10 dicas para a proteção dos dados pessoais nas ouvidorias

O que as ouvidorias, sejam elas públicas ou privadas, devem observar na hora de se adaptar à Lei Geral de Proteção de Dados?

Em razão do grande fluxo de informações que transitam em ambiente de Ouvidoria, garantir a privacidade e a proteção adequada dos dados pessoais dos manifestantes já era uma prática adotada pelo Ouvidor e sua equipe, mesmo antes da promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD), teve com vistas fazer cumprir, entre outros, os princípios da confidencialidade e da confiança, vetores fundamentais e que dão sustentáculo para as atividades desenvolvidas nessa arena dialógica.

Com o advento da Lei nº 13.709/2018 (LGPD), a necessidade de implementação de uma política de governança de dados pessoais mais robusta tornou-se imperiosa, com a reavaliação de processos de trabalho, produtos e serviços que envolvam tratamento de dados pessoais, caminho inexorável para se obter conformidade com a LGPD e, consequentemente, regular e mitigar (numa perspectiva coletiva) os riscos inerentes às atividades e negócios sedimentados em dados.

Nesse desiderato, enquanto porta voz da organização e fonte canalizadora de percepções externas, cabe à Ouvidoria nas relações com seus diferentes públicos, repercutir as boas práticas de governança de dados pessoais adotadas pela corporação a que pertence, bem como, concretizar em seus próprios processos de trabalho, o conjunto de comandos principiológicos trazidos pela LGPD.

De forma prática, os princípios elencados no artigo 6º da Lei nº 13.709/2018, podem ser incorporados nas rotinas da Ouvidoria, das seguintes formas:

Finalidade

– As práticas de tratamento de dados pessoais e de dados pessoais sensíveis precisam ter um propósito legítimo e o titular dos dados deve saber qual é essa finalidade;

– A quantidade e o tipo de dados pessoais solicitados no momento do atendimento ou do preenchimento do formulário da Ouvidoria precisam ser adequados, necessários e coerentes com a finalidade da coleta;

– Nos atendimentos presenciais ou telefônicos, informar de forma clara e acessível o motivo pelo qual necessita colher determinados dados pessoais, bem como, eventuais salvaguardas que a Ouvidoria possuir em relação à identidade das pessoas envolvidas na manifestação; e

– Deixar em evidência no link da Ouvidoria, todas as informações e declarações de finalidade necessárias para que o usuário compreenda o motivo pelo qual seus dados são tratados no setor.

Adequação

– Especificada a finalidade para o tratamento dos dados em ambiente de Ouvidoria, no caso de surgir um novo propósito que não seja compatível com o originalmente informado, o manifestante deverá ser consultado e consentir com essa nova finalidade. Como exemplo, tem-se a situação de envio de manifestações de ouvidoria entre órgãos/entidades diferentes, onde há necessidade de consentimento do manifestante ou, diante da sua negativa, o expediente só poderá ser enviado ou compartilhado a após a sua pseudonimização (parágrafos 5º e 6º do artigo 5º, do Decreto nº 10.153/2019);

– Os procedimentos de tratamento de dados em Ouvidoria devem estar em consonância com a finalidade proposta e com a política de privacidade da Organização, as quais, em atendimento ao princípio da transparência, precisam estar disponíveis para o conhecimento dos usuários/titulares de dados pessoais; e

– O ciclo de vida dos dados pessoais e respectivo tratamento precisam ter prazo certo e compatível com a finalidade proposta.

Necessidade

– O tratamento (coleta) de dados deve ser limitado ao mínimo necessário para a realização do escopo proposto, evitando-se o risco de lidar com informações sensíveis que não terão utilidade específica e, num eventual incidente de privacidade ou vazamento de dados, decausar prejuízos para o titular de dados e para a Organização; e

– Estabelecer de forma clara no formulário da Ouvidoria, bem como nos atendimentos presenciais e por telefone, quais dados são obrigatórios (o mínimo possível e pouco invasivo) e quais são opcionais e certificar-se de que os usuários compreendem a diferença entre ambos.

Livre acesso

– Estabelecer um documento padrão de solicitações e de respostas para eventuais requerimentos de consultas sobre a existência de tratamento de dados pessoais do titular em ambiente de Ouvidoria, bem como, permissão de acesso, após submissão do pleito ao encarregado de dados ou comitê de governança; e

– Informar ao usuário para onde foi enviada a sua manifestação e qual o agente responsável por tratar da mesma, o que inclui acesso aos seus dados pessoais.

