Artigos
Como iniciar um projeto de adequação à LGPD?

C:\Users\giarl\Google Drive\Artigos Giarllarielli - Advogados\Publicações - site\LGPD\Como iniciar um projeto de adequação à LGPD

Neste artigo, vamos comentar sobre os principais pontos que devem ser observados em um projeto de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018)

Primeiramente, é preciso esclarecer que não existe nenhum modelo que enquadre todas as empresas  que buscam iniciar um projeto de adequação à LGPD.

Em outras palavras, cada projeto deverá ser elaborado de acordo com as necessidades das empresas.

Assim, a intenção desse artigo é apontar o melhor caminho para quem está buscando informação sobre como iniciar um projeto de adequação.

Dessa forma, dividimos os principais pontos em tópicos, vejamos:

1. Conhecer o caminho dos dados

Os sócios e a alta direção das empresas precisam saber qual é o “caminho” dos dados.

A princípio, pode parecer estranho, mas muitos empresários não sabem quais informações suas empresas solicitam aos seus clientes para prestar seus serviços ou vender seus produtos.

Aliás, devido à complexidade do mundo digital em que vivemos, é cada vez mais difícil saber quem tem acesso ao banco de dados de uma empresa, por exemplo:

  • Uma loja virtual deve saber quem tem acesso aos dados dos seus clientes e quais informações são solicitadas no momento da compra.

Assim, a loja virtual  é a controladora e responsável pelo tratamento dos dados, ou seja, ela tem a obrigação legal de saber e garantir que sua gestora de mídias sociais, site, marketing etc. está usando os dados conforme as regras da LGPD.

Ademais, na prática – por falta de conhecimento técnico – é comum que as empresas deleguem a gestão das lojas virtuais sem se preocupar com a privacidade e proteção de dados de seus clientes.

1.1 Mapeando os dados

Uma excelente forma de mapear os dados é por meio da criação de uma política privacidade, visto que para elaborá-la é necessário esclarecer pelos menos os seguintes pontos:

  • Quem é o controlador dos dados e se há um ou mais operadores
  • Quais tipos de dados são coletados
  • Como os dados são coletados
  • Quem têm acesso aos dados
  • Quais finalidades e bases legais são utilizadas para o tratamento de dados
  • Se os dados  são compartilhados com terceiros
  • Como são armazenados os dados e por quanto tempo
  • Destacar quais são os direitos dos titulares
  • Definir quem será o o encarregado de dados
  • Disponibilizar um canal de acesso (fale conosco, e-mail etc.) para que os titulares possam entrar em contato e exigir seus direitos

Outrossim, existem outros pontos que deverão ser observados em uma política de privacidade.

Entretanto, se a empresa conseguir mapear e definir esses itens acima destacados, provavelmente, já terá dado um grande passo a fim de iniciar um projeto de adequação à LGPD.

2. Descobrir como e quais dados são coletados

Agora, é de extrema importância que a empresa saiba como os dados estão sendo coletados e para qual finalidade.

Nesse sentido, visando a segurança jurídica, recomendamos que as empresas obtenham o consentimento de seus clientes antes de solicitarem sua informações.

Além disso, de acordo com o princípio da necessidade, a empresa/controladora deve coletar o mínimo de informações possíveis para executar as suas atividades, por exemplo:

  • Uma loja virtual de sapatos não precisar perguntar ao seu cliente qual é o seu estado civil para formalizar um compra.

Por outro lado, para concretizar a compra é necessários obter as seguintes informações:

  • nome completo
  • CPF
  • endereços
  • forma de pagamento e
  • outros dados que sejam necessários para concretizar o negócio

Aliás, outro ponto importante é saber qual a base legal que está sendo utilizada para o tratamento de dados.

3. Criar e rever as medidas de segurança da informação

Em síntese, segurança da informação tem como objetivo proteger a confidencialidade (privacidade), integridade (garantir que os dados não sejam alterados de forma indevida) e disponibilidade das informações das empresas, que muitas das vezes são os seus maiores ativos.

O controle de acesso à informação é uma das medidas de segurança, vejamos alguns exemplos:

  • proteger documentos sigilosos por meio de um cofre
  • utilizar login com senha para acessar determinado arquivo digital
  • identificar funcionários por meio de crachá
  • autenticação de dois fatores, entre outros

Em outras palavras, um controle de acesso define quais pessoas tem autorização para acessar uma determinada informação.

Por último, caso tenha interesse em aprofundar o assunto, recomendo a leitura do Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte.

4. Adequação dos contratos e demais documentos à LGPD

É necessário adequar os contratos (e demais documentos)  – mediante aditivos contratuais – alterando, em especial, as cláusulas que versam sobre tratamento de dados pessoais a fim de preservar a privacidade e segurança dos titulares.

5. Definir quem será o encarregado

É fundamental para uma empresa que busca estar em conformidade com a LGPD nomear um encarregado, também conhecido como Data Protection Officer (DPO).

Nesse sentido, o encarregado irá auxiliar a empresa a implementar o projeto de adequação à LGPD, tendo como sua principais funções:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
  • receber comunicações da autoridade nacional (ANPD) e adotar providências
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
  • e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
5.1 Quem pode ser o encarregado?

De acordo com as  diretrizes da ANPD, o encarregado pode ser:

  • um funcionário da empresa
  • um agente externo
  • pessoa física ou jurídica

É recomendável que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.

6. Buscar auxilio de consultoria jurídica e de tecnologia da informação (TI)

Devido à complexidade da LGPD, é fundamental que os empresários busquem ajuda dos profissionais especializados na área de proteção de dados para iniciar um projeto de adequação.

Informações adicionais

Esperamos que você tenha aproveitado esse material para iniciar o seu projeto de adequação.

Por último, recomendamos a leitura deste outro artigo onde comentamos sobre os benefícios da implementação da LGPD.

Gustavo Giarllarielli

logo
Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!