Olá! Sou o Mario da OMD! Com este vídeo, sobre a adequação da LGPD, iniciamos uma nova entrega de conteúdo rico ao nosso público. Serão vídeos curtos com no máximo dez minutos, com o objetivo de abordar assuntos de interesse dos ouvidores. Acompanhe:
Quem já nos acompanha, nesses quase 18 anos de atuação, sabe que defendemos o uso da ouvidoria como uma ferramenta para melhorias de processos, produtos e serviços.
A partir da análise e tratamento das demandas recebidas, o Ouvidor deve atuar de forma estratégica na gestão das organizações. E o assunto escolhido para tratarmos neste primeiro vídeo é a relação das Ouvidorias com a nova Lei Geral da Proteção de Dados, também conhecida como LGPD.
Muito se tem discutido sobre o papel do Ouvidor nesse novo cenário, suas novas responsabilidades e atribuições frente à nova lei.
A LGPD foi promulgada no ano de 2018, mas iniciou sua vigência somente dois anos depois, para que as empresas pudessem se adaptar durante este período. Já as sanções administrativas passaram a valer a partir de agosto deste ano. E onde entram as Ouvidorias frente a adequação da LGPD?
Para quem deseja se aprofundar nesse tema, sugiro acessar nosso E-book sobre LGPD nas Ouvidorias. Basta acessar nosso site para baixar o conteúdo exclusivo aos nossos leitores. Boa leitura!
Quem é quem perante a LGPD?
As Ouvidorias, ao estabelecerem um canal de comunicação com seu público, inevitavelmente precisam coletar dados pessoais para fazer o tratamento dessas manifestações, sejam elas reclamações, denúncias, sugestões ou elogios. Portanto, com adequação da LGPD para tratamento de dados pessoais, as responsabilidades do Ouvidor aumentaram e se tornaram ainda mais relevantes na instituição.
Data Protection Officer
Uma função nova e muito importante que surgiu após a LGPD, é a de encarregado de proteção de dados pessoais, também conhecido como Data Protection Officer (DPO).
Este profissional é basicamente o responsável por manter tudo o que é feito na empresa dentro das diretrizes da LGPD. Ele também será o elo entre a instituição e a ANPD (Autoridade Nacional de Proteção de Dados), devendo gerar relatórios e fornecer informações sobre o tratamento de dados dentro das organizações.
O Ouvidor como DPO
Algumas empresas têm nomeado o Ouvidor para exercer cumulativamente a função de encarregado de proteção de dados pessoais (DPO). O argumento é que o artigo 18 da LGPD prevê que os titulares de dados pessoais possam exercer alguns direitos, mediante requisição ao controlador dos dados, tais como as correções de dados incompletos, inexatos ou desatualizados, anonimização, o bloqueio ou eliminação de dados necessários, entre outros direitos.
De fato, a Ouvidoria por se caracterizar como um canal direto de comunicação com o público, possui as ferramentas necessárias e fluxos de trabalho desenhados para receber solicitações como as que citei anteriormente. Porém, cabe ressaltar que a atuação do DPO vai muito além de receber as requisições dos titulares de dados.
O encarregado de proteção de dados possui uma série de outras responsabilidades advindas da LGPD, que exigem, por sua vez, uma formação e conhecimento específicos para a sua atuação, em especial nas áreas jurídica e de tecnologia da informação. Cabe ao encarregado, por exemplo, coordenar a elaboração do relatório de impacto a proteção de dados pessoais e a interlocução junto à ANPD (Autoridade Nacional de Proteção de Dados).
Por outro lado, convém lembrar que o Ouvidor possui como atividade precípua o recebimento de manifestações dos clientes cidadãos com foco na identificação de falhas e na proposição de melhorias de processos, produtos e serviços. É muito importante, portanto, o Ouvidor não perder este foco ao assumir outras responsabilidades dentro da organização frente a adequação da LGPD.
Afinal, qual o modelo ideal?
