENO TAMBÉM PRECISA SE ADEQUAR?
Outra cooperativa que está em estágio avançado de implantação da LGPD é a Cooperativa de Trabalho Educacional (Coopeeb). A organização foi criada em 2000 para gerir o Colégio Concórdia, em Porto Alegre (RS), que passava por grave crise econômica e corria o risco de ter as atividades encerradas. Diante do risco da perda de seus postos de trabalho, 22 professores e técnicos em atuação da escola se uniram e criaram a cooperativa.
Hoje, além da escola, com cerca de 600 alunos, a Coopeeb também executa o Programa Jovem Aprendiz, em parceria com o Serviço Nacional de Aprendizagem Cooperativa (Sescoop), em 22 cidades gaúchas, além de oferecer cursos para formação de lide - ranças. A cooperativa conta com cerca de 160 associados.
Segundo o presidente da Coopeeb, Hélio Alabarse, a adequação da cooperativa à LGPD vem sendo realizada desde 2019. “É um trabalho que exigiu várias mudanças no nosso dia a dia, sobretudo porque, na escola, estamos sempre lidando com menores e com informações sensíveis”, aponta. “Antes, por exemplo, se fazia um atendimento a um aluno e a ata poderia ficar em cima da mesa de uma sala destrancada. Agora, existe toda uma preocupação para que isso não ocorra. O documento precisa ser arquivado de imediatamente. E se isso não for possível, a sala vai ficar trancada. Ou seja, é preciso toda uma mudança de cultura”, completa.
Durante a adequação, foram revisados todos os procedimentos que envolviam o uso de dados pessoais. “Nosso DPO analisou, por exemplo, todos os contratos com terceirizados e com os pais dos alunos e diversas cláusulas relativas à LGPD foram inseridas”, conta Alabarse. “Além disso, todos os nossos cooperados assinam termos de confidencialidade, ou seja, quem sai da cooperativa tem o compromisso e o dever de manter o sigilo das in - formações”, exemplifica o presidente da Coopeeb.
Hélio Alabarse conta que o processo de ajuste às regras da LGPD fez com o que o Colégio Concórdia tivesse ainda mais atenção ao sigilo e intimidade de alunos e familiares, mesmo em situações não previstas na lei.
“Temos aqui uma sala onde é feita a primeira abordagem quando um aluno está com problema de disciplina ou desestabilizado emocionalmente. Isso é feito em um aquário, com paredes de vidro. E nesse processo a gente se deu conta que todo mundo podia ver quem estava dentro. Então colocamos insulfilm para garantir o sigilo. A LGPD, então, nos ajudou a fazer esse tipo de reflexão. É nossa obrigação manter o aluno protegido”, aponta.
Segundo Alabarse, um dos próximos passos da Coopeeb será capacitar outras cooperativas para a adequação à LGPD. “Algumas instituições já têm nos procurado para receber orientações, então esse é um nicho de mercado que tem se aberto para nós, tanto para palestras quanto para uma assessoria ou consultoria”, conta.
CONHEÇA ALGUMAS INFRAÇÕES À LGPD PASSÍVEIS DE APLICAÇÃO DE MULTA E OUTRAS PENALIDADES
- Vazamento e/ou compartilhamento de dados pessoais de forma irregular;
- Manter dados pessoais por mais tempo do que o necessário;
- Não possuir políticas, normas e procedimentos claros sobre a coleta e o tratamento de dados;
- Não manter documentos obrigatórios sobre o uso e coleta de dados;
- Não nomear DPO (profissional responsável pela proteção de dados de uma organização), nas ocasiões em que a nomeação é obrigatória;
- Não treinar os colaboradores sobre o tema;
- Não realizar gestão dos terceiros com quem dados pessoais são compartilhados;
- Não atender às solicitações das pessoas.
NOVO NICHO NO MERCADO
Onde existem desafios, também existem muitas oportunidades de fazer negócio. Ciente da alta de - manda do coop por consultorias em LGPD, um grupo de 14 profissionais se uniu para fundar, em 2022, a Cooperativa de Trabalho dos Profissionais de Privacidade e Proteção de Dados (Cooprodados) — primeira cooperativa a atuar na área de privacidade e proteção de dados, de forma on-line, em todo o País.
A organização trabalha com a implantação de programas de adequação à LGPD, promove treinamentos e workshops de sensibilização para a cultura de dados e também executa, sob demanda, serviços de DPO. “Podemos contribuir no mais variado leque de ações necessárias para criar uma governança de dados eficiente, tanto em cooperativas quanto em empresas”, destaca a presidente da Cooprodados, Sylvia Urquieta.
A ideia de criar a cooperativa surgiu da necessidade de buscar espaço no mercado. “Eu comecei a notar que muitos profissionais reclamavam da falta de oportunidade de trabalho. Tanto o trabalho dentro das empresas quanto a possibilidade de integrar um projeto de adequação”, conta Sylvia. “Aí me ocorreu de unir forças. Fiz a proposta a várias pessoas, que compraram a ideia. Ficamos cerca de dois anos de - batendo como seria a cooperativa, porque era uma proposta inédita. E até hoje estamos nos ajustando, buscando novas soluções”, afirma.
