Artigos
Como iniciar um projeto de adequação à LGPD?

C:\Users\giarl\Google Drive\Artigos Giarllarielli - Advogados\Publicações - site\LGPD\Como iniciar um projeto de adequação à LGPD

Neste artigo, vamos comentar sobre os primeiros passos para iniciar um projeto de adequação à LGPD na sua empresa.

Primeiramente, é preciso esclarecer que não existe nenhum modelo padrão para adequar as empresas à Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018).

Em outras palavras, cada projeto de adequação deverá ser implementado de acordo com a realidade da companhia.

Logo, a finalidade desse artigo é apontar o melhor caminho para quem pretende se adequar à LGPD.

Contudo, para compreendermos as informações que seguem é necessário estudarmos os termos técnicos que foram introduzidos no direito brasileiro por meio da LGPD. Vejamos:

1 Termos técnicos
1.1 Qual é o objetivo da LGPD ?

A LGPD dispõe sobre o tratamento de dados pessoais, seja  por meio físico ou digital, realizado por pessoa física ou por pessoa jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas.

1.2. O que é tratamento de dados pessoais?

Qualquer operação que processe dados de pessoas naturais.

Por exemplo:

  •  coleta, armazenamento, compartilhamento, retenção etc.
1.3. O que são dados pessoais?

Dados pessoais são informações de pessoas naturais que, direta ou indiretamente identificam um indivíduo (titular de dados).

A informação direta é aquela que permite a imediata individualização da pessoa.

A informação indireta, por sua vez, é a que permite, por meio da reunião de dados, chegar à identificação do sujeito.

Por exemplo:

  • identificação direta: nome completo.
  • identificação indireta: endereço, profissão, características físicas, nome etc.
1.4 Quem é o titular dos dados?

O titular dos dados é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Por exemplo:

  • um consumidor (titular de dados) que entrega seus dados pessoais para obter algum desconto em uma loja. Logo, o consumidor é o titular dos dados.
1.5 Quem são os agentes de tratamento de dados pessoais?

Podem ser pessoas físicas ou pessoas jurídicas que tratam dados pessoais com finalidade econômica, ou seja, a Lei não é aplicada para pessoas físicas com fins exclusivamente particulares e não econômicos.

Os agentes de tratamento são classificados como controlador e/ou operador. 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

1.6. O que são as bases legais para tratamento de dados pessoais?

A LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá o controlador e/ou operador processar dados pessoais com fundamento em, pelo menos, uma das 10 bases legais previstas no art. 7.

Contudo, destacaremos as base legais no âmbito da atividade privada:

  •  consentimento pelo titular;
  •  cumprimento de obrigação legal ou regulatória pelo controlador;
  •  execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  • Tutela da Saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • e para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Portanto, esclarecemos alguns dos principais termos técnicos que envolvem a LGPD, todavia caso queiram  aprofundar mais esse os assunto, recomendamos  leitura do Guia LGPD.

2. Conhecer o caminho dos dados

Os sócios e a alta direção das empresas precisam saber qual é o “caminho” dos dados.

A princípio, pode parecer estranho, mas muitos empresários não sabem quais informações suas empresas solicitam aos seus clientes para prestar seus serviços ou vender seus produtos.

Aliás, muitas organizações compartilham dados pessoais com terceiros sem obter o consentimento dos titulares de dados.

Além disso, devido à complexidade do mundo digital nos negócios, é cada vez mais difícil mapear todas as pessoas quem tem acesso ao banco de dados de uma empresa.

Nesse sentido, infelizmente, e por falta de conhecimento técnico,  é comum que as empresas deleguem a gestão dos dados das suas empresas sem se preocupar com a privacidade e proteção de dados que é a base de um projeto de adequação a LGPD.

Logo, a alta direção da empresa que está em busca de adequar sua empresa precisa compreender como funciona o ciclo de vida dos dados (coleta, processamento, transferência, armazenamento e descarte).

2.1 Mapeando os dados

Uma excelente forma de mapear os dados é por meio da criação de uma política privacidade, pois para elaborá-la é necessário esclarecer ao menos os seguintes pontos:

  • Quem é o controlador dos dados e se há um ou mais operadores
  • Quais tipos de dados são coletados
  • Como os dados são coletados
  • Quem têm acesso aos dados
  • Quais finalidades e bases legais são utilizadas para o tratamento de dados
  • Se os dados  são compartilhados com terceiros
  • Como são armazenados os dados e por quanto tempo
  • Destacar quais são os direitos dos titulares
  • Definir quem será o o Encarregado
  • Disponibilizar um canal de contato (fale conosco, e-mail etc.) para que os titulares possam exercer seus direitos
  • Quais são as medidas se Segurança da Informação

Desse modo, se a empresa conseguir implementar os itens destacados, a princípio, ela já terá dando um grande passo rumo à adequação.

2.2 Descobrir como e quais dados são coletados

Igualmente, é de extrema importância que a empresa saiba como os dados estão sendo coletados e para qual finalidade.

Nesse sentido, visando a segurança jurídica, recomendamos que as empresas obtenham o consentimento de seus clientes antes de solicitarem sua informações.

Ademais, de acordo com o princípio da necessidade, a empresa/controladora deve coletar o mínimo de informações possíveis do titular para executar as suas atividades, por exemplo:

  • Uma loja virtual de sapatos não precisar perguntar ao seu cliente qual é o seu estado civil para formalizar uma compra.

Por outro lado, para concretizar a compra é necessários obter as seguintes informações:

  • nome completo
  • CPF
  • endereços
  • forma de pagamento e
  • outros dados que sejam necessários para concretizar o negócio

Aliás, outro ponto importante para quem busca a adequação é saber  qual a base legal  está sendo utilizada para o tratamento de dados.

3. Criar e rever as medidas de Segurança da Informação (SI)

Em síntese, Segurança da Informação (SI) tem como objetivo proteger a confidencialidade (privacidade), integridade (garantir que os dados não sejam alterados de forma indevida) e disponibilidade das informações das empresas, que muitas das vezes são os seus maiores ativos, vejamos algumas medidas que podem ser  aplicadas:

  • Controle de acesso à informação: disponibilização de login – individualizado e identificável – para cada colaborador com restrições de acesso, ou seja, no caso de um funcionário, eventualmente, precisar obter outros dados além dos que já são autorizados para cumprir sua função, deverá, obrigatoriamente, solicitar autorização ao  Controlador.
  • Segurança Física: portões e portas com trava reforçadas, entrada somente de pessoas autorizadas, câmeras de vigilância, alarmes contra invasões, localização de computadores em ambiente refrigerados, proteção contra incêndio, etc.

Nesse contexto, existem diversas camadas de proteção que envolvem o tema SI, no entanto, devemos fazer uma análise individualizada de cada empresa para identificar quais são os riscos e qual a melhor forma, dentro da capacidade econômica da empresa, de saná-los,  diminui-los, ou aceitá-los.

Por último, informamos que a Autoridade Nacional de Proteção de Dados (ANPD) elaborou uma Guia Orientativo sobre Segurança da Informação, elaborada.

4. Adequação dos contratos

De nada adiantaria ter uma estrutura robusta relacionado à privacidade e proteção de dados, em  sua empresa, se não houver regulamentações sobre tratamento de dados pessoais com seus parceiros comerciais.

Inclusive, controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados, será obrigado a repará-lo – art. 42, da LGPD.

Nesse sentido, para assegurar o cumprimento das diretrizes da LGPD e da ANPD no âmbito contratual,  os contraentes devem definir, ao menos, os seguintes pontos:

  • identificar quem é o controlador, o operador e se há a figura do suboperador
  • o controlador deve estabelecer (restringir) as finalidades que o operador poderá tratar os dados
  • verificar se é preciso coletar consentimento dos titulares para as finalidades estabelecidas no contrato
  • analisar e revisar as bases legais que autorizam o tratamento de dados
  • quais dados serão compartilhados e com quais agentes de tratamento
  • definir as condições do término de tratamento de dados
  • descrição das medidas de segurança técnica e organizacional que deverão ser tomadas
  • obrigação de comunicar o controlador nos casos de incidentes de Segurança da Informação (SI)
  • definir um plano de respostas no caso de incidentes, por exemplo: vazamentos de dados.
  • apontar a responsabilização dos contratantes no caso de vazamento de dados e incidentes de segurança
5. Elaboração de documentação específica no âmbito de proteção de dados pessoais

Uma das melhores forma de se comprovar que uma determinada empresa está respeitando a LGPD é por meio de provas documentais.

No âmbito da proteção de dados os principais documentos  a serem elaborados são:

  • registro de operações de tratamento de dados – modelo indicado pela ANPD.
  • Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
  • Contratos de Tratamento de Dados com seus parceiros comercias
  • Politicas de Privacidade
  • Política de Segurança da Informação
  • Códigos de Conduta
  • Contrato de prestação de serviços ou um ato administrativo para indicação do Encarregado.
  • Termos de uso
  • Termos de confidencialidade
  • Modelo de coleta de consentimentos e autorizações
  • entre outros

Vale ressaltar que, o intuito da elaboração dos documentos citados não é (somente) para comprovar que a empresa está em conformidade com a Lei a fim de evitar multas.

Visto que, uma empresa que respeita à privacidade e protege os dados pessoais de seus clientes aumenta o seu valor e a sua credibilidade.

Atualmente, as grandes e médias empresas estão exigindo que seus parceiros comerciais demonstrem responsabilidade com o tratamento de dados.

Nesse sentido, imagine o diferencial competitivo que sua empresa terá se, antecipadamente, apresentar os acima destacados.

6. Definir quem será o Encarregado

É fundamental para uma empresa que busca a adequação a LGPD nomear um Encarregado, também conhecido como Data Protection Officer (DPO).

O Encarregado irá auxiliar a empresa a implementar o projeto de adequação à LGPD, tendo como sua principais funções:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
  • receber comunicações da autoridade nacional (ANPD) e adotar providências
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
  • e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Segundo as orientações  da ANPD,  o DPO pode ser representado por:

  • pessoa física, podendo ser um funcionário da organização ou um agente externo
  • pessoa jurídica, normalmente, são empresas especializadas a fim de atuar como “DPO as a service

Em regra, é obrigatório a indicação do Encarregado – artigo 41 da LGPD.

No entanto, houve a dispensa da indicação para os agentes de tratamento de pequeno porte.

Neste caso, deverá ser disponibilizado um canal de comunicação (por exemplo, e-mail) com o titular para:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
7. Buscar auxilio de consultoria jurídica e de tecnologia da informação (TI)

Devido à complexidade da LGPD, é fundamental que os empresários busquem ajuda dos profissionais especializados na área de proteção de dados.

Informações adicionais – Adequação à LGPD

Esperamos que você tenha aproveitado esse material para iniciar o seu projeto de adequação.

Por último, recomendamos a leitura deste outro artigo no qual comentamos sobre os benefícios da implementação da LGPD.

Gustavo Giarllarielli

logo
Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!