LGPD na prática: nossos caminhos para a adequação das empresas

LGPD

Sumário

Almeida Prado e Hoffmann
Almeida Prado e Hoffmann
Almeida Prado & Hoffmann Advogados Associados é um escritório que, ao longo dos anos, vem desenvolvendo relevantes trabalhos na área do Direito Empresarial, tanto preventivamente como em sede administrativa e judicial.

“As montadoras hoje não entregam um carro sem sistema de freios, espelhos retrovisores, ABS, airbags frotais, materiais internos inflamáveis, entre outros itens. Muitos desses não eram, inclusive, itens de série nos veículos de 40 anos atrás, ou não tinham seu uso aplicado em massa. Dentro do contexto da época, alguns desses acessórios eram considerados dispensáveis sob a perspectiva do fabricante e dos proprietários. As estáticas do trânsito demonstram, hoje, como um dia já subestimamos as questões de segurança.” 

Esse exemplo de Claudinei Vieira, extraído do livro “Lei Geral de Proteção de Dados (LGPD): Manual de Implementação”, ilustra muito bem a dimensão do cenário atual de proteção de dados e toda a revolução (e evolução) que a economia de dados provocou nos últimos dez anos, já que vem seguindo um caminho muito similar ao abordado no exemplo acima. Essa transformação vem causando rebuliço em todo o mercado, de grandes players de tecnologia, passando por telecomunicações, bancos, seguradoras, montadoras, governo, varejo e startups, pois escancara os gaps nas práticas corporativas e na gestão de negócios das empresas, no que tange à privacidade e proteção de dados.

Amparo legal da proteção de dados

As leis de privacidade são movimentos naturais que surgem para direcionar e trazer equilíbrio necessário entre inovação e proteção de dados. A necessidade dessas leis é inquestionável, assim como a necessidade de a empresa buscar se adequar aos seus princípios e mandamentos. 

Nesse mesmo sentido, a proteção de dados recentemente encontrou amparo constitucional recebendo o status de direito fundamental e se tornou um direito absoluto que nenhuma lei, sem quórum devidamente qualificado, pode alterar. Essa aprovação fortalece todo o arcabouço legislativo da LGPD, que, em essência, tem por objetivo proteger os direitos fundamentais de liberdade e de privacidade, conforme determinado em seu artigo 1º. 

Muitas empresas ainda adotam como estratégia o “quanto mais dados, melhor”, armazenando dados que estão muito além da real finalidade para o seu negócio. Esse pensamento deve ser adaptado à nova realidade, uma vez que a LGPD não foi promulgada com o escopo de inibir ou coibir a utilização de dados pessoais na concepção de produtos ou serviços. 

A lei apenas busca tutelar ao titular o direito de ter ciência e pleno domínio sobre a maneira que os seus dados são utilizados, permitindo ou não sua utilização. Portanto, a coleta de dados deve ser norteada, primordialmente, observando-se a boa fé e os princípios fixados no artigo 6º da LGPD, destacando-se a finalidade, a transparência e necessidade. 

Adequação

A adequação da empresa às normas da LGPD será desenhada com base na implementação de um Programa de Privacidade e Proteção de Dados, composto por diversas frentes e fases, tendo como objetivos principais: 

  • Estratégia; 
  • Governança;
  • Ferramentas; 
  • Gestão da Mudança – conscientização, treinamento.  

Conscientização para a LGPD

A via inicial para que esse caminho de implementação da LGPD seja realmente efetivo é a conscientização.  Um bom Programa de Adequação deve investir (sempre e continuamente) em propagar a cultura de proteção à privacidade dentro da empresa, sendo este passo essencial para o desenvolvimento satisfatório e para a sustentabilidade do projeto. Tendo em vista que pessoas são o elo mais fraco de toda a cadeia de tratamento de dados, logo o programa deve contemplar um plano de conscientização e treinamento contínuo de todos os funcionários e parceiros.

E para construí-la os conceitos da nova lei deverão ser difundidos e disseminados em toda estrutura das organizações. Cada colaborador deverá estar ciente sobre o papel que irá exercer e quanto ao impacto da nova lei em sua atividade diária. Daí a importância de se construir um ambiente capaz de engajar e orientar os colaboradores em relação à importância e às vantagens advindas da observância dos requisitos da LGPD. 

