Nossa conversa hoje começa na década de 60, nos Estados Unidos (EUA). Naquela época, tivemos os primeiros indícios do que viria a ser a internet. Uma rede de troca de informações criada inicialmente para proteger dados estratégicos dos EUA. No Brasil, a história da internet começa já no final da década de 1980. De lá para cá, já se passaram mais de 35 anos e a internet ganhou novas funcionalidades, promovendo um desenvolvimento tecnológico intenso e se fazendo cada dia mais presente na vida das pessoas e no mundo dos negócios. É aí que entram as instituições financeiras cooperativas.
A internet atravessou barreiras, conectou indivíduos, organizações e empresas de diferentes lugares do mundo. As facilidades e os benefícios que vieram com ela são inúmeros, inclusive o acesso a produtos e serviços financeiros hoje disponíveis no meio digital, como o PIX e tantos outros. Mas, ao mesmo tempo, essa nova realidade pede também atenção. Se as pessoas estão cada vez mais presentes na internet, junto com elas, estão também seus dados pessoais. Ampliam-se as oportunidades, mas também o risco de segurança das informações. E as nossas cooperativas precisam estar atentas, afinal a confiança é um dos seus maiores ativos, além de ser considerada fator determinante no mercado financeiro.
Regulação e fiscalização
Nós sabemos que as cooperativas financeiras já estão inseridas em um mercado altamente regulado e fiscalizado, isso é fato. Mas diante desse cenário, o que elas podem fazer para blindar o acesso a informações pessoais dos seus cooperados? Um cuidado que vale para todos os públicos das cooperativas – dirigentes, conselheiros, colaboradores, prestadores de serviços e visitantes, por exemplo.
Agir preventivamente e estar em dia com a Lei Geral de Proteção Dados Pessoais, a LGPD, deve ser prioridade número 1 no cooperativismo financeiro, e a Confebras faz questão de chamar a atenção para o tema. A Lei 13.709 foi instituída em 2018 e passou a valer efetivamente em setembro de 2020. Já são quase três anos e meio da nova legislação em vigor, que estabelece regras para as atividades que envolvam o uso e o tratamento de dados pessoais Uma norma direcionada a todos os setores da economia, tanto no âmbito público quanto privado.
Com isso, o Brasil passou a fazer parte da relação de mais de 120 países que tratam dessa temática em leis específicas, abrindo novos campos para relações de comércio e de cooperação com outras nações.
A LGPD vem somar a resoluções criadas pelo Banco Central para garantir um ambiente digital seguro no Sistema Financeiro Nacional, como a Resolução BCB 85/2021, que trata especialmente de segurança cibernética, entre vários outros normativos expedidos pelo órgão regulador. A Resolução BCB 342/2023, que aprimora regras relativas à preservação da segurança nas operações via PIX, é um exemplo ainda mais recente
E as cooperativas financeiras devem ficar atentas ao cumprimento de todas essas regras, afinal, no exercício das suas atividades, elas podem trabalhar de formas diferentes com dados pessoais dos seus cooperados. Em alguns casos, coletar dados, tratar, armazenar ou até mesmo compartilhar com terceiros contratados para a prestação de serviços. Para este ponto, em especial, a lei prevê normas específicas, como a inclusão de cláusulas em contratos.
Data reforça importância do tema
Você sabia que existe uma data criada para conscientizar pessoas e empresas do mundo todo sobre a importância da privacidade e da segurança dos dados pessoais? Isso mesmo, o Dia Internacional da Privacidade de Dados é celebrado mundialmente no dia 28 de janeiro, desde 2006. A data foi instituída em comemoração à assinatura da Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares, pelo próprio órgão internacional.
Mas o que seriam exatamente dados pessoais?
Para falar sobre essa temática, vale relembrarmos conceitos importantes. Dados Pessoais são informações que contribuem para identificar uma pessoa física. Nome, CPF, RG e passaporte poderiam ser classificados como informações de ordem direta, relação na qual também estão e-mails, dados bancários e números de cartão de crédito, por exemplo. Indiretamente, poderíamos citar informações como nacionalidade, estado civil, profissão, endereço e telefone. A lei traz uma definição geral, mas não disponibiliza uma lista exemplificativa dos dados pessoais.
