LGPD: Saiba quais são as áreas mais impactadas na cooperativa
O êxito do Programa de Proteção de Dados Pessoais nas cooperativas está diretamente ligado ao nível de envolvimento da alta gestão e das suas áreas de negócio.
Considerar o elemento “humano” é imprescindível para a sua implementação. Por isso, somente com o engajamento de todos ele se manterá e será realmente efetivo.
Lembre-se: a conformidade com a LGPD não é um tema para apenas uma ou outra área, mas de todas. E são todas mesmo!
Ainda assim, algumas áreas merecem maior atenção e demandam um profundo envolvimento na adequação à Lei e na manutenção do Programa de Proteção de Dados Pessoais, seja pelo volume e características dos dados pessoais [P1] que manuseiam ou pela relevância das atividades desenvolvidas e resultados obtidos.
As áreas que mais se destacam e devem obrigatoriamente se envolver quando o tema é Proteção de Dados Pessoais nas cooperativas, são:
Área de Recursos Humanos ou Gestão de Pessoas
O RH geralmente é responsável por concentrar volume expressivo de dados pessoais e por realizar diversas atividades de tratamento de dados pessoais e dados pessoais sensíveis. Afinal, a área responde pelas atividades relacionadas à seleção e recrutamento, admissão, gestão de benefícios e convênios, condução de treinamentos, processamento de folha de pagamento, controles de jornada, suporte ao desenvolvimento profissional dos colaboradores, entre outras.
As rotinas de recursos humanos são extremante vivas e se moldam às necessidades impostas pela maioria das vezes por legislações e regulamentações. Por isso, a cooperativa deve estar atenta na forma como os dados pessoais são manipulados pela área e, principalmente, em como eles são acessados (quem os acessa), armazenados e descartados, quando necessário.
Desta forma, em geral, compete à área de recursos humanos:
- A implementação de treinamentos e campanhas de conscientização, desde a integração dos colaboradores e durante todo o período que permanecem vinculados à cooperativa;
- O auxílio e monitoramento da formalização de aditivos ao contrato de trabalho, com objetivo de informar os colaboradores sobre as atividades que são realizadas com seus dados pessoais e as características de tais atividades, bem como de compromissá-los ao cumprimento das regras estabelecidas em políticas, normas e procedimentos;
- A proposição de elaboração e revisão de documentos informativos e avisos de privacidade voltados para colaboradores, detalhando as atividades realizadas com seus dados pessoais;
- A formalização de termos de adesão para benefícios optativos alcançados para os colaboradores, informando sobre eventual compartilhamento realizado com prestadores de serviços ou parceiros a partir da adesão do colaborador;
- Informar a área de tecnologia da informação sobre a demissão de colaboradores, quando possível antes de ocorrer, para que credenciais de acesso a sistemas, e-mails e outros ambientes possam ser revogadas;
- Certificar-se de que dados pessoais de colaboradores não são compartilhados para finalidades estranhas ao vínculo de emprego, aos benefícios obrigatórios ou aos benefícios que o colaborador optou por receber, bem como aos casos em que o compartilhamento seja impositivo por conta de lei ou regulamento.
Marketing ou Comunicação
Ações publicitárias e a divulgação das atividades desenvolvidas pelas cooperativas são importantes mecanismos de interação com a sociedade. A utilização dos canais oficiais de comunicação também se caracteriza como elemento essencial para a expansão dos negócios.
Por isso, há um tratamento expressivo de dados pessoais como “nome”, “e-mail”, “telefone”, utilizados para manutenção de mailings, remessa de e-mail marketing ou disparo de mensagens promocionais por meio de SMS e/ou WhatsApp. Além disso, dados pessoais, como “imagem” e “voz”, são utilizados com frequência na produção de materiais institucionais, publicitários ou para o registro de eventos.
Essas ações, comuns para boa parte das cooperativas, são apenas alguns exemplos. As áreas de marketing ou comunicação podem realizar outras várias atividades, como a definição de perfis do público que pretende atingir com determinadas ações, a realização de promoções e eventos, interações em redes sociais, dentre outras.