Qualidade dos dados

– Os dados pessoais tratados (coletados) pela Ouvidoria devem ser precisos, atualizados e completos, de forma a garantir que a finalidade da coleta seja atingida, sem riscos para o titular e para a Organização, que necessita de dados íntegros e exatos para fundamentar as suas decisões; e

– Estabelecer um padrão de qualidade de dados, especificando quais precisam ser atualizados, como o serão (com ou sem a participação do titular) e, em qual prazo, cientificando os usuários dos serviços da existência desse controle.

Transparência

– Os fluxos e processos internos de tratamento de dados em ambiente de ouvidoria precisam ser divulgados e serem de fácil acesso para os mais diferentes públicos, incluídos deficientes visuais, auditivos, numa linguagem de fácil compreensão; e

– Divulgar em diferentes plataformas as políticas de privacidade e o programa de governança de dados pessoais da Organização, lembrando sempre que a Ouvidoria tem como missão conectar pessoas e Instituições/Corporações.

Segurança  

– Os dados pessoais (principalmente sensíveis) contidos nas manifestações que aportam nos canais de acesso à Ouvidoria, independente da forma (digital ou físico) precisam ser protegidos de acesso, divulgação, alteração e compartilhamento não autorizados;

– Sensibilizar os integrantes da equipe da Ouvidoria sobre a importância de manter a confidencialidade sobre as informações que chegam no setor, bem como sobre os dados pessoais das pessoas envolvidas, incluindo a assinatura de um termo de confidencialidade; e

– Manifestações escritas e documentos anexos precisam ser acautelados em locais (armários/arquivos) de acesso restrito e, as manifestações digitais, o acesso ao sistema deve ser limitado com senhas e outros dispositivos tecnológicos.

Prevenção

– Em seus processos e fluxos de trabalho, a equipe da Ouvidoria precisa adotar procedimentos que levem em consideração a privacidade dos manifestantes e das pessoas mencionadas nas manifestações;

– A privacidade e a proteção dos dados devem ser o ponto de partida para criar uma rotina, implementar um novo processo de trabalho, ou revisar os já existentes;

– Realizar um mapeamento dos riscos inerentes às atividades da Ouvidoria, implementando salvaguardas aos dados pessoais e dados pessoais sensíveis dos usuários e demais pessoas mencionadas em sua manifestação; e

– Oferecer a possibilidade do anonimato e da realização de manifestação com sigilo de dados, cuidando para que a opção do usuário seja integralmente atendida.

Não discriminação

– Os mecanismos de proteção da privacidade e dos dados pessoais dos usuários que se valem dos serviços de Ouvidoria precisam ser os mesmos para todos os públicos que se valem dessa instância para terem vez e voz;

– Os fluxos, processos de trabalho, formulários, técnicas de atendimento e de tratamento de manifestações (e respectivos dados pessoais dos envolvidos) não podem ser acessíveis para um determinado grupo de usuários e segregar outros; e

– Os indicadores provenientes das informações tratadas pela equipe da Ouvidoria não podem promover a estigmatização baseada no tratamento dos dados pessoais dos manifestantes.

Responsabilização e prestação de contas

– O grande volume de informações que transitam pelos canais de acesso à Ouvidoria e o tratamento diário de dados pessoais e de dados pessoais sensíveis impõe ao Ouvidor a adoção de medidas de conformidade com a LGPD, dentre elas, estabelecer que os integrantes da equipe assinem um termo de confidencialidade em relação as informações e dados pessoais dos usuários, cujas manifestações estejam sob a sua responsabilidade e custódia;

– Os relatórios e boletins informativos da Ouvidoria podem incorporar indicadores relacionados às manifestações cujos dados pessoais foram pseudonimizados ou anonimizados, consentimentos renovados para autorizar o compartilhamento dos dados com outras entidades, adoção de novas rotinas ou políticas de privacidade em relação aos processos de trabalho do setor, entre outras informações e boas práticas de governança de dados, com o objetivo de prestar contas para o usuário das ações de conformidade com a LGPD; e

– Auxiliar a alta administração na construção de uma cultura organizacional em que a privacidade e a proteção de dados pessoais sejam assimiladas como importantes valores corporativos, ao lado da ética e da integridade, incentivando e premiando os comportamentos aderentes e, consequentemente, responsabilizando e punindo as condutas que tragam danos para o titular de dados pessoais e prejuízos para a Organização.

 

Artigo escrito por Rose Meire Cyrillo, promotora de Justiça do Ministério Público do Distrito Federal e Territórios e Vice-Presidente da Associação Brasileira de Ouvidores (ABO) do DF