Esse processo de identificação mais detalhado, ela faz ao citar os dados pessoais sensíveis. Eles são expressamente definidos no texto da LGPD e só podem ser utilizados com consentimento do titular ou no cumprimento de obrigações legais, assim como os dados pessoais gerais. Aqui vai mais um alerta: o cuidado nesses casos deve ser redobrado, porque a legislação limita as justificativas para tratamento de dados dessa natureza e as multas podem chegar a 2% do faturamento de uma empresa, com limite até R$ 50 milhões. Em situações avaliadas como mais graves, pode ser determinada a paralisação de parte ou da integralidade das atividades da empresa ou organização fiscalizada.
Definição de dados sensíveis – na LGPD
Os dados sensíveis são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Veja a relação de 10 bases legais regulamentadas para o tratamento de dados pessoais, previstas na LGPD.
- Consentimento;
- Cumprimento de obrigação legal ou regulatória;
- Pela administração pública, execução de políticas públicas;
- Realização de estudos por órgão de pesquisa;
- Execução de contratos ou diligência pré-contratual;
- Exercício regular de direitos;
- Proteção da vida;
- Tutela da saúde;
- Proteção do crédito;
- Legítimo interesse.
O que pode ser definido como tratamento de dados pessoais?
Segundo a LGPD, são todas as atividades envolvendo dados de pessoas físicas. Entre elas, estão coleta, classificação, utilização, processamento, armazenamento, avaliação, transferência, entre outras ações indicadas no texto da lei.
Direito previsto na Constituição
Outro ponto importante: a LGPD chama a atenção para os direitos das pessoas físicas no que se refere à privacidade e à proteção de dados. Aliás, o tema passou a constar, desde 2022, na relação dos direitos e garantias fundamentais previstos no art. 5º da Constituição Federal. Foi logo depois de aprovada a Emenda Constitucional 115.
Deveres e diretrizes
A lei também estabelece princípios a serem seguidos como diretrizes e define deveres para serem cumpridos por agentes que trabalhem com dados pessoais, prevendo também advertências e até multas por descumprimento. Vale lembrar que a legislação não aborda regras relativas a dados de pessoas jurídicas.
Fiscalização
Para realizar um trabalho de orientação, regulamentação e, também, de fiscalização, a LGPD previu a criação da Autoridade Nacional de Proteção de Dados (ANPD), que também completou três anos de atuação em 2023. Nesse período, foram registrados avanços importantes na regulamentação da lei, além de maior conscientização dos agentes que trabalham com tratamento de dados pessoais. Você pode saber mais sobre a atuação da ANPD aqui.
E a sua coop, já está adaptada à LGPD?
As regras estabelecidas na Lei Geral de Proteção de Dados Pessoais têm impacto direto na governança e nos negócios de todas as cooperativas. O processo de adaptação passa por etapas comuns a qualquer tipo de organização e outras que podem ser customizadas de acordo com as características e especificidades de cada instituição. Pela natureza das atividades que realizam, as cooperativas financeiras devem acompanhar de perto os pontos sinalizados na legislação. O bom é que elas já têm um olhar mais direcionado para os cuidados com a segurança da informação.
E aí na sua cooperativa, como está esse processo? Existem coops que já avançaram muito nesse sentido. Outras que têm colocado ações em prática e, também, existem aquelas que ainda estão em uma fase mais inicial. O nosso objetivo é abordar esse tema que é tão importante e ajudar as coops financeiras nesse desafio. Para isso, separamos dicas para a adaptação à LGPD, considerando a natureza do modelo de negócios cooperativista.
COMO SEGUIR A LGPD?
Em tópicos anteriores do nosso blogpost, falamos sobre mapeamento e registro de processos. Ações como avaliação de sistemas, definição de políticas, capacitação de colaboradores são também essenciais, assim como outros pontos. Primeiro de tudo, é importante saber que não existe um único modelo de projeto de adequação, mas existem questões obrigatórias que devem constar em todos eles. O Sistema OCB compartilhou um modelo composto por cinco etapas que pode ajudar e muito na estruturação dos projetos de adequação. E nós vamos compartilhar com vocês um resumo dessas cinco fases.