Assim, independentemente das atividades realizadas, a área precisa revisitar a grande maioria dos seus processos para adequá-los à LGPD . Entre eles, é possível destacar:
- Avisos de privacidade com informações detalhadas sobre a utilização dos dados pessoais em landingpages (páginas de conteúdo promocional na Internet) e limitação da coleta de dados pessoais (exemplo: se antes era coletados “nome”, “cpf”, “telefone”, “endereço”, “profissão”, “cargo” e “e-mail”, agora a coleta se limita a “nome”, “telefone”, “cargo” e “e-mail”);
- Avisos de privacidade para eventos e atividades promocionais, informando aos participantes sobre a coleta de dados pessoais, de que maneira são ou serão utilizados, com quem serão compartilhados e por quanto tempo serão mantidos, além de outras informações;
- Consentimento ou termo de cessão de direitos relacionados à imagem para utilização em conteúdo de comunicação publicados em sites, redes sociais, revistas e outros;
- Opção facilitada para que as pessoas se oponham ao recebimento de e-mail marketing e mensagens de comunicação remetidas por Whatsapp ou SMS;
- Exclusão ou bloqueio, nas bases de dados, dos “e-mails” e “telefones” das pessoas que informam não possuírem mais interesse no recebimento de e-mails ou mensagens por Whatsapp ou SMS;
- Protocolos específicos para telemarketing, estabelecendo limites da frequência de abordagem e indicando no início dos contatos que as pessoas poderão informar se desejam ou não a continuidade da ligação ou de novos contatos;
- Quando responsáveis pela gestão de redes sociais, garantir que documentos em que estejam registrados dados pessoais não sejam solicitados por meio de mensagens ou outras interações nas redes sociais.
Área jurídica
É responsabilidade da área jurídica assegurar que as relações estabelecidas com colaboradores, clientes, associados/cooperados, fornecedores e parceiros estejam pautadas nos fundamentos previstos na LGPD e que assegurem os interesses da cooperativa quando se trata da proteção de dados pessoais.
Em regra, cabe ao Jurídico a importante função de estabelecer as justificativas legais para a realização das atividades envolvendo dados pessoais e adequar os contratos e outros documentos celebrados pela cooperativa, a fim de que prevejam requisitos relacionados à conformidade em proteção de dados pessoais, tais como:
- Responsabilidades das partes envolvidas nos tratamentos de dados pessoais;
- Limites para os tratamentos dos dados pessoais;
- Medidas de conformidade que precisarão ser mantidas pela parte com quem a contratação está sendo realizada;
- Monitoramento do Terceiro, com previsão de auditoria;
- Auxílio para o atendimento dos direitos solicitados pelas pessoas;
- Dever de comunicação de eventual incidente envolvendo dados pessoais tratados a partir do contrato ou da relação mantida;
- Responsabilização da parte com quem o contrato está sendo mantido diante de descumprimentos contratuais ou descumprimento da LGPD na execução do objeto contratado.
O apoio técnico da área garante que as ações da cooperativa estejam em conformidade com as legislações aplicáveis. Além disso, o Jurídico (interno ou consultoria externa especializada) auxilia diretamente na análise de eventuais regulamentações emitidas pela Autoridade Nacional de Proteção de Dados (ANPD) e sua posterior implementação nos processos da cooperativa.
Tecnologia da Informação – TI
Um erro muito comum nas cooperativas dos mais variados portes é acreditar que a LGPD é apenas “coisa de TI”. A área de TI, sem dúvidas, é extremamente importante para o Programa de Proteção de Dados Pessoais, mas não é a única responsável pela sua existência e manutenção, como já destacamos.
A equipe de TI é responsável direta pelas operações tecnológicas da cooperativa, ou seja, pelas atividades que envolvem seus equipamentos, sistemas, redes, conexões à internet e operacionalização das atividades do dia a dia de várias outras áreas. Assim, ela atua como uma espécie de coração, responsável por garantir os meios necessários para que as demais áreas possam executar plenamente suas atividades.
