Artigos
Adequação à LGPD – Veja como iniciar

Adequação à LGPD: vamos abordar quais sãos os primeiros passos a fim de adequar a sua empresa.

Em primeiro lugar, é preciso esclarecer que não existe nenhum modelo padrão para adequar as empresas à Lei Geral de Proteção de Dados Pessoais (LGPD)

Em outras palavras, cada projeto de adequação deverá ser implementado de acordo com a realidade da companhia.

Então, a finalidade desse artigo é apontar o melhor caminho rumo à adequação à LGPD.

Contudo, para compreendermos a LGPD é necessário explicar, em primeiro lugar, os termos técnicos, vejamos:

1. Qual é o objetivo da LGPD ?

A LGPD dispõe sobre o tratamento de dados pessoais, seja  por meio físico ou digital, realizado por pessoa física ou por pessoa jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas.

1.1  Tratamento de dados pessoais

Qualquer operação que processe dados de pessoas naturais.

Por exemplo:

  •  coleta, armazenamento, compartilhamento, retenção etc.
1.2 O que são dados pessoais?

Dados pessoais são informações de pessoas naturais que, direta ou indiretamente identificam um indivíduo (titular de dados).

A informação direta é aquela que permite a imediata individualização da pessoa.

A informação indireta, por sua vez, é a que permite, por meio da reunião de dados, chegar à identificação do sujeito.

Por exemplo:

  • identificação direta: nome completo.
  • identificação indireta: endereço, profissão, características físicas, nome etc.
1.3 Titular dos dados

O titular dos dados é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Por exemplo:

  • um consumidor  que entrega seus dados pessoais para obter algum desconto em uma loja. Logo, o consumidor é o titular dos dados.
1.4 Agentes de tratamento de dados pessoais

Podem ser pessoas físicas ou pessoas jurídicas que tratam dados pessoais com finalidade econômica.

Em outras palavras, a Lei não é aplicada para pessoas físicas com fins exclusivamente particulares e não econômicos.

Os agentes de tratamento são classificados como controlador e/ou operador. 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

1.5  Bases legais

A LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá ser utilizado dados pessoais com fundamento em, pelo menos, uma das 10 bases legais previstas no art. 7.

Vejamos, portanto, as base legais no âmbito da atividade privada:

  •  consentimento pelo titular;
  •  cumprimento de obrigação legal ou regulatória pelo controlador;
  •  execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  • Tutela da Saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • e para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Desse forma, esclarecemos alguns dos principais termos técnicos que envolvem a LGPD.

2. Conhecer o caminho dos dados

Primeiramente. os sócios e a alta direção das empresas precisam saber qual é o “caminho” dos dados.

A princípio, pode parecer estranho, mas muitos empresários não sabem quais informações são coletadas dos seus clientes.

Aliás, muitas organizações compartilham dados com terceiros sem obter o consentimento dos titulares de dados.

Além disso, devido à complexidade do mundo digital, é cada vez mais difícil mapear quem tem acesso ao banco de dados.

Nesse sentido, por falta de conhecimento técnico,  é comum que as empresas deleguem a gestão dos dados sem se preocupar com a privacidade e proteção de dados: que é a base de um projeto de adequação à LGPD.

Desse modo, a alta direção da empresa precisa deve compreender como funciona todo o ciclo de vida dos dados (coleta, processamento, transferência, armazenamento e descarte).

2.1 Mapeando os dados – Adequação à LGPD

Adequação-LGPDUma excelente forma de mapear os dados é por meio da criação de uma política privacidade, pois para elaborá-la é necessário esclarecer os seguintes pontos:

  • Quem é o controlador dos dados e se há um ou mais operadores
  • Quais tipos de dados são coletados
  • Como os dados são coletados
  • Quem têm acesso aos dados
  • Quais finalidades e bases legaiso utilizadas
  • Se há compartilhado com terceiros
  • Como são armazenados os dados e por quanto tempo
  • Informar os direitos dos titulares
  • Indicar um Encarregado
  • Disponibilizar um canal de contato para que os titulares exerçam seus direitos
  • Informar as medidas se Segurança da Informação

Desse modo, se a empresa conseguir implementar os itens destacados, a princípio, já terá dando um grande passo rumo à adequação à LGPD.

3. Criar e rever as medidas de Segurança da Informação (SI)

Em síntese, Segurança da Informação (SI) tem como objetivo proteger a confidencialidade (privacidade), integridade (garantir que os dados não sejam alterados de forma indevida) e disponibilidade das informações.

