IMPLEMENTAÇÃO DA LGPD – UM PROJETO MULTIDISCIPLINAR
A LGPD (Lei Geral de Proteção de Dados) surgiu no ordenamento jurídico brasileiro tendo como objetivo principal regulamentar o tratamento dos dados pessoais, disciplinando a forma como este tratamento deve ser realizado pelos operadores e controladores e prevendo sanções jurídicas para o caso de descumprimento.
Todas as organizações (pessoas físicas, jurídicas e entidades de direito público) que realizem qualquer tipo de tratamento de dados pessoais devem se adequar às novas normas trazidas pela LGPD.
A implementação da LGPD em uma organização trata-se de um projeto multidisciplinar, ou seja, necessita da participação de diversos setores da empresa.
Para que o projeto de implementação seja eficiente, é necessária a conscientização de todos os envolvidos no tratamento de dados sobre a importância e necessidade de adequação à LGPD, incluindo os sócios, diretores e demais lideranças da empresa.
Isto porque a conscientização desses líderes sobre a mudança de cultura acerca do tratamento de dados pessoais é indispensável para o sucesso do projeto, já que serão eles que multiplicarão as boas práticas implementadas por toda a empresa, através de treinamentos, eventos de conscientização e canais diretos de comunicação com os demais empregados.
Ademais, a participação de uma equipe multidisciplinar no projeto é fundamental para que seja possível observar, através de diversos pontos de vista, cada item requerido pela lei. Assim, as soluções tendem a ser mais eficazes.
A primeira etapa para um projeto de implementação da LGPD é a criação de um comitê executivo multidisciplinar para desenvolvimento e acompanhamento do projeto, sendo que este abrangerá toda a empresa.
Esse comitê será composto por representantes dos mais variados setores, incluindo jurídico, TI (tecnologia da informação), comercial, RH, marketing, vendas, financeiro, compliance, enfim, de qualquer área que lide, direta ou indiretamente, com o tratamento de dados pessoais.
Vale ressaltar, aqui, a importância dos profissionais de segurança da informação no projeto, uma vez que a proteção de dados pessoais envolve também a disponibilidade, integridade e confidencialidade das informações, especialmente daquelas mantidas em meios digitais e que podem se tornar vulneráveis a incidentes de segurança, cada vez mais frequentes.
O comitê executivo será responsável por acompanhar todo o projeto de implementação e por tomar as decisões inerentes à adequação, após identificadas as desconformidades e apontados eventuais ajustes necessários.
Uma vez identificados os riscos e as desconformidades, a equipe multidisciplinar deverá elaborar um plano de ação visando a adequação da empresa, com a minoração dos riscos e vulnerabilidades.
É necessário que sejam revistos todos os processos internos, analisados os ciclos de vida dos dados pessoais tratados e realizado o registro dos tratamentos, conforme determinação legal.
Informações como as categorias de dados pessoais, as bases legais que autorizam o tratamento, o tempo de retenção, os riscos envolvidos e as medidas adotadas para minorar estes riscos deverão constar do registro.
Caso haja alguma desconformidade com a lei, deverão ser apontadas quais medidas serão tomadas para atender às recomendações legais.
Permeando as ações, estarão sempre as recomendações do jurídico, cujo principal papel é avaliar se as atividades de tratamento de dados estão entre as hipóteses legais autorizadoras e se o tratamento, quando autorizado, atende a todos os requisitos legais, inclusive aos princípios gerais.
Outro passo para a implementação é a definição do DPO (Data Protection Officer) que é o canal de comunicação entre os titulares dos dados, a empresa e a Autoridade Nacional de Proteção de Dados – ANPD.
Uma vez realizados o registro e as análises necessárias, a adequação à LGPD também envolve a criação de políticas de privacidade, avisos de privacidade e revisão de documentos, dentre eles os contratos firmados com terceiros.
Tais documentos deverão ser publicizados entre os interessados e, especialmente entre os empregados, deverão ser objeto de constante treinamento.
A LGPD ainda prevê a criação do documento denominado Relatório de Impacto de Proteção de Dados, cuja elaboração e exibição poderá ser exigida pela ANPD. Tal documento é voltado especialmente para a análise dos riscos que envolvem os tratamentos de dados que possam causar maiores danos aos titulares, a exemplo dos dados tratados com base no legítimo interesse do controlador e dos dados sensíveis.
Por fim, é importante mencionar que a implementação da LGPD não é um processo com início, meio e fim, de forma que a organização deve fazer a manutenção da proteção dos dados, sempre se atentando para permanecer de acordo com os ditames da lei.
Sem dúvidas, estamos diante uma necessária mudança de cultura. Mais do que um compromisso, a proteção dos dados deve ser um novo valor para as empresas, respeitado e promovido por todos.
Isabele de S. Alves Tavares
OAB/BA nº 33.941