Neste sentido, treinamentos periódicos sobre a lei são necessários para que se abram canais de discussão e esclarecimentos e seu conteúdo deverá ser customizado para a realidade de cada empresa. É muito importante que os funcionários saibam a quem ou a que canais recorrer em caso de dúvidas (e, com certeza, elas surgirão). 

Mapeamento

Assim sendo, em linhas gerais, além da conscientização da equipe o Programa de Implementação tem outras possíveis cinco fases. Após a introdução de uma cultura de privacidade, uma das mais importantes etapas da jornada de Adequação é o Mapeamento (data mapping). Nessa fase, iremos realizar uma espécie de raio-x da empresa. É quando será elaborado um inventário completo dos dados pessoais tratados pela empresa, seja em meio digital ou físico. Trata-se de uma etapa de verdadeiro autoconhecimento da organização. É a partir do mapeamento que será possível avaliar o volume e sensibilidade dos dados que são tratados e a complexidade de seus processos e, assim, compreender os aspectos necessários para a aplicação da base legal. 

Geralmente, é uma das etapas mais demoradas do diagnóstico para implementação do programa de adequação, mas deve ser desempenhada com muita cautela, pois o seu resultado é determinante para os próximos passos e direcionará todo o processo de implementação.

Para se iniciar o mapeamento dos dados pessoais de uma empresa, primeiramente será feito um estudo do organograma da companhia, identificando as principais áreas que podem, de alguma forma, ter algum tipo de dado pessoal e assim, será criado um cronograma de entrevistas que abranja todas as áreas impactadas.

Para realizar o mapeamento de cada setor da empresa devem-se identificar quais as pessoas-chave de cada área ou subárea que participarão de entrevista individual na qual serão extraídas as informações acerca do tratamento de dados realizado durante suas atividades.

Em seguida, será realizada a análise de não conformidade, ou seja, serão avaliadas as eventuais não conformidades com a lei (ausência da figura do DPO ou encarregado, por exemplo), os riscos envolvidos com a elaboração de uma matriz de risco e, por fim, o relatório de diagnóstico elencando quais os maiores riscos considerando impacto x probabilidade, podendo ainda serem divididos em riscos legais, técnicos, éticos (imagem) e residuais.

Planejamento

O próximo passo do projeto de Adequação é o Planejamento. Para esse estágio fluir de maneira satisfatória é importante trabalhar em conjunto a área de segurança da informação da empresa (ou eventualmente com a equipe de consultoria especializada que indicamos para esse fim). No planejamento, deverão ser decididas quais as prioridades (considerando inclusive orçamento), tempo de implementação e quais os responsáveis por qual atividade, por meio da elaboração de uma matriz de responsabilidade RACI (responsável, aprovador, consultado e informado).

Implementação

Por sua vez, a fase de Implementação é o momento em que deverão ser adotados os melhores critérios de governança e segurança da informação. A estratégia de privacidade e estrutura de governança necessita de políticas de privacidade definidas, as quais deverão ser implementadas, divulgadas e monitoradas, e será nessa fase que serão elaboradas a política corporativa de proteção de dados, a política de uso do site e demais canais, a política de cookies e a política de segurança da informação.  Nessa etapa também ocorrerá a nomeação de um DPO (que pode ser externo), caso ainda não tenha sido feito, bem como a revisão dos contratos vigentes ou elaboração de novos instrumentos, tudo em conformidade com os sistemas de segurança de informação cuja instalação seja considerada imprescindível.

Monitoramento

Por último, é fundamental realizar o Monitoramento, pois não basta obviamente apenas implementar um sistema, é preciso garantir que haja efetividade quando confrontado o Programa com a LGPD, bem como que esteja sempre atualizado com as últimas determinações da ANPD (Autoridade Nacional de Proteção de Dados), e que, necessariamente, contenha as melhores práticas do mercado. Pode-se mesmo dizer que esta etapa é permanente.

Leia também: Como a APH implementa a LGPD através de um DPO competente

Siga nosso Instagram: @aphoffmannadv

LGPD
Compartilhe:
Facebook
Twitter
LinkedIn

Deixe um comentário

O seu endereço de e-mail não será publicado.

Rolar para cima

E-Book Gratuito

Manual prático de como adequar uma empresa à LGPD

A LGPD está em vigor. Você sabe qual a importância de adequar sua empresa para que não receba uma multa?