5 primeiros passos para estar em conformidade com a LGPD
Neste artigo, apresentaremos os primeiros passos para que uma organização [1] comece a estar em adequação à Lei Geral de Proteção de Dados - LGPD.
Há diversas metodologias para realizar um Programa de Adequação à LGPD, sobretudo destacamos cinco passos gerais para estar em conformidade com a LGPD.
Primeiro passo: Estruturar
É fundamental criar e consolidar uma cultura de privacidade em cada organização.
Por isso, recomenda-se estruturar um Comitê de Proteção de Dados Pessoais (CPDP) e nomear o Encarregado de Dados Pessoais [2].
O CPDP reúne responsáveis pelas áreas que lidam com o tratamento [3] de dados pessoais [4] na empresa, esse Comitê funciona como outras áreas internas, por exemplo, área Jurídica, Recursos Humanos, Marketing. Cada membro do Comitê é responsável por auxiliar na implementação do Programa de Adequação à LGPD, de acordo com a realidade do setor da organização pelo qual é responsável.
A LGPD exige que o Encarregado de Dados Pessoais, também chamado de Data Protection Officer - DPO, seja nomeado para ser o meio de comunicação entre o Titular dos dados [5], o Controlador [6] e as Autoridades fiscalizadoras.
Para saber mais sobre as competências e qualificações do Encarregado, não deixe de conferir a explicação de cada cargo ao final do artigo, nas notas de rodapé.
Segundo passo: Mapear
Após estruturar a gestão do Programa, inicia-se a etapa de mapeamento dos dados pessoais e, posteriormente, dos riscos envolvidos no tratamento dos dados pessoais realizado pela empresa .
No mapeamento de dados pessoais, realiza-se um inventário de dados pessoais, cuja finalidade é documentar quais, onde e como os dados pessoais são tratados, sob a ótica dos princípios da LGPD.
Nesse sentido, o mapeamento dessas informações fornece insumos para a construção de um fluxo interno e externo dos dados pessoais tratados.
Após o detalhamento do Tratamento dos Dados Pessoais, pode-se identificar os riscos (gaps) à privacidade e proteção de dados pessoais, existentes em processos e documentos.
Os riscos podem ser mensurados mediante identificação do nível de probabilidade e impacto que um determinado tratamento pode provocar à privacidade e proteção dos dados pessoais dos titulares envolvidos.
Terceiro passo: Planejar
Com os dados pessoais e os riscos dos tratamentos mapeados, estabelece-se um Plano de Ação, a fim de mitigar os riscos encontrados. Ou seja, enquanto o segundo passo é identificar o que precisa se adequar, o terceiro é definir como adequar.
Nesse sentido, o Plano de Ação define atividades que devem ser realizadas mediante encaminhamentos técnicos e/ou administrativos aos responsáveis das áreas que realizam tratamento com riscos relevantes, conforme a LGPD.
Quarto passo: Implementar
Após planejar o que precisa ser feito para se adequar, pode-se executar as atividades anteriormente previstas para mitigar os riscos identificados.
Neste passo, realiza-se atividades diretas que criam ou revisam processos, contratos e políticas de segurança e privacidade, conforme a LGPD e regulamentações da Autoridade Nacional de Proteção de Dados - ANPD, órgão responsável por fiscalizar o cumprimento da legislação.
A implementação do programa também envolve treinamentos periódicos com gestores e colaboradores, a fim de conscientizar sobre boas práticas e as novas condutas em cada processo de tratamento, conforme a LGPD.
Ainda, deve-se produzir o Relatório de Impacto à Proteção de Dados Pessoais (RPID) [7], documentação que é exigível pela ANPD e descreve o tratamento que pode gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação.
Quinto passo: Monitoramento
Por fim, destaca-se o passo contínuo de monitoramento das atividades para que a empresa/entidade se mantenha em nível adequado de conformidade com a LGPD.
Além disso, o Encarregado precisa monitorar os processos internos, pois, em caso de incidente de segurança que possa acarretar risco ou dano, será necessário executar o plano de resposta com as devidas comunicações ao titular e à ANPD.
Vale ressaltar que cabe ao Comitê e Encarregado de Dados monitorar mudanças regulatórias que demandam por novas atividades de adequação.
Portanto, entende-se que é fundamental o comprometimento da alta administração, a capacidade de a organização identificar e agir para minimizar os riscos e o estabelecimento de eficientes canais de comunicação, internos e externos [8].
Orientações
Os passos iniciais para estar em conformidade com a LGPD são: estruturar, mapear, planejar e implementar, sobretudo monitorar é uma etapa contínua para a adequação.
A organização pode estar em conformidade com a LGPD, por meio da harmonia entre o Comitê, Encarregado e colaboradores focados em manter os dados pessoais mapeados e os seus tratamentos com riscos mitigados.
Por se tratar de uma tarefa complexa e multidisciplinar, a assessoria jurídica especializada é um ótimo auxílio, ao conferir conhecimentos técnicos e práticos de como se adequar à LGPD da maneira mais precisa dentro de uma organização.
Autora Wanessa Araújo
Notas de Rodapé: [1] Organização: qualquer entidade pública ou privada, como associação, empresa, entidades e órgãos. [2] Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) (Art. 5º, VII, LGPD). [3] Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5º, X, LGPD). [4] Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (Art.5º, I, LGPD). [5] Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (Art.5º, V, LGPD). [6] Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (Art.5º, VI, LGPD). [7] Relatório de Impacto de Proteção de Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco (Art.5º, XVII, LGPD) [8] FRAZÃO, 2019, p.699.
Referências Bibliográficas BRASIL, Lei No 13.709, de 14 de agosto de 2018. Brasília, DF. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm.
Carvalho et al. Relatório de Impacto à Proteção de Dados Pessoais: Aspectos práticos relevantes à luz da LGPD. Disponível em: https://bit.ly/2YF2CbP.
CCGD. Guia de Boas Práticas para Implementação da Lei Geral de Proteção de Dados na Administração Pública Federal. Disponível em: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boaspraticas-lei-geral-de-protecao-de-dados-lgpd.
FRAZÃO, Ana. Compliance de dados pessoais. Noções introdutórias para a compreensão da importância da Lei Geral de Proteção de Dados. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA , Milena D. (coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. 1 .ed. São Paulo: Thomson Reuters Brasil, 2019.
IAPP-EY. Annual Governance Report 2019. Disponível em: https://iapp.org/resources/article/iapp-ey-annual-governance-report-2019/ .
OECD. Guidelines for the Security of Information Systems and Networks — Towards a Culture of Security. Paris: OECD.