Escrevi esse artigo em abril de 2020, o qual foi publicado no site "O Consumerista", plataforma que foi descontinuada em 2023.
Trago aqui para registro e posterior citação.
A proteção dos dados
pessoais em ambiente de Ouvidoria
Dicas práticas
Em razão do grande fluxo de
informações que transitam em ambiente de Ouvidoria, garantir a privacidade e a
proteção adequada dos dados pessoais dos manifestantes já era uma prática
adotada pelo Ouvidor e sua equipe, mesmo antes da promulgação da Lei Geral de
Proteção de Dados Pessoais, com vistas a fazer cumprir, entre outros, os
princípios da confidencialidade e da confiança, vetores fundamentais e que dão
sustentáculo para as atividades desenvolvidas nessa arena dialógica.
Com o advento da Lei nº
13.709/2018 (LGPD), a necessidade de implementação de uma política de
governança de dados pessoais mais robusta tornou-se imperiosa, com a
reavaliação de processos de trabalho, produtos e serviços que envolvam
tratamento de dados pessoais, caminho inexorável para se obter conformidade com
a LGPD e, consequentemente, regular e mitigar (numa perspectiva coletiva) os
riscos inerentes às atividades e negócios sedimentados em dados.
Nesse desiderato, enquanto
porta voz da Organização e fonte canalizadora de percepções externas, cabe à
Ouvidoria nas relações com seus diferentes públicos, repercutir as boas
práticas de governança de dados pessoais adotadas pela corporação a que pertence,
bem como, concretizar em seus próprios processos de trabalho, o conjunto de
comandos principiológicos trazidos pela LGPD.
De forma prática, os
princípios elencados no artigo 6º da Lei nº 13.709/2018, podem ser incorporados
nas rotinas da Ouvidoria, das seguintes formas:
1) Finalidade
a) as práticas de
tratamento de dados pessoais e de dados pessoais sensíveis precisam ter um
propósito legítimo e o titular dos dados deve saber qual é essa finalidade;
b) a quantidade e o tipo de
dados pessoais solicitados no momento do atendimento ou do preenchimento do
formulário da Ouvidoria precisam ser adequados, necessários e coerentes com a
finalidade da coleta;
c) nos atendimentos
presenciais ou telefônicos, informar de forma clara e acessível o motivo pelo
qual necessita colher determinados dados pessoais, bem como, eventuais
salvaguardas que a Ouvidoria possuir em relação à identidade das pessoas
envolvidas na manifestação; e
d) deixar em evidência no
link da Ouvidoria, todas as informações e declarações de finalidade necessárias
para que o usuário compreenda o motivo pelo qual seus dados são tratados no
setor.
2) Adequação
a) especificada a
finalidade para o tratamento dos dados em ambiente de Ouvidoria, no caso de
surgir um novo propósito que não seja compatível com o originalmente informado,
o manifestante deverá ser consultado e consentir com essa nova finalidade. Como
exemplo, tem-se a situação de envio de manifestações de ouvidoria entre
órgãos/entidades diferentes, onde há necessidade de consentimento do
manifestante ou, diante da sua negativa, o expediente só poderá ser enviado ou
compartilhado a após a sua pseudonimização (parágrafos 5º e 6º do artigo 5º, do
Decreto nº 10.153/2019);
b) Os procedimentos de
tratamento de dados em Ouvidoria devem estar em consonância com a finalidade
proposta e com a política de privacidade da Organização, as quais, em
atendimento ao princípio da transparência, precisam estar disponíveis para o
conhecimento dos usuários/titulares de dados pessoais; e
c) o ciclo de vida dos
dados pessoais e respectivo tratamento precisam ter prazo certo e compatível
com a finalidade proposta.
3) Necessidade
a) o tratamento (coleta) de dados deve ser limitado ao
mínimo necessário para a realização do escopo proposto, evitando-se o risco de
lidar com informações sensíveis que não terão utilidade específica e, num
eventual incidente de privacidade ou vazamento de dados, de
causar prejuízos para o titular de dados e para a
Organização; e
b) estabelecer de forma clara no formulário da
Ouvidoria, bem como nos atendimentos presenciais e por telefone, quais dados
são obrigatórios (o mínimo possível e pouco invasivo) e quais são opcionais e
certificar-se de que os usuários compreendem a diferença entre ambos.
4) Livre acesso
a) estabelecer um documento padrão de solicitações e
de respostas para eventuais requerimentos de consultas sobre a existência de
tratamento de dados pessoais do titular em ambiente de Ouvidoria, bem como,
permissão de acesso, após submissão do pleito ao encarregado de dados ou comitê
de governança; e
b) informar ao usuário para onde foi enviada a sua
manifestação e qual o agente responsável por tratar da mesma, o que inclui
acesso aos seus dados pessoais.
