A LGPD entrou em vigor em Setembro de 2020. Alguns já se adequaram, outros começaram a se adaptar e estão quase prontos, mas a maioria ainda está tentando entender o que fazer. Há organizações que ainda estão tentando entender se precisam se preocupar com o assunto, outras estão se apoiando em bases legais equivocadas e algumas estão buscando se adequar sem ter que comprometer orçamento que não existe ou fazer gastos desnecessários.

Independente de quem é você ou sua empresa, as organizações e pessoas físicas tem níveis diferentes de preocupação em relação à privacidade e proteção de dados pessoais. Este nível de preocupação tem forte relação com os tipos de tratamentos de dados pessoais realizados, além da própria natureza da organização. Órgãos públicos tem preocupações diferentes de redes sociais, por exemplo, assim como plataformas de streaming usam dados pessoais de forma bem diferente de uma escola. O que elas tem em comum? Todas estão enquadradas sob a mesma legislação e precisam tomar medidas proporcionais às atividades que realizam.

Já imaginou se houvesse um valor numérico ou uma escala através da qual um controlador pudesse entender o quanto precisa se preocupar com a adequação e se comparar com outros tipos de controladores? E se este grau permitisse fazer reflexões sobre os embasamentos legais utilizados e práticas de proteção de dados que a organização precisa adotar?

Neste artigo apresentamos este valor: um grau de atenção que um controlador deve ter sobre a adequação à LGPD. Este grau se baseia nos tratamentos de dados pessoais que o controlador realiza e nos embasamentos legais que os sustentam. Cada tratamento recebe um grau de atenção próprio específico em função de suas características. Este grau é uma medida heurística e sua aplicação é empírica. Sua finalidade é apoiar as organizações na compreensão do nível de atenção necessário a este assunto, levando alguns fatores em consideração. Assim, o grau de atenção serve como alerta e como caminho para ações práticas específicas de uma empresa ou organização.

Este artigo apresenta uma visão inicial, mas se você quiser conhecer mais como calcular o grau e entender a aplicação desta medida através de exemplos práticos, pode conferir nosso curso sobre o assunto.

Fatores Básicos

O Grau de Atenção à Proteção de Dados (GAPD) é uma combinação de dois fatores: (1) O Nível de Anuência Necessária ou NAN e (2) o Nível de Benefício ao Negócio ou NBN.

NAN – Nível de Anuência Necessária

O NAN mede a anuência necessária ao controlador de dados para que ele possa realizar um certo tratamento. Em outras palavras, indica o quanto o controlador precisa de permissão ou justificativas sobre os motivos para manipulação de dados pessoais. Dessa forma, este primeiro fator é graduado em três níveis propositalmente não equidistantes numericamente:

Nível 1 – Anuência Garantida – Um tratamento de dados pessoais feito pelo controlador é garantido por alguma hipótese prevista na LGPD que não seja o consentimento nem o legítimo interesse. Ou seja, o titular, para justificar o tratamento de dados, utiliza uma base legal como políticas públicas, pesquisa, administração pública, tutela de saúde, proteção ao crédito entre outras.

Nível 3 – Anuência Concedida – Um tratamento de dados pessoais feito pelo controlador precisa de um consentimento. Naturalmente, o nível de atenção e preocupação é maior que no nível 1 e o tanto que é maior justifica o grau “saltar” do valor 1 para 3 (isso será explicado mais adiante). Neste nível é o titular que determina se o tratamento pode ocorrer ou não e o controlador deve estar atento a isso. Ele deve se preocupar com alterações e revogações de consentimentos, por exemplo, e isso de fato gera um grau de atenção maior. Assim, quando o controlador realiza tratamos justificados por consentimento, se entende o que titular concede anuência para esta prática.

Nível 4 – Anuência Inferida – Um tratamento de dados pessoais feito pelo controlador parte do princípio de que não precisa do consentimento do titular, contudo, não está embasado em nenhuma hipótese legal definida no nível 1. Na verdade, a base legal aqui é o legítimo interesse. Este nível requer mais atenção e preocupação que os anteriores, contudo, o grau é apenas um ponto acima do anterior (4). O controlador, na teoria, não depende tanto do titular, mas o interesse legítimo sempre pode ser questionado, gerando atenção especial do controlador. Outra justificativa para este ser o maior nível é justamente a falta de jurisprudência e casos reais deixando claro o que é e o que não é legítimo interesse. Este incerteza aumenta o grau de atenção do controlador.

NBN – Nível de Benefício ao Negócio

O NBN mede o quanto um determinado processo de negócio ou empresa se beneficia e/ou depende de tratamento dos dados pessoais que manipula. Em outras palavras, indica o impacto da redução ou até mesmo da interrupção do tratamento de dados pessoais em seus processos de negócio. No caso do NBN os níveis também não são equidistantes, sendo o último mais distante dos outros na escala por se tratar de dependência absoluta de dados pessoais enquanto os dois primeiros são adjacentes.

Nível 2 – Benefício Apoiador – Um processo de negócio do controlador usa dados pessoais como apoio, mas esses dados não incrementam ou potencializam o resultado. Alguns exemplos de negócio apoiados por dados pessoais são escolas, consultórios médicos e negócios que precisem fazer cadastros em geral com a finalidade de identificar e classificar os clientes. Muitas vezes o dado pessoal é vital para o negócio que precisa dos dados pessoais para o cumprimento de sua atividade finalística, mas o negócio não é o tratamento do dado pessoal.

Nível 3 – Benefício Potencializador – Um processo de negócio do controlador usa os dados pessoais para potencializar seus resultados e/ou obter vantagens. Alguns exemplos de negócios potencializados por dados pessoais são lojas que usam recursos de “mala direta” para aumentar as vendas ou farmácias que coletam CPF para fazer perfilamento de clientes. Neste nível o tratamento de dado pessoal não é a atividade principal, mas se precisar ser interrompido causará perda de receita ou vantagens no negócio principal.

Nível 5 – Benefício Estruturante – Um processo de negócio do controlador é baseado em tratamento avançado de dados pessoais (derivação, inteligência artificial, cruzamentos, estatísticas etc). Ou seja, sem dados pessoais o negócio não tem sequer condições de existir de forma sustentável. Exemplos de negócios baseados em tratamentos de dados pessoais são as redes sociais de forma geral que vivem da derivação e rentabilização deste tipo de dados. Neste nível de tratamento a atividade principal é o tratamento de dados.

Cálculo Bruto do GAPD

O cálculo do Grau de Atenção à Proteção de Dados (GAPD) é bastante simplificado, bastando multiplicar o NAN pelo NBN. Dessa forma, obtém-se um número entre 2 e 20. Este número é o valor do GAPD e pode ser visto na figura 1 que contém a tabela de possibilidades para os graus.

Figura 1 – Valores de GAPD com faixas (Baixo, Médio, Alto e Muito Alto)

A figura acima mostra as possibilidades nos cruzamentos de NAN e NBN que definem as 9 categorias possíveis do GAPD bruto. Contudo, além de serem 9 categorias, elas também podem ser utilizadas como limitadores de faixa por corresponderem a uma escala numérica.

Grau do Tratamento x Grau do Controlador

A forma adequada de usar o GAPD é atribuir um grau para cada tratamento realizado pelo controlador. Ou seja, o grau de atenção é melhor aferido quando aplicado a um tratamento (processo de negócio) específico, sendo possível a um mesmo controlador ter tratamentos de níveis diferentes. Contudo, podemos atribuir o grau do controlador a partir do maior grau aferido em um de seus tratamentos. Dessa forma, um controlador com vários tratamentos baixos e médios, por exemplo, obtendo um único grau alto será classificado como controlador de alto grau de atenção para proteção de dados.

NBN do Controlador

O NAN é claramente ligado a um tratamento, já o NBN, em alguns casos com um ou poucos processos de negócio, pode ser que exista apenas um NBN. Em caso de empresas pequenas ou com pouca variedade de atividades pode ser interessante gerar somente um NBN geral do controlador e reutilizá-lo para multiplicar pelos vários NAN.