O modelo ideal parece ser aquele em que a Ouvidoria pode ser utilizada como um canal para receber as requisições dos titulares de dados pessoais. Mas, que essa demanda não seja assumida pelo próprio Ouvidor e sim encaminhada ao encarregado de proteção de dados pessoais para providências.
Esse é o fluxo natural de uma Ouvidoria. Ou seja, receber as demandas do público e articular internamente as soluções com as instâncias competentes e responsáveis pelo seu tratamento adequado.
Ainda que a proteção de dados pessoais já seja uma prática das Ouvidorias, agora torna-se necessário seguir rigorosamente os princípios estabelecidos na nova lei.
Como incorporar os princípios da nova Lei na rotina da Ouvidoria?
A LGPD estabelece 10 princípios gerais para proteção de dados pessoais. A seguir, falarei de quatro princípios que possuem correlação direta com o dia a dia das Ouvidorias:
Princípio da finalidade
De acordo com esse princípio, o tratamento de dados pessoais precisa ter uma finalidade específica e legítima e deve ser informado ao titular de dados. Sendo assim, a Ouvidoria deve solicitar ao usuário somente os dados que estão de acordo com essa finalidade, e explicar o porquê necessita dessas informações.
Depois da coleta de dados, estes devem ser utilizados somente com o objetivo informado ao titular. Sendo assim, caso surja outra finalidade, a Ouvidoria precisa contatar o usuário, ou seja, o titular dos dados, para que este faça um novo consentimento para o uso dos dados de acordo com a nova finalidade.
Vale destacar que nem sempre será necessário exigir consentimento do titular de dados, visto que o inciso, segundo do artigo sétimo da LGPD, estabelece que uma das possibilidades para tratamento de dados pessoais seja decorrente do cumprimento de obrigação legal ou regulatória pelo controlador.
Portanto, o termo de consentimento poderá ser dispensado nos casos em que a demanda é recebida por uma Ouvidoria regulamentada, como por exemplo, temos o setor financeiro, o setor elétrico, saúde suplementar, telecomunicações, mercado de valores imobiliários e as seguradoras, que possuem as normas próprias sobre as Ouvidorias.
Princípio da necessidade
Outro princípio é o da necessidade, que eu chamo de minimização. A coleta dos dados deve ser a mínima necessária para fazer o adequado encaminhamento da manifestação, evitando a coleta de dados sensíveis sem necessidade, tais como informações sobre raça, orientação sexual, convicções religiosas ou políticas, entre outras.
Dessa forma, é papel da Ouvidoria explicar claramente para o usuário quais dados são de preenchimento obrigatório e quais são opcionais no momento do cadastro da manifestação.
Princípio da segurança
Esse princípio garante que os dados devem ser protegidos de acessos não autorizados e situações acidentais, como vazamentos e alterações. Para isso, a Ouvidoria precisa armazenar os documentos de forma segura, por exemplo, com ferramentas de pseudo minimização, criptografias, tokens, entre outros.
Outra ação importante é treinar toda equipe de Ouvidoria para que compreendam a necessidade da proteção das informações, incluindo assinatura de um termo de confidencialidade com todos os membros da equipe de Ouvidoria.
Princípio da prevenção
Outro princípio que tem relação direta com as Ouvidorias é o da prevenção. É responsabilidade de toda instituição adotar medidas para prevenir danos causados pelo tratamento indevido de dados pessoais.
Então, é preciso fornecer ao titular, por exemplo, no caso das Ouvidorias, a oportunidade de realizar uma manifestação sigilosa ou mesmo anônima.
Adequação da LGPD: OMD Soluções como sua aliada
Bom, esses foram os principais princípios que eu gostaria de apresentar a vocês advindos da LGPD e que têm relação com as Ouvidorias.
A OMD possui um sistema para Ouvidorias e canais de denúncias que está inteiramente adequado a LGPD. Com ele, a sua empresa estará preparada para tratar manifestações de maneira sigilosa e anônima, mantendo os dados dentro dos padrões de segurança exigidos pela nova lei.
Receba, gerencie e analise as manifestações da sua ouvidoria em uma única ferramenta. Faça uma demonstração gratuita preenchendo os campos abaixo.