5) Qualidade dos dados
a) os dados pessoais tratados (coletados) pela
Ouvidoria devem ser precisos, atualizados e completos, de forma a garantir que
a finalidade da coleta seja atingida, sem riscos para o titular e para a
Organização, que necessita de dados íntegros e exatos para fundamentar as suas
decisões; e
b) estabelecer
um padrão de qualidade de dados, especificando quais precisam ser atualizados,
como o serão (com ou sem a participação do titular) e, em qual prazo,
cientificando os usuários dos serviços da existência desse controle.
6) Transparência
a) os fluxos e processos internos de tratamento de
dados em ambiente de ouvidoria precisam ser divulgados e serem de fácil acesso
para os mais diferentes públicos, incluídos deficientes visuais, auditivos,
numa linguagem de fácil compreensão; e
b) divulgar em diferentes plataformas as políticas de
privacidade e o programa de governança de dados pessoais da Organização,
lembrando sempre que a Ouvidoria tem como missão conectar pessoas e
Instituições/Corporações.
7) Segurança
a) os dados pessoais (principalmente sensíveis)
contidos nas manifestações que aportam nos canais de acesso à Ouvidoria,
independente da forma (digital ou físico) precisam ser protegidos de acesso,
divulgação, alteração e compartilhamento não autorizados;
b) sensibilizar os integrantes da equipe da Ouvidoria
sobre a importância de manter a confidencialidade sobre as informações que
chegam no setor, bem como sobre os dados pessoais das pessoas envolvidas,
incluindo a assinatura de um termo de confidencialidade; e
c) manifestações escritas e documentos anexos precisam
ser acautelados em locais (armários/arquivos) de acesso restrito e, as
manifestações digitais, o acesso ao sistema deve ser limitado com senhas e
outros dispositivos tecnológicos.
8) Prevenção
a) em seus processos e fluxos de trabalho, a equipe da
Ouvidoria precisa adotar procedimentos que levem em consideração a privacidade
dos manifestantes e das pessoas mencionadas nas manifestações;
b) a privacidade e a proteção dos dados devem ser o
ponto de partida para criar uma rotina, implementar um novo processo de
trabalho, ou revisar os já existentes;
c) realizar um mapeamento dos riscos inerentes às
atividades da Ouvidoria, implementando salvaguardas aos dados pessoais e dados
pessoais sensíveis dos usuários e demais pessoas mencionadas em sua
manifestação; e
d) oferecer a possibilidade do anonimato e da
realização de manifestação com sigilo de dados, cuidando para que a opção do
usuário seja integralmente atendida.
9) Não discriminação
a) os mecanismos de proteção da privacidade e dos
dados pessoais dos usuários que se valem dos serviços de Ouvidoria precisam ser
os mesmos para todos os públicos que se valem dessa instância para terem vez e
voz;
b) os fluxos, processos de trabalho, formulários,
técnicas de atendimento e de tratamento de manifestações (e respectivos dados
pessoais dos envolvidos) não podem ser acessíveis para um determinado grupo de
usuários e segregar outros; e
c) os indicadores provenientes das informações
tratadas pela equipe da Ouvidoria não podem promover a estigmatização baseada
no tratamento dos dados pessoais dos manifestantes.
10) Responsabilização e prestação de contas
a) o grande volume de informações que transitam pelos
canais de acesso à Ouvidoria e o tratamento diário de dados pessoais e de dados
pessoais sensíveis impõe ao Ouvidor a adoção de medidas de conformidade com a
LGPD, dentre elas, estabelecer que os integrantes da equipe assinem um termo de
confidencialidade em relação as informações e dados pessoais dos usuários,
cujas manifestações estejam sob a sua responsabilidade e custódia;
b) Os relatórios e boletins informativos da Ouvidoria
podem incorporar indicadores relacionados às manifestações cujos dados pessoais
foram pseudonimizados ou anonimizados, consentimentos renovados para autorizar
o compartilhamento dos dados com outras entidades, adoção de novas rotinas ou
políticas de privacidade em relação aos processos de trabalho do setor, entre
outras informações e boas práticas de governança de dados, com o objetivo de
prestar contas para o usuário das ações de conformidade com a LGPD; e
c) auxiliar a alta
administração na construção de uma cultura organizacional em que a privacidade
e a proteção de dados pessoais sejam assimiladas como importantes valores
corporativos, ao lado da ética e da integridade, incentivando e premiando os
comportamentos aderentes e, consequentemente, responsabilizando e punindo as
condutas que tragam danos para o titular de dados pessoais e prejuízos para a
Organização.
Nenhum comentário:
Postar um comentário