Vejamos, então, algumas medidas de SI que podem ser  aplicadas, por exemplo:

  • Controle de acesso à informação: disponibilização de login – individualizado e identificável – para cada colaborador com restrições de acesso.
  • Segurança Física: portões e portas com trava reforçadas, entrada somente de pessoas autorizadas, câmeras de vigilância, alarmes, proteção contra incêndio, etc.

Portanto, existem diversas camadas de proteção que envolvem o tema SI.

Porém, deve ser identificado os riscos de SI e qual a melhor forma, dentro da capacidade econômica da empresa, de saná-los,  diminui-los, ou aceitá-los.

Aliás, a fim de auxiliar as empresas a Autoridade Nacional de Proteção de Dados (ANPD) elaborou uma Guia Orientativo sobre Segurança da Informação.

4. Adequação dos contratos à LGPD

Durante a adequação à LGPD, é fundamental verificar como e com quem os dados estão sendo compartilhados.

Em especial, em se tratando de fornecedores, colaborados, parceiros comerciais ou empresas terceirizadas.

Nesse sentido, o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados, causar dano individual ou coletivo, em violação à LGPD, será obrigado a repará-lo.

Ademais, para assegurar o cumprimento das diretrizes da LGPD e da ANPD no âmbito contratual,  deve ser definido seguintes pontos:

  • identificar o controlador, o operador e se há a figura do suboperador;
  • o controlador deve definir as finalidades do tratamento de dados;
  • verificar se é preciso coletar consentimento dos titulares;
  • analisar e revisar as bases legais que autorizam o tratamento de dados;
  • quais dados serão compartilhados;
  • definir as condições do término de tratamento de dados;
  • descrever as medidas de segurança técnica e organizacional que deverão ser tomadas;
  • obrigação de comunicar o controlador nos casos de incidentes de Segurança da Informação (SI);
  • definir um plano de respostas no caso de incidentes, por exemplo: vazamentos de dados;
  • apontar a responsabilização dos contratantes no caso incidentes de segurança.
5. Conformidade e Documentação – Adequação à LGPD

Uma das melhores forma de comprovar que uma determinada empresa está em conformidade com a LGPD é por meio de provas documentais.

Desse modo, no âmbito da LGPD os principais documentos de adequação são:

  • Relatório de Impacto à Proteção de Dados Pessoais (RIPD);
  • Contratos de Tratamento de Dados com seus parceiros comercias;
  • Politicas de Privacidade;
  • Política de Segurança da Informação;
  • Códigos de Conduta;
  • Contrato de prestação de serviços ou um ato administrativo para indicação do Encarregado;
  • Termos de uso;
  • Termos de confidencialidade;
  • Modelo de coleta de consentimentos e autorizações;
  • entre outros.

Porém, destacamos que a finalidade da documentação não está somente ligada a comprovar a conformidade com a LGPD.

Visto que, uma empresa que respeita à privacidade e protege os dados pessoais de seus clientes aumenta o seu valor e a sua credibilidade.

Atualmente, as grandes e médias empresas estão exigindo que seus parceiros comerciais demonstrem responsabilidade com o tratamento de dados.

Nesse sentido, imagine o diferencial competitivo que sua empresa terá se, antecipadamente, apresentar o documentação acima apontada.

6. Definir quem será o Encarregado

É fundamental para uma empresa que busca a adequação à LGPD nomear um Encarregado, igualmente conhecido como Data Protection Officer (DPO).

Em outras palavras, o Encarregado irá auxiliar a empresa implementar a LGPD, suas principais funções são:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
  • receber comunicações da autoridade nacional (ANPD) e adotar providências
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
  • e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
6.11 Quem pode exercer esse cargo?

De acordo com as orientações  da ANPD,  o DPO pode ser representado por:

  • pessoa física, podendo ser um funcionário da organização ou um agente externo
  • pessoa jurídica, normalmente, são empresas especializadas a fim de atuar como “DPO as a service

Em regra, é obrigatório a indicação do Encarregado – artigo 41 da LGPD.

No entanto, houve a dispensa da indicação para os agentes de tratamento de pequeno porte.

Neste caso, deverá ser disponibilizado um canal de comunicação (por exemplo, e-mail) com o titular para:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
7. Buscar auxilio de consultoria jurídica e de tecnologia da informação (TI)

Portanto, devido à complexidade da LGPD, é fundamental que os empresários busquem ajuda dos profissionais especializados na área de proteção de dados.

____________________________

Dúvidas sobre como iniciar a adequação à LGPD ?

Entre em contato conosco via WhatsApp ou e-mail: contato@giarllarielli.adv.br

Gustavo Giarllarielli

logo
Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!