Como iniciar um projeto de adequação à LGPD?

C:\Users\giarl\Google Drive\Artigos Giarllarielli - Advogados\Publicações - site\LGPD\Como iniciar um projeto de adequação à LGPD

Neste artigo, vamos comentar sobre os principais pontos que devem ser observados em um projeto de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018)

(Se você ainda tem dúvidas se sua empresa precisa se adequar à LGPD e também não conhece os principais conceitos da Lei, recomendamos a leitura deste Guia LGPD).

De início, é preciso esclarecer que não existe nenhum modelo que enquadre todas as empresas  que buscam iniciar um projeto de adequação à LGPD.

Em outras palavras, cada projeto deverá ser elaborado de acordo com as necessidades das empresas.

Portanto, a intenção desse artigo é apontar o melhor caminho para quem está buscando informação sobre como iniciar um projeto de adequação.

Para facilitar o entendimento, dividiremos os principais pontos em tópicos, vejamos:

1. Você precisa conhecer o caminho dos dados

Os sócios e a alta direção das empresas precisam saber qual é o “caminho” dos dados pessoais.

Pode parecer estranho, mas muitos empresários não sabem quais informações suas empresas solicitam aos seus clientes (titulares dos dados) para prestar seus serviços ou vender seus produtos.

Além disso, devido à complexidade do mundo digital em que vivemos, é cada vez mais difícil saber quem tem acesso ao banco de dados de uma empresa.

Por exemplo:

  • Uma loja virtual deve saber quem tem acesso aos dados dos seus clientes e quais informações são solicitadas no momento da compra.

Nesse exemplo, a loja virtual  é a controladora e responsável pelo tratamento dos dados, ou seja, ela tem a obrigação legal de saber e garantir que sua gestora de mídias sociais, site, marketing etc. está usando os dados de acordo com a LGPD.

Contudo, na prática – por falta de conhecimento técnico – é comum que as empresas deleguem a gestão das lojas virtuais.

1.1 Mapeando o caminho dos dados

Uma excelente forma de mapear os dados é por meio da criação de uma política privacidade, visto que para elaborá-la você precisará esclarecer pelos menos os seguintes pontos:

  • Quem é o controlador dos dados e se há um ou mais operadores
  • Quais tipos de dados são coletados
  • Como os dados são coletados
  • Quem têm acesso aos dados
  • Quais finalidades e bases legais são utilizadas para o tratamento de dados
  • Se os dados  são compartilhados com terceiros
  • Como são armazenados os dados e por quanto tempo
  • Destacar quais são os direitos dos titulares
  • Definir quem será o o encarregado de dados
  • Disponibilizar um canal de acesso (fale conosco, e-mail etc.) para que os titulares possam entrar em contato e exigir seus direitos

Ainda existem outros pontos que deverão ser observados em uma política de privacidade.

Todavia, se a empresa conseguir mapear e definir esses itens acima destacados, já terá dado o primeiro passo importante para implementar um projeto de adequação à LGPD.

2. Descobrir como e quais dados são coletados

É de extrema importância que a empresa saiba como os dados estão sendo coletados e para qual finalidade.

Por segurança jurídica, recomendamos que as empresas obtenha o consentimento de seus clientes antes de solicitarem sua informações.

E ainda, de acordo com o princípio da necessidade, a empresa/controladora deve coletar o mínimo de informações possíveis para executar as suas atividades.

Por exemplo:

  • Não há necessidade – para o negócio de uma empresa – perguntar qual é o estado civil de um cliente que pretende realizar um cadastro em uma loja com intuito de comprar sapatos. Por outro lado, solicitar ao consumidor seu nome, CPF, forma de pagamento etc.,  é necessário para formalizar a compra.

Outro ponto importante é saber qual a base legal que está sendo utilizada para o tratamento de dados.

3. Criar e rever as medidas de segurança da informação

Em apertada síntese, segurança da informação tem como objetivo proteger a confidencialidade (privacidade), integridade (garantir que os dados não sejam alterados de forma indevida) e disponibilidade das informações das empresas, que muitas das vezes são os seus maiores ativos.

O controle de acesso à informação é uma das medidas de segurança, veja alguns exemplos:

  • proteger documentos sigilosos por meio de um cofre
  • utilizar login com senha para acessar determinado arquivo digital
  • identificar funcionários por meio de crachá
  • autenticação de dois fatores, entre outros

Ou seja, um controle de acesso define quais pessoas tem autorização para acessar uma determinada informação.

4. Adequação dos contratos e demais documentos à LGPD

É necessário adequar os contratos (e demais documentos) vigentes – mediante aditivos contratuais – alterando, em especial, as cláusulas que versam sobre tratamento de dados pessoais.

Veja os requisitos legais que são necessários para obtenção do consentimento do titular de acordo com a LGPD.

5. Definir quem será o encarregado

É fundamental para uma empresa que busca estar em conformidade com a LGPD nomear um encarregado, também conhecido como Data Protection Officer (DPO).

O encarregado irá auxiliar a empresa a implementar o projeto de adequação à LGPD, tendo como sua principais funções:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
  • receber comunicações da autoridade nacional (ANPD) e adotar providências
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
  • e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
5.1 Quem pode ser o encarregado?

Segundo as recentes diretrizes da ANPD, o encarregado pode ser:

  • um funcionário da empresa
  • um agente externo
  • pessoa física ou jurídica

É recomendável que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.

6. Buscar auxilio de consultoria jurídica e de tecnologia da informação (TI)

Devido à complexidade da LGPD, é fundamental que os empresários busquem ajuda dos profissionais especializados na área de proteção de dados para iniciar um projeto de adequação.

Informações adicionais

Esperamos que você tenha aproveitado esse material para iniciar o seu projeto de adequação.

Por último, recomendamos a leitura deste outro artigo onde comentamos sobre os benefícios da implementação da LGPD.

 

 

 

 

 

 

 

 

 

 

 

 

 

Gustavo Giarllarielli

Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!