Sylvia ressalta que um dos principais benefícios para as cooperativas que se adequam à LGPD é um diferencial competitivo. “Já existe a exigência, sobretudo nos Estados Unidos e na União Europeia, de que empresas e cooperativas parceiras estejam em conformidade com a lei de proteção de dados. Mais do que apenas uma vantagem competitiva, é uma de - manda que, se não atendida, pode inviabilizar uma parceria comercial. E é melhor se adequar pelo amor do que pela dor”, aponta.
Um dos primeiros clientes da Cooprodados é a Fede - ração das Cooperativas Educacionais do Rio Grande do Sul (Fecoeduc). Dez cooperativas associadas, entre elas a Coopeeb, estão recebendo apoio para estar em conformidade com a LGPD. “Temos cerca de seis meses de existência, então este é nosso primeiro grande trabalho. Vem sendo uma experiência importante para nós, inclusive para a nossa própria adaptação à lei de proteção de dados”, finaliza Sylvia.
PASSO A PASSO PARA SE ADEQUAR À LGPD
1. Planejar
Nomeie um grupo de pessoas da cooperativa para ser responsável por buscar informações sobre a LGPD. Com base nessas informações preliminares, é necessário definir quem será o encarregado de dados pessoais (DPO) da cooperativa. Esse profissional pode ser alguém que já trabalha na organização ou um novo profissional, que será contratado no mercado.
Logo em seguida, defina um cronograma indicando todas as fases do projeto de adaptação à LGPD, descrevendo os objetivos e os procedimentos de cada etapa. “Também nessa fase inicial, é importante que a cooperativa inicie ações de conscientização de colaboradores, porque logo nas fases seguintes todos terão que se envolver no projeto”, aponta o DPO do Sistema OCB. “É preciso o comprometimento de todos para que o processo dê certo”.
2. Mapear
Faça um mapeamento dos processos que envolvam o uso de dados de pessoas físicas, além dos controles de segurança da informação já implementados. “O ideal é que isso seja feito com base em modelos internacionais de boas práticas nessa área, como, por exemplo, a ISO 27.001, que traz um rol de vários controles para que uma organização tenha maturidade, segurança e gestão adequada da informação”, afirma Groff.
3. Avaliar
Após o mapeamento, a próxima etapa é a avaliação. É preciso analisar todos os processos sobre as perspectivas organizacional, jurídica e da segurança da informação. E então identificar o que precisa ser feito em cada um deles para se adequar às exigências da LGPD. Na área organizacional, por exemplo, algumas adequações podem ser a padronização de procedimentos e a identificação de compartilhamentos feitos com terceiros que são desnecessários.
“Nessa etapa é importante ver exatamente isso, se todos os compartilhamentos de informações com outras áreas e também com fornecedores precisam realmente ser feitos. Se o processo puder ser realizado com menos pessoas, menos gente vai lidar com as informações, o que reduz o risco”, aponta Groff.
Já na área jurídica, é preciso avaliar qual é a base legal que justifica a coleta e o tratamento de dados pessoais em cada um dos processos (veja quadro). “Também é importante analisar os contratos com prestadores de serviço externos que tenham acesso aos dados pessoais sob responsabilidade da cooperativa. E para que tudo funcione adequadamente, é preciso impor que esses terceirizados também cumpram à risca a LGPD. Porque se elas não cumprem quem paga é a cooperativa. E essa imposição começa nos ajustes contratuais”, afirma Groff.
No campo da segurança da informação, é preciso analisar se medidas básicas estão sendo implementadas. “É ver, por exemplo, se há soluções de criptografia para proteger dados pessoais, se há uma limitação de acesso adequada às informações, se todos os processos atendem requisitos de segurança”, enumera.
4. Corrigir
Com a avaliação finalizada, é hora de corrigir as inconsistências foram detectadas e implementar medidas estruturais, como a Política Interna de Privacidade e Proteção de Dados Pessoais e normas de retenção e descarte de dados pessoais, entre outras, além de medidas específicas necessárias, como limitação de compartilhamento de dados pessoais com fornecedores, limitação da coleta de dados pessoais desnecessários para alcançar a finalidade dos processos, implementação de ajustes específicos em sistemas e sites e descontinuação de processos sem base legal legítima, entre várias outras.
5. Mitigar e manter
O último passo é a consolidação das correções realizadas e das políticas, normas e procedimentos estabelecidos. Nesta etapa, as cooperativas devem incorporar todas as diretrizes nas novas atividades que passarem a realizar, considerando que, naquelas já mapeadas e corrigidas, tais diretrizes já estarão contempladas.
Também é importante manter uma auditoria contínua para os controles necessários para a manutenção da conformidade. É importante ficar claro que a adequação à LGPD é um trabalho constante, que exige ajustes e atualizações sempre que necessários.
Clique aqui para saber mais sobre o passo a passo da adequação à LGPD.
