LGPD: Como fazer um tratamento automatizado de dados de forma segura

O uso de mecanismos de automação pelas empresas vem crescendo nos últimos anos. Isso se deve a uma série de fatores, como o avanço da tecnologia, a necessidade de aumentar a eficiência e a produtividade, e a competitividade do mercado. Os mecanismos de automação podem ser usados em uma variedade de atividades, como processamento de dados, atendimento ao cliente, logística, e marketing. Eles podem ajudar as empresas a reduzir custos, melhorar a qualidade dos serviços, e personalizar a experiência do cliente.

No entanto, o uso de mecanismos de automação também levanta preocupações sobre a proteção de dados. Isso porque esses mecanismos podem coletar, armazenar e processar grandes quantidades de dados pessoais.

Quando falamos em proteção de dados no Brasil, o referencial é a Lei Geral de Proteção de Dados (LGPD). Seu objetivo principal é garantir mais transparência e segurança nos processos de tratamento de dados pessoais. Um dos pontos principais da LGPD é o tratamento automatizado desses dados, previsto em seu artigo 20. Vamos entender como fazer isso de maneira adequada, garantindo a conformidade legal.

O artigo 20 da LGPD garante o direito do titular de requerer a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que o afetem. Isso implica que qualquer atividade que use algoritmos ou sistemas automatizados para tomar decisões, que possam trazer consequências legais ou afetar os direitos dos titulares, deve permitir uma revisão.

O que isso significa na prática?

Suponhamos que uma instituição financeira use um algoritmo ou mesmo uma ferramenta de inteligência artificial (IA) para determinar a elegibilidade de crédito. Se um cliente for rejeitado com base nestas tecnologias, ele tem o direito de pedir uma revisão desta decisão por um humano. Essa previsão é uma maneira de garantir que os processos automatizados, por mais avançados que sejam, não se tornem infalíveis ou preconceituosos, excluindo a humanidade da equação.

Esse processo deve permitir que os titulares tenham acesso às informações que foram usadas para tomar a decisão, bem como a oportunidade de apresentar argumentos para contestar a decisão.

Mas então quais ações podem garantir que o tratamento automatizado de dados feito está adequado à Lei?

Começando pela transparência, é imprescindível que as empresas adotem uma política de privacidade clara, informando de forma objetiva e simples os motivos pelos quais os dados são coletados, como serão tratados e por quanto tempo serão armazenados. Já no ponto de coleta, é essencial que os titulares sejam informados sobre o tratamento automatizado e os propósitos dessa ação, reforçando sempre o compromisso da empresa com a integridade e privacidade de suas informações.

O próximo passo é estabelecer um sistema para a revisão das decisões automatizadas. Isso pode ser feito através da criação de um canal de comunicação, onde o titular pode pedir uma revisão de qualquer decisão tomada. Por trás desse sistema, deve haver uma equipe especialmente designada, treinada não só em compreender o funcionamento do algoritmo, mas também em respeitar e entender os direitos dos titulares. E para que esse processo seja eficiente, determinar um prazo de resposta rápido é vital para evitar frustrações e garantir conformidade.

Lembre-se:

  • O titular deve ter acesso às informações que foram usadas para tomar a decisão. Isso inclui os dados pessoais que foram coletados, os critérios usados para tomar a decisão, e os resultados da decisão.
  • O titular deve ter a oportunidade de apresentar argumentos para contestar a decisão. O titular pode apresentar evidências para apoiar seus argumentos, como documentos, testemunhas, ou depoimentos.
  • O processo de revisão deve ser transparente e imparcial. A empresa deve explicar o processo de revisão ao titular e garantir que ele seja tratado de forma justa.

Além do mais, para assegurar que os sistemas estão atualizados e em conformidade, é fundamental realizar auditorias frequentes. Isso pode ser conduzido por uma equipe interna ou através de terceiros especializados. Após cada auditoria, é crucial reunir-se com as equipes responsáveis, discutir possíveis falhas e implementar as melhorias sugeridas, sempre mantendo uma documentação rigorosa do processo.

É essencial também estabelecer um mecanismo de feedback e melhorias contínuas, como forma de garantir que o sistema evolua e se adapte às necessidades dos usuários e às exigências legais. Isso envolve manter um canal aberto de comunicação com os titulares dos dados, coletar seus feedbacks, analisá-los e, claro, implementar as sugestões e melhorias necessárias de forma consistente.

Por último, mas não menos importante, o treinamento e a conscientização de todos os envolvidos são imperativos. Afinal, um sistema é tão bom quanto as pessoas por trás dele. Para isso, sessões regulares de treinamento sobre a LGPD, bem como sobre as nuances do tratamento automatizado, devem ser conduzidas. Disponibilizar recursos e materiais para consultas frequentes e testar periodicamente o conhecimento da equipe são práticas que solidificam a conformidade.

Conclusão

No fim das contas, o tratamento automatizado é uma ferramenta poderosa, mas, como qualquer ferramenta, seu uso requer responsabilidade e atenção contínua para garantir que os direitos dos titulares sejam sempre respeitados.

As empresas devem estar cientes de outras maneiras de mitigar os riscos associados ao tratamento automatizado, como usar algoritmos e sistemas automatizados que sejam transparentes e explicáveis, justos e não discriminatórios, e auditáveis. Ao tomar essas medidas, as empresas e organizações garantem que o tratamento automatizado seja usado de forma responsável e ética, evitando as temíveis penalizações da LGPD.

Por Thobias Prado Moura