Compartilhe nas redes sociais
> Notícias
PROGRAMA DE GOVERNANÇA
Proteção aos dados pessoais mobiliza setores estratégicos do MPMT
por CLÊNIA GORETH
quinta-feira, 27 de fevereiro de 2020, 14h11
Instituições públicas e privadas que lidam com dados pessoais deverão adotar, até agosto deste ano, uma série de medidas para se adequarem à Lei Geral de Proteção de Dados (LGPD). Derivada do direito à privacidade, a proteção de dados pessoais entra no cenário normativo com status de direito fundamental e apresenta um leque de exigências a serem cumpridas.
No Ministério Público do Estado de Mato Grosso, uma comissão coordenada pelo Centro de Apoio Operacional do Conhecimento e Segurança da Informação (CAOP/CSI), com a participação de representantes de diversos setores da Procuradoria-Geral de Justiça, está com a incumbência de implantar o Programa de Governança de Dados Pessoais (PGDP).
Identificar em quais setores as informações que contêm dados pessoais tramitam no MPMT, como esses dados serão tratados, como coibir vazamentos, quais dados serão criptografados e que medidas serão aplicadas para minimizar o dano em caso de vazamento são alguns dos desafios a serem alcançados pelo Programa de Governança de Dados Pessoais.
Confira, a seguir, entrevista sobre o assunto com a Data Protection Officer Andrea Willemin, que esteve em Cuiabá, entre os dias 10 a 14 de fevereiro, ministrando curso de capacitação a membros e servidores do MPMT.
Quais são as novidades trazidas pela LGPD?
Willemin - A Lei de Proteção de Dados deixa claras a figura e a importância dos dados pessoais e coloca normas claras de como temos que tratar os dados pessoais. A gente tem que entender que dado pessoal pertence às pessoas. Não é o nosso dado pessoal, não é um dado que é disponível de qualquer forma. E o fato desse dado pessoal pertencer às pessoas, elas são as proprietárias desses dados. Qualquer outra pessoa que estiver utilizando, que não seja o titular do dado pessoal, tem que observar as regras da nova lei.
O que são dados pessoais?
Willemin: Os dados pessoais são tudo aquilo que identifica ou pode identificar um ser humano. Tem que ficar claro que estamos falando de pessoas físicas, de ser humano. Se através de algum dado conseguir saber que você é você, e eu sou eu, isso é um dado pessoal. A dificuldade do dado pessoal é que em algumas circunstâncias, ele pode identificar a pessoa, mas em outras situações não. Precisamos de lei para mostrar e exigir que as organizações que controlam dados pessoais, que trabalham, que usam, que exploram esses dados, tenham normas claras para que os donos dos dados, nós seres humanos, possamos de forma fácil e rápida identificar o trâmite e a utilização desse dado por terceiros.
Em uma instituição pública, a quem compete o controle dos dados pessoais?
Willemin: A instituição é a controladora dos dados, mas com o envolvimento de todos os processos operantes. Temos a Tecnologia da Informação, que cuida dos processos e tem acesso à informação. É muito importante entender que a informação não fica parada, ela é um fluxo contínuo, e várias pessoas têm acesso e precisam entender e cuidar para a observância legal. Não adianta ter um cuidado extremo de segurança da informação com a TI e dentro dos processos físicos ou dentro dos departamentos, ou entre funcionários ter um descuido, porque ali a gente pode ter um vazamento e tudo o que foi feito em um local ser perdido por outro departamento. Então temos que tomar muito cuidado, lembrando sempre que informação é fluxo, e que precisamos estar muito atentos por onde ela está tramitando, pois por onde ela passa tem o envolvimento das pessoas que trabalham no local.
O tratamento do dado pessoal é algo preocupante?
Willemin: O tratamento do dado pessoal é muito particular, trata-se de um fluxo de informações, onde eu tenho a custódia, a guarda, e estou cuidando daquele dado durante aquele período em que ele está comigo. Ocorreu que quando ele está na instituição, ele não está em uma determinada esfera, ele tramita em vários setores ao mesmo tempo e cada pessoa que tem o contato com o dado pessoal ela é sim responsável por aquele tratamento. Então, quando uma instituição é responsabilizada por um vazamento de dados, na verdade o que ocorreu ali foram diversos fluxos que vazaram, podendo saber quem foi o responsável por aquele tratamento.
Normalmente, os vazamentos ocorrem por falhas em sistemas?
Willemin: Não, outros vazamentos também podem ocorrer quando, por exemplo, esquecemos documentos em locais que não deveria ou quando comentamos dados que não poderiam ser comentados. Quando falamos de dado pessoal, temos que lembrar que é um tratamento de rede, são várias pessoas envolvidas e cada um responsável pelo seu espaço. Toda a instituição tem que entender o assunto e se sentir participativa nessa operação. Então, não é uma pessoa ou outra, é toda a instituição que tem que entender que se trata de uma rede de informação e de que alguma forma se ela trabalha naquela instituição, se ela colabora, ela faz parte desse fluxo e tem que, sim, prestar atenção às disposições legais.
Pode se dizer que, atualmente, o fluxo de informações é maior nos meios digitais?
Willemin: Os dados não tramitam apenas em meios digitais, tramitam também por papel, por informação falada, podemos inclusive ter acesso aos dados das pessoas oralmente. Eu posso falar o seu nome, a sua idade, o seu estado civil, com a “siri” também no meu celular quando dou um comando, mas também no papel. Até hoje a grande tramitação do dado pessoal vinha não de forma digital, vinha na forma de papel. Então, eu posso ter um vazamento de dados, esquecendo por exemplo o documento de uma pessoa em cima da máquina de xerox. Tudo isso pode levar a um vazamento, tudo isso é tratamento de dado pessoal, então eu devo ter o mesmo cuidado do ponto de vista dos dados digitalizados também com os dados em material físico ou material sonoro. A gente sabe, por exemplo, que audiências são gravadas, como é feita a guarda dessas informações? Aonde estocamos esses dados, quem tem acesso a essas informações? Todos esses dados também precisam estar se adequando às exigências legais.
O que a LGPD prevê em termo de responsabilização?
Willemin: É muito sério o que a lei traz. Quando a lei constata, por exemplo, que órgãos públicos não estão atendendo as exigências legais, ela pode inclusive solicitar a interrupção da atividade com o bloqueio do banco de dados. Ela também estabelece multas para entidades privadas e também de uma certa forma para entidades públicas. Nesse caso, ela estará com as entidades públicas trabalhando muito mais com a questão da interdição de atividades, apreensão, bloqueio, suspensão e isso é muito grave para o exercício dos direitos do cidadão ou das atividades que o próprio órgão administrativo, jurídico e o Ministério Público desenvolverão. Então, tem que tomar muito cuidado, ter muita responsabilidade nesses processos.
As instituições controladoras terão que se adaptar à LGPD. E os cidadãos?
Willemin: A população vai aprendendo, a proteção de dados pessoais é um novo direito. E como tudo o que é novo, leva um tempo de aprendizado para que possamos fazer isso corriqueiramente. Temos que entender que a tecnologia sempre está na frente. É um aprendizado, e por isso que é tão importante hoje a sociedade contar com os especialistas em proteção de dados, que são os Data Protection Officer, que são os advogados da privacidade, os juízes e promotores atuantes no ramo da proteção de dados, garantindo assim ao cidadão uma proteção, mesmo naqueles fenômenos que às vezes ele tem mais dificuldade de percepção.