O envolvimento da TI na adequação à LGPD e na manutenção do Programa de Conformidade em Proteção de Dados Pessoais está diretamente vinculado às ações de segurança da informação que envolvem a política de segurança da informação, e as normas e procedimentos para níveis de permissão e controle de acesso, desenvolvimento, senhas, backups, gestão de ativos, monitoramento de redes, garantia de disponibilidade de serviço, gestão de incidentes cibernéticos (em conjunto com outras áreas) e outras.
Por isso, é fundamental que, em conjunto com as demais áreas e com patrocínio da alta gestão, a TI adote os controles previstos na ISO 27701 (que institui o Programa de Privacidade da Informação). O procedimento é primordial para atender as boas práticas de segurança determinadas como obrigatórias na LGPD.
A participação da TI também é essencial para adequação de sites e sistemas aos controles estabelecidos quando da adequação à LGPD. Por exemplo: quando for definida a supressão de determinados campos de coleta de dados pessoais em sistemas ou sites, a área terá que realizar ou solicitar para prestadores de serviço a realização da adequação desses ambientes.
Assim, em resumo, a área de TI é responsável por inúmeras atividades envolvendo boas práticas de segurança (inclusive de gestão de riscos para novas atividades) e procedimentos adequados para o manuseio de equipamentos, sistemas e e-mails.
Comercial
A LGPD não tem como objetivo dificultar ou inviabilizar as operações de qualquer cooperativa. Pelo contrário, o texto da Lei indica que a proteção de dados pessoais tem como fundamento o desenvolvimento econômico e tecnológico, a inovação, a livre iniciativa e a livre concorrência.
Ou seja, atividades de prospecção comercial e manutenção de relacionamento com clientes estão resguardadas pela legislação, mas precisam atender determinadas condições para que sejam consideradas regulares.
A área Comercial é responsável por boa parte do relacionamento com os clientes e, em muitas vezes, pelo faturamento da cooperativa. Assim como as demais áreas, também realiza atividades que envolvem a utilização de dados pessoais, tais como venda de produtos e/ou serviços, contratação de fornecedores, emissão de notas fiscais, cadastramento de fornecedores pessoas físicas em sistemas internos, remessa de produtos aos clientes, registros contábeis obrigatórios, dentre outras.
Justamente em razão deste volume de atividades, precisa estar atenta as políticas, normas e procedimentos implementados pela cooperativa para cumprir a LGPD, garantindo que o relacionamento conduzido junto aos clientes/consumidores esteja pautado na transparência e no uso consciente e adequado dos dados pessoais.
Social
O associado/cooperado é a razão de existir da cooperativa. É a partir da participação dele que as cooperativas desenvolvem suas atividades e concretizam seus negócios.
Os associados são os maiores interessados na adequação das atividades da cooperativa aos termos da LGPD, uma vez que são os “donos” do negócio. A conformidade da cooperativa é a garantia de que seus próprios dados pessoais serão utilizados de forma adequada e mantidos em segurança.
Por isso, é primordial que a área responsável pelo relacionamento com os associados esteja diretamente envolvida na adequação à LGPD e no Programa de Proteção de Dados Pessoais, uma vez que atua como interlocutora com este público – pessoas físicas de quem, como já dito, a cooperativa também trata dados pessoais.
Também vale destacar que, em regra, a área Social é responsável pelo gerenciamento dos benefícios ofertados aos associados e seus dependentes, realizando naturalmente diversas rotinas que envolvem a utilização de dados pessoais e até mesmo de dados pessoais sensíveis.
A área tem ainda a importante tarefa de internalizar as ações desenvolvidas pelo Sistema OCB relacionadas ao apoio e promoção ao cooperativismo, além de servir de canal de integração dos associados aos programas de formação profissional e promoção social, executados em conjunto com as unidades estaduais.
Para lembrar
O amplo envolvimento de colaboradores, associados/cooperados e da alta gestão das cooperativas é medida indispensável para o sucesso da adequação à LGPD e para a eficiência e manutenção do Programa de Proteção de Dados Pessoais.