GAPD Expandido (Categorizado)

Cada tratamento pode e deve ter um GAPD atribuído a ele com o propósito de mapear os processos de negócio de um controlador em função da atenção que ele deve dar ao assunto proteção de dados. Dessa forma, a tabela da figura 1 não é exaustiva e ainda precisa ser completada com algumas categorias (níveis) especiais para situações específicas. Estes níveis especiais fazem parte do GAPD Expandido que contém todas as categorias previstas incluindo a 0 que não trata dados pessoais e a 30 que se refere a tratamentos irregulares. Os níveis especiais também tratam situações como atenuação do grau quando o controlador se trata de órgão público ou agravamento do grau por conta da manipulação de dados sensíveis. Este conjunto de categorias/níveis expandidos pode ser visto na figura 2.

Figura 2 – GAPD Expandido mostrando níveis calculados (em preto) e especiais (em branco)

É importante observar que mesmo nessa forma expandida, o GAPD ainda é uma escala numérica e cada categoria representa um grau. Dessa forma é possível fazer comparações e agrupamentos por faixa usando critérios de “maior” e “menor” quanto da classificação de vários tratamentos ou mesmo de vários controladores em uma massa de dados.

A seguir apresentamos alguns exemplos com sua classificação correspondente. Se você tiver interesse em conhecer a aplicação do GAPD, nosso curso mostra exemplos mais detalhados sobre o enquadramento e identificação do grau de tratamentos e controladores em suas atuações típicas em cada um dos níveis.

GRAU 0 (ESPECIAL): Não ocorre tratamento de dados pessoais. Vários processos de negócio do controlador podem não tratar dados pessoais. Neste caso, o GAPD destes processos é zero. O nível especial zero é usado para comparar quantos tratamentos tratam e quantos não tratam dados pessoais de forma a mapear este tipo de comportamento em uma organização. Para este fim existe este nível especial. O tratamento de dados sobre dados pessoais anonimizados também deve ser classificado como zero, pois não é possível identificar o titular original.

GRAU 1 (ESPECIAL) – Classificação: Baixo. NAN: Garantida / NBN: Apoiador ou Potencializador da Administração Pública. Este grau é equivalente ao 2 e o 3 quando é aplicado a um controlador da administração pública. Geralmente a estes controladores são concedidas maiores liberdades do que a entidades privadas. Assim, a faixa ainda é baixa, mas o grau é levemente atenuado para situações onde o tratamento de dados pessoais apoia ou potencializa o negócio público. Exemplo: (NBN Apoiador) O INSS precisa utilizar os dados de conta bancária para efetuar os pagamentos. Neste caso o dado pessoal apoia o negócio do INSS. O dado é usado como simples consulta informativa.

GRAU 2 (CALCULADO) – Classificação: Baixo. NAN: Garantida/ NBN: Apoiador. Exemplo: Uma escola que precisa cadastrar os alunos, mas não usam estes dados para incrementar seus negócios. Em geral a base legal deste grau é a execução de contrato do serviço prestado. Ou seja, para receber o serviço é fundamental dar acesso aos dados pessoais. Neste exemplo a base legal é a execução de contrato por isso é enquadrada como garantida.

GRAU 30 (ESPECIAL – Irregular) – Este grau é utilizado para tratamentos que aleguem legítimo interesse, mas tratem dados pessoais sensíveis ou qualquer outra forma de ilegalidade patente. Neste caso o grau mais alto que 20 é apenas um indicativo de que este tratamento precisa ser ajustado ou mesmo eliminado dos processos de negócio do controlador. Exemplo: Algum controlador alega legítimo interesse ao tratar dados sensíveis ou qualquer outra situação notoriamente irregular perante a LGPD. Neste caso, o tratamento deve ser classificado como 30 que é um grau de atenção fora da faixa básica, indicando que isso deve ser alterado no processo de tratamento o quanto antes.

Exemplos Que Você Verá Em Nosso Curso

Figura 3 – Exemplos visuais dos níveis ordinários (calculados)
Figura 4 – Exemplos visuais dos níveis especiais (exceto o zero)

Fatores Externos ao Modelo e a Análise Qualitativa do Especialista

O GAPD junta as questões de anuência (bases legais) com a questão de quão relevantes são os dados pessoais para o negócio para gerar um valor numérico que denota o grau de atenção desta organização sobre a adequação à LGPD. Adicionalmente o GAPD faz um ajuste em relação ao fato do controlador ser oriundo da administração pública e se há nos dados tratados algum sensível. Dessa forma, ao gerar um grau numérico, o GAPD permite visualizar e comparar tratamentos e controladores promovendo uma análise inicial do cenário em que se enquadram. Contudo, outros fatores podem contribuir com um maior ou menor grau de atenção de um controlador, mas pode ser que não seja possível interferir diretamente no número final, sugerindo assim uma análise qualitativa por um especialista do nível de preocupação que um controlador deve ter.

