Lei 25.326 de proteção de dados pessoais da Argentina: o que o seu programa de awareness tem de poder demonstrar

Ilustración editorial de una carpeta de archivo abierta con fichas catalogadas, un sello de fechar y una lupa apoyados sobre el escritorio
Carla Caggiano Blog Sem comentários

Lei 25.326 de proteção de dados pessoais da Argentina: o que o seu programa de awareness tem de poder demonstrar

A sua organização conseguiria mostrar, já amanhã, o que cada um dos seus colaboradores leu sobre o tratamento de dados pessoais, quando o aceitou e sob que credenciais? A Lei 25.326 da Argentina não exige apenas formar o pessoal: exige poder prová-lo. E entre uma coisa e a outra abre-se um espaço que muitos programas de awareness só descobrem quando chega a primeira notificação da autoridade de controlo.

Trabalho em governo, risco e conformidade, e essa é a primeira pergunta que faço quando reviso um programa de dados pessoais. Não me interessa rever a lei em abstrato, mas olhá-la a partir de onde se torna um risco concreto para a organização: o momento em que é preciso abrir o arquivo, mostrar a evidência e sustentar que o dever está cumprido. Do enquadramento até à operação, então: o que pede a 25.326, o que a AAIP espera ver, o que muda com a reforma em debate e, sobretudo, o que tem de registar um programa de awareness para resistir a uma inspeção.

O que exige hoje a Lei 25.326 a quem forma o seu pessoal?

A Lei 25.326 é o enquadramento que regula, na Argentina, a proteção integral dos dados pessoais contidos em arquivos, registos, bases de dados ou outros meios de tratamento, públicos ou privados. É a lei que concretiza o direito de habeas data do artigo 43 da Constituição Nacional, e a sua autoridade de aplicação é a Agência de Acesso à Informação Pública (AAIP), nos termos dos artigos 29 e 30.

No plano dos deveres concretos, o artigo 9 estabelece que quem trata dados pessoais deve adotar as medidas técnicas e organizativas necessárias para garantir a segurança e a confidencialidade dos dados, de modo a evitar a sua adulteração, perda, consulta ou tratamento não autorizados. A fórmula importa, e do ponto de vista do governo lê-se com atenção: a lei não se contentou com medidas técnicas. Exigiu, em pé de igualdade, medidas organizativas. Dentro desse segundo bloco vive tudo o que uma política interna, um programa de awareness e uma formação eficaz podem aportar. Na prática de qualquer framework de gestão, isso é um controlo, e os controlos gerem-se, medem-se e evidenciam-se.

O artigo 10 acrescenta o dever de confidencialidade: os responsáveis e quem intervenha em qualquer fase do tratamento estão obrigados ao sigilo profissional, obrigação que subsiste mesmo depois de terminada a relação com o titular do arquivo. Essa frase tem uma consequência operacional que muitos programas ignoram: o dever não se desliga no dia em que o colaborador sai. Se a formação não cobriu esse ponto e não ficou registada, a organização fica sem forma de provar que o comunicou.

A regulamentação da autoridade de aplicação tem vindo a precisar o que se entende por “medidas técnicas e organizativas” do artigo 9: a designação de um responsável interno, a documentação de políticas, os controlos de acesso e a formação periódica do pessoal. A AAIP não inventa esses requisitos. Deriva-os do próprio artigo 9 e torna-os exigíveis em sede administrativa. Para quem gere a conformidade, são os mesmos controlos que qualquer framework de segurança da informação reconhece como básicos.

A distância entre cumprir a lei e poder prová-lo

Convém explicitar um ponto antes de avançar, porque é aí que muitos programas se desfazem: cumprir a Lei 25.326 é uma coisa, poder prová-lo é outra. A diferença parece subtil. Numa auditoria ou numa inspeção é a que decide se tudo termina com um auto favorável ou com um processo aberto.

A lei não detalha como se prova o cumprimento, porque isso pertence à atividade probatória geral da organização. Mas o regime sancionatório do artigo 31 (advertências, multas, suspensões, encerramentos) opera, por definição, sobre factos que têm de ser demonstrados. Sem evidência, o cumprimento é uma afirmação. Com evidência, é um facto que se pode sustentar perante o órgão de controlo. Quem vem do mundo da gestão de risco conhece bem essa distância: um controlo que existe mas não deixa rasto é, para efeitos práticos, um controlo que não se pode auditar.

Para um programa de awareness isto significa que cada ação formativa, cada política aceite e cada lembrete enviado têm de deixar um rasto verificável. Não basta que o colaborador tenha recebido o curso. É preciso saber quem, quando, que versão do conteúdo e sob que credenciais o recebeu. A pergunta operacional, então, deixa de ser “formámos o pessoal?” e passa a ser “o que podemos exportar no dia em que a autoridade o pedir?”.

Pormenor visto de cima de fichas de arquivo empilhadas com etiquetas coloridas e uma fita com marca temporal entre duas fichas

O que tem de registar o seu programa para resistir a uma inspeção da AAIP?

As inspeções e as auditorias que acabam bem são as que assentam num conjunto reduzido mas firme de registos. Estes são os seis que, na minha experiência a gerir conformidade, todo o programa de awareness deveria ter disponíveis para uma autoridade de controlo:

  1. Aceitação verificável da política de tratamento de dados pessoais. Não a assinatura genérica ao entrar na empresa, mas a aceitação expressa, datada e ligada ao utilizador, da política específica em vigor no momento da leitura. Se a política foi atualizada, o registo tem de poder identificar contra que versão foi prestado o consentimento.

  2. Comprovativo de formação com data, conteúdo e autenticação. Um comprovativo genérico (“realizou o curso de proteção de dados”) é fraco. O comprovativo sólido indica a versão do módulo, a data de início e de fim, a duração efetiva e a identificação do colaborador através de credenciais corporativas, não por autodeclaração.

  3. Registo de aprovação, não apenas de presença. Para os efeitos do artigo 9 importa que o conteúdo tenha sido compreendido, não que o colaborador tenha aberto o curso. A evidência pertinente inclui o resultado de uma avaliação (questionário, simulação ou equivalente) com um limiar de aprovação documentado.

  4. Rastreabilidade das atualizações da política e do programa. A AAIP pode perguntar quando foi incorporado no programa um determinado dever (por exemplo, a cifragem de bases ou o reporte interno de incidentes) e a partir de que data cada colaborador estava obrigado a conhecê-lo. Sem um histórico versionado, essa pergunta fica sem resposta.

  5. Evidência da comunicação de obrigações posteriores ao fim da relação. O artigo 10 estabelece que o dever de confidencialidade subsiste após o fim da relação. A boa prática é comunicar esse dever expressamente, registá-lo e conservar o comprovativo durante o prazo de prescrição aplicável.

  6. Documentação do responsável interno que coordena o programa. Ato de designação, âmbito da função, critérios sob os quais aprova a política e assinatura dos entregáveis. A AAIP dirige-se normalmente a uma pessoa concreta, e a pergunta de quem responde pelo programa não se resolve no momento.

A lista não é taxativa, e o peso relativo de cada item varia consoante o setor da organização (financeiro, saúde, retalho, setor público), a sua dimensão e a sensibilidade dos dados que trata. Mas nenhum programa sério pode prescindir dos seis ao mesmo tempo.

E se o seu programa só prova que o colaborador abriu o curso?

Imaginemos um cenário frequente. Uma organização sofre um incidente: é divulgada uma base com dados pessoais de clientes. A denúncia chega à AAIP. A autoridade pede, entre outras coisas, evidência da formação recebida pelo pessoal com acesso a essa base. A organização apresenta uma lista: “todos os colaboradores realizaram o curso de proteção de dados”. A AAIP pede o detalhe. O sistema só regista cliques de abertura.

Esse cenário ilustra um défice recorrente. O que um clique de abertura prova é que o colaborador, a certa altura, acedeu ao recurso. Não prova que o tenha lido, nem que o tenha compreendido, nem que a versão a que acedeu contivesse o ponto em discussão. Perante uma autoridade de controlo, uma evidência tão escassa raramente chega, e deixa a organização na posição mais incómoda de qualquer processo de conformidade: ter o controlo mas não o poder mostrar.

A isto soma-se um elemento que convém gerir desde o desenho: a integridade da evidência do registo de formação. O que está em jogo é poder demonstrar que o registo não foi alterado depois de gerado, que a sua data é autêntica e que a atribuição ao colaborador é íntegra. Uma folha de cálculo editável à mão não satisfaz esse padrão. Um registo gerado por um sistema com marca temporal, identificação de utilizador e log de acesso, sim. Essa diferença, que parece técnica, é na verdade de governo: define quanto vale a sua evidência no dia em que alguém a questiona.

No regime do artigo 31, a advertência é o degrau mais leve e as multas e os encerramentos os mais severos. A intensidade da sanção responde à gravidade da conduta, mas também ao grau de diligência que a organização consiga provar. Ter evidência sólida é, em termos de gestão de risco, o principal fator de mitigação perante o órgão de controlo.

O que muda com a reforma pendente da 25.326?

A Lei 25.326 foi aprovada em 2000 e, desde então, atravessou reformas regulamentares sucessivas. Nos últimos anos, os projetos de reforma que deram entrada no Congresso procuram aproximar o regime argentino dos padrões contemporâneos, em particular do Regulamento Geral sobre a Proteção de Dados europeu (GDPR). Enquanto a aprovação definitiva não se concretiza, o prudente é ler o debate como um roteiro do que a AAIP começará a exigir quando o texto entrar em vigor.

Entre os eixos que esse debate vem insinuando, quatro tocam diretamente um programa de awareness:

  • Reforço do regime sancionatório, com multas escalonadas em função da faturação da organização (lógica GDPR).
  • Figura do Encarregado da Proteção de Dados (DPO) como papel formal em organizações que tratam dados em grande escala, com funções precisas em matéria de formação e supervisão interna.
  • Registo de atividades de tratamento documentado, que obriga a mapear quem trata que dados, com que finalidade e sob que medidas, e a poder mostrá-lo à autoridade.
  • Notificação de violações à autoridade e aos titulares em prazos curtos, o que valoriza a formação prévia do pessoal sobre deteção e reporte interno de incidentes.

A minha recomendação operacional é simples: começar a registar hoje como se a reforma já estivesse em vigor. As medidas que a 25.326 exige sob a fórmula ampla do artigo 9 são, em grande parte, as que a reforma exigirá de forma explícita. Antecipar-se não é esforço perdido: é o prazo que a organização ganha quando o texto for publicado.

Como estruturar a evidência que a lei lhe vai pedir

Chegados a este ponto, a pergunta torna-se operacional: como organizar o programa para que a evidência exista, seja íntegra e esteja disponível num tempo razoável? O critério que aplico resume-se a uma ideia: a evidência não se constrói no fim, constrói-se desde o desenho.

Isto traduz-se em três movimentos. Primeiro, integrar o registo no fluxo normal do programa: cada leitura de política, cada conclusão de módulo, cada aprovação de avaliação tem de gerar o seu comprovativo automaticamente, sem ação adicional do colaborador nem do responsável. Segundo, garantir a integridade desses comprovativos: identificação robusta do colaborador, data verificável e ligação à versão do conteúdo em vigor no momento da ação. Terceiro, conservar os comprovativos pelo prazo que a prescrição aplicável exigir e poder exportá-los em formato auditável.

Plataformas como a SMARTFENSE estão desenhadas, por omissão, com essa lógica: cada ação do colaborador sobre o conteúdo (leitura, aceitação, conclusão, aprovação) fica registada com data, autenticação de utilizador, versão do recurso e rastreabilidade de alterações. Para um responsável de conformidade na Argentina, isso deixa de ser uma característica de produto e passa a ser a resposta operacional ao artigo 9 da Lei 25.326.

Vale a pena lembrar que a primeira abordagem deste blogue sobre a Lei 25.326 percorreu o ângulo da formação como requisito normativo, complementar ao que desenvolvo aqui. Quem procura uma visão mais geral sobre a articulação entre enquadramento legal e programa de sensibilização pode consultar também a reflexão sobre o cumprimento normativo como compromisso sustentado e a análise sobre perfis psicológicos e a sua admissibilidade legal. A secção de recursos de conformidade reúne materiais adicionais para responsáveis de segurança e compliance officers.

A modo de conclusão

A Lei 25.326 está connosco há um quarto de século. Em todo esse tempo, a sua exigência central, as medidas técnicas e organizativas do artigo 9, manteve-se quase inalterada. O que mudou, e muito, é o nível de evidência que a autoridade espera ver para considerar cumprido esse dever. Um programa de awareness que em 2005 sobrevivia com uma folha de presenças, hoje fica curto.

A pergunta que vale a pena levar não é se a organização cumpre a 25.326. É se conseguiria prová-lo amanhã perante uma inspeção da AAIP. Se a resposta exige um esforço de reconstrução, convém antecipar-se: a reforma em debate não vai flexibilizar o padrão de evidência, vai endurecê-lo. E para quem gere risco, isto não acaba na sanção evitada. Um programa que prova o que faz sustenta a confiança de clientes, reguladores e direção, e essa confiança é, no fundo, uma condição da continuidade do negócio.

Share:

Share on LinkedIn Share on Pinterest Share on WhatsApp
Post Tags :
Carla Caggiano, autora del blog SMARTFENSE

Carla Caggiano

Ejecutiva en Gobierno, Riesgo y Cumplimiento (GRC), Seguridad de la Información y Continuidad del Negocio, con más de 8 años liderando equipos y proyectos en banca, salud y tecnología. Diseña e implementa marcos basados en ISO 27001, ISO 22301 e ISO 31000, y traduce regulaciones complejas (SOX, NIST, GDPR, DORA, COBIT) en soluciones aplicables y sostenibles.

Deixe um comentário

Pesquisa

Publicações recentes

Nuvem de etiquetas

cibersegurança ciso conteúdos entrenamiento formação e sensibilização hardening do utilizador mudança de comportamento módulos interativos ocultado de estadísticas phishing plano de sensibilização ransomware sensibilização smartfense whitelist

Blogue espanhol

No blogue espanhol, temos centenas de publicações para ler

Ir para o blogue espanhol