1 – Planejar
O primeiro passo é montar um comitê que vai trabalhar no desenho e na implementação do projeto de adequação à LGPD. É importante que este grupo seja formado por integrantes de diferentes áreas da cooperativa, prevendo entre eles a participação de especialistas das áreas jurídicas e de tecnologia da informação.
Nesse processo, a coop deve avaliar se será necessário contar também com alguma consultoria especializada. Instituído o comitê, será o momento de nomear o encarregado pelo tratamento de dados pessoais, também conhecido como DPO. Essa pessoa atuará como um canal de comunicação entre a cooperativa, os titulares dos dados pessoais e a ANPD. E também será responsável pela manutenção do Programa de Conformidade em Proteção de Dados Pessoais da coop.
Na sequência, será preciso verificar se existem leis e regulamentações relacionadas às atividades da cooperativa que sirvam de base legal para justificar a utilização de dados pessoais. A capacitação é outro ponto importante e deve começar logo no início, priorizando inicialmente o grupo diretamente envolvido no projeto de adequação, se estendendo depois a todos os colaboradores.
2 – Mapear
Chegou a hora de fazer um levantamento geral de todas as atividades realizadas pela cooperativa com a utilização de dados pessoais. Essa regra vale para todas as coops, independentemente do porte ou ramo. Essas informações devem constar no Registro das Operações de Tratamento de Dados Pessoais, documento prioritário para ser elaborado, que deve ser constantemente atualizado.
Tais atividades envolvendo dados pessoais devem ser detalhadas com a indicação das respectivas bases legais que dão suporte às utilizações. É preciso informar finalidade, sistema usado no processo, local e tempo de armazenamento, colaboradores e terceiros envolvidos nos fluxos, sistema utilizado para segurança das informações, forma de descarte, entre outras questões. A ideia é que esse documento possa ser consultado a qualquer momento, diretamente pela cooperativa, estando disponível também para a Autoridade Nacional de Proteção de Dados, assim como para os próprios titulares dos dados pessoais.
3 – Avaliar
Depois de mapear, vamos passar para a fase de avaliação desses mesmos processos. É neste momento que identificamos se existem possíveis riscos nas atividades da cooperativa que envolvam a utilização de dados pessoais. Foi identificado algum tipo de risco? Se sim, vamos nos dedicar, logo na etapa seguinte, a tratar e corrigir essas falhas e, assim, garantir a privacidade e a segurança das informações. É importante analisar se serão necessários ajustes jurídicos ou na estrutura da organização, além da parte de tecnologia da informação. Nessa fase, temos conhecimento de tudo que será preciso para o projeto de adequação da coop à LGPD. São essas constatações que vão embasar a elaboração do plano de ação.
4 – Corrigir
Chegamos à etapa de colocar em prática medidas para corrigir os gaps identificados nas fases anteriores e trabalhar com ações estruturantes, como a elaboração de políticas internas e externas sobre o tratamento de dados pessoais, assim como de uma política voltada à segurança da informação. É hora também de trabalhar com medidas específicas, como a formalização em contrato da responsabilidade compartilhada com terceiros no acesso e uso de dados. Esse processo de correção pode variar em questão de tempo, natureza das demandas que serão alteradas, seguindo o perfil de cada cooperativa, sua forma de atuação, complexidade organizacional, entre outras particularidades.
5 – Mitigar e manter
Com todas as correções feitas e as políticas e normas estabelecidas, passamos a um processo contínuo de monitoramento. É fundamental acompanhar a implementação e a efetividade das diretrizes definidas no projeto de adaptação. O objetivo é que tudo funcione da melhor forma para garantir a plena privacidade e segurança dos dados pessoais sob controle da cooperativa. Como todo nosso negócio é dinâmico, podem surgir necessidades de atualização de alguns fluxos, o que deve ser logo compartilhado com o encarregado direto pelo tratamento dos dados pessoais. Para que a adoção das medidas seja eficaz, é importante realizar ações educativas contínuas, contemplando toda a equipe da cooperativa. É essencial contar com o comprometimento de todos, inclusive de prestadores de serviços. A ideia é que posteriormente o projeto de adequação dê lugar ao Programa de Conformidade em Proteção de Dados Pessoais.
Fonte: Confebras