Escala – O primeiro deles é a questão do tamanho e/ou escala da organização e do uso de dados pessoais. Um controlador que tenha centenas de sistemas com milhares de dados pessoais certamente deverá ter um grau de atenção maior somente por este fator. Este item, porém, não está no escopo do GAPD e deve ser analisado de forma complementar a este modelo. Enquanto o grau de atenção indica o nível de atenção e cuidado com dados pessoais, a escala e/ou tamanho tem maior relação com o esforço do controlador neste sentido.

Infraestrutura – Questões de uso e escolha de infraestrutura podem fazer muita diferença na preocupação de um controlador em relação ao tratamento de dados pessoais. Servidores “in house” ou em “nuvem” tem características diferentes, além de poder ser possível graduar e classificar as diferentes opções. Este fator pode ser relevante no grau de atenção e preocupação de algum controlador.

Segurança – Outro fator de preocupação que ajuda a calibrar o nível de atenção de um controlador são suas escolhas e ações relativas à segurança da informação. Sistemas de uso público tem níveis de criticidade diferentes de sistemas com controles de acesso elaborados, por exemplo. Assim, um controlador pode adicionar este fator em uma análise qualitativa do grau de atenção.

Outros fatores que influenciem o grau de atenção de um controlador sobre o assunto LGPD podem e devem ser agregados e analisados por um especialista. É neste ponto que profissionais capacitados sobre a legislação e também sobre tecnologia podem contribuir e agregar maior valor às organizações.

Utilidade do Modelo

O modelo de gradação de níveis de atenção à proteção de dados deve ser utilizado inicialmente para classificar os tratamentos elencados de um controlador. Em um segundo momento, a partir do maior valor, pode-se atribuir um grau ao próprio controlador. Assim pode-se elencar algumas utilidades deste modelo listadas a seguir:

  1. Classificação de Tratamentos – Gradação, agrupamento e/ou ordenação dos tratamentos de um controlador como forma de mapear todo o cenário de tratamento de dados pessoais a partir de bases comparativas. A partir do mapeamento com graus de atenção é possível planejar melhor ações de adequação e, inclusive, de revisão dos processos de negócio.
  2. Classificação de Controladores – Em um cenário onde agrupam-se vários controladores como, por exemplo, os clientes de um mesmo operador ou membros de um grupo de controladores de outra natureza, pode-se realizar comparação entre eles. Dessa forma, pode-se estratificar os vários tipos de ações e práticas adotadas pelos controladores em função de suas categorias baseadas no grau de atenção. Adicionalmente, pode usar os fatores externos vistos acima como forma de complementar a análise.
  3. Reflexão/Insights sobre Riscos e Bases Legais – Ao avaliar o grau de atenção conforme os tratamentos de dados pessoais e bases legais que os amparam, será possível refletir sobre o contexto do negócio e riscos assumidos em cada abordagem. Esta reflexão pode apoiar a tomada de decisão sobre adequação da base legal, ajuste do tratamento ou até mesmo revisão da estruturação do negócio.

Considerações Finais

O GAPD é um instrumento para apoiar o profissional de proteção de dados na classificação de tratamentos e controladores. Se você está preocupado com o enquadramento da sua empresa e com as ações necessárias para adequação, ou se você está se especializando para atuar como profissional de proteção de dados, esta ferramenta pode te ajudar. Você também aprenderá sobre como utilizar este grau para documentar os registros de tratamentos em documentos similares ao ROPA (Record of Data Processing Activities) além de promover várias reflexões que podem ser pertinentes ao contexto da sua organização.

Material de Apoio

Se você tem interesse em aprofundar o conhecimento no assunto, recomendamos nosso curso GAPD – Grau de Atenção à Proteção de Dados.

Um comentário em “GAPD – Grau de Atenção à Proteção da Dados

Deixe uma resposta