5 primeiros passos para estar em conformidade com a LGPD



Neste artigo, apresentaremos os primeiros passos para que uma organização [1] comece a estar em adequação à Lei Geral de Proteção de Dados - LGPD.


Há diversas metodologias para realizar um Programa de Adequação à LGPD, sobretudo destacamos cinco passos gerais para estar em conformidade com a LGPD.


Para saber mais detalhes sobre a importância de se adequar, clique aqui.



Primeiro passo: Estruturar


É fundamental criar e consolidar uma cultura de privacidade em cada organização.


Por isso, recomenda-se estruturar um Comitê de Proteção de Dados Pessoais (CPDP) e nomear o Encarregado de Dados Pessoais[2].


O CPDP reúne responsáveis pelas áreas que lidam com o tratamento[3] de dados pessoais [4] na empresa , esse Comitê funciona como outras áreas interna, por exemplo, área Jurídica, Recursos Humanos, Marketing.


Cada membro do Comitê é responsável por auxiliar na implementação do Programa de Adequação à LGPD, de acordo com a realidade do setor da organização pelo qual é responsável.


A LGPD exige que o Encarregado de Dados Pessoais, também chamado de Data Protection Officer - DPO, seja nomeado para ser o meio de comunicação entre o Titular dos dados [5], o Controlador[6] e as Autoridades fiscalizadoras.


Para saber mais sobre as competências e qualificações do Encarregado, clique aqui. Além disso, não deixe de conferir a explicação de cada cargo ao final do artigo, nas notas de rodapé.



Segundo passo: Mapear


Após estruturar a gestão do Programa, inicia-se a etapa de mapeamento dos dados pessoais e, posteriormente, dos riscos envolvidos no tratamento dos dados pessoais realizado pela empresa .


No mapeamento de dados pessoais, realiza-se um inventário de dados pessoais, cuja finalidade é documentar quais, onde e como os dados pessoais são tratados, sob a ótica dos princípios da LGPD.


Nesse sentido, o mapeamento dessas informações fornece insumos para a construção de um fluxo interno e externo dos dados pessoais tratados.


Após o detalhamento do Tratamento dos Dados Pessