A Lei Geral de Proteção de Dados (LGPD) está prestes a entrar em vigor e muitas empresas estão correndo contra o relógio para atender as obrigações nela estabelecidas. Para complicar as coisas, a maior parte das informações disponíveis sobre a LGPD na Internet são vagas e não oferecem respostas para as dúvidas mais comuns daqueles que são encarregados de adequar suas organizações à lei (o mercado tem identificado aqueles que a lei chama de "encarregado" como Data Protection Officer, ou DPO). 

Este breve artigo visa trazer um conjunto de ferramentas que permitam avaliar se os softwares utilizados na empresa estão de acordo com as demandas da Lei de Dados, ou seja, verificar se o sistema para LGPD está implantado.

 O que deve ser avaliado pelo Data Proteccion Officer?

A primeira coisa que deve ser avaliada pelo(a) DPO, no que toca aos programas de computador usados na empresa, é separar os programas que tratam dados pessoais de pessoas físicas (processam, armazenam ou transmitem esse tipo de dado) dos que não realizam tratamento de dados pessoais. Tal avaliação tem duas razões de ser: 1) a LGPD só cuida dos dados de pessoas físicas, então os softwares que tratam exclusivamente de dados de pessoas jurídicas não precisam se adequar à Lei; 2) programas que não tratam dados pessoais estão fora do escopo da lei.  

Uma vez identificados os programas que devem seguir a LGPD, o(a) DPO poderá realizar a avaliação das funcionalidades dos softwares frente às exigências legais. Tais obrigações podem ser divididas em dois grupos: 1) as operações que o software deve realizar independentemente da vontade do(a) encarregado(a); 2) as funcionalidades que devem ficar à disposição do(a) DPO para quando for necessário. 

No primeiro grupo, o(a) DPO deve averiguar junto à fornecedora se o software registra as operações de tratamento de dados que realiza (ex: abertura de cadastro, alteração de dados etc) e como ele(a) pode ter acesso ao log de operações. 

No que toca às funcionalidades, o encarregado deve se certificar que o programa lhe permite realizar (no mínimo) as seguintes operações: 

1. Confirmação de existência de tratamento: a presença de uma funcionalidade que permita a busca de dados pessoais no sistema (ex: pesquisa de clientes ou usuários pelo nome ou CPF) é suficiente para que o(a) DPO possa confirmar para o titular a existência de tratamento; 
2. Acesso aos dados: o(a) DPO deve se assegurar que o programa permite o fornecimento de cópia completa dos dados pessoais de um determinado titular. Tal operação pode ser realizada das mais diversas maneiras, sendo a mais comum por meio da geração de um relatório do sistema; 
3. Correção de dados: o(a) Encarregado(a) deve verificar se o sistema permite a atualização dos dados pessoais armazenados; 
4. Anonimização, bloqueio ou eliminação dos dados tratados em desconformidade com a lei: o(a) DPO pode receber uma determinação de autoridade (judicial ou da ANPD, por exemplo) de anonimização, bloqueio ou eliminação de dados. Assim, o(a) Encarregado(a) deve verificar se o sistema permite que se realize tais operações. No que toca ao bloqueio, a ANPD ainda não editou norma que explicite como ele deve funcionar, de modo que não é possível, no momento, determinar se um software possui uma funcionalidade de bloqueio compatível com a LGPD. No que toca à anonimização, se um sistema permite a atualização dos dados (item c) por consequência ele permitirá a anonimização (que nada mais é que a atualização dos dados pessoais para valores que não mais permitam a identificação do titular dos dados) e a eliminação dos dados (que pode ser conseguida tanto pela funcionalidade de apagar registros quanto pela atualização dos dados por entradas em branco); 
5. Portabilidade dos dados: a ANPD ainda não definiu como será feita a portabilidade, mas na Europa este requisito tem sido suprido pelo fornecimento ao titular dos dados de um arquivo .csv de seus dados; 
6. Eliminação dos dados pessoais tratados com consentimento do Titular: a última verificação que o(a) DPO deve realizar é se o sistema permite a eliminação dos dados pessoais tratados com autorização do titular. Tal operação pode ser atendida pelo software de diversas maneiras, por exemplo, através de função de apagamento de dados ou, alternativamente, por meio de operação de substituição dos dados arquivados por lançamentos em branco. 

Estas breves linhas descrevem requisitos mínimos que todo software que trate dados pessoais deve possuir para que seja considerado adequado à Lei Geral de Proteção de Dados.  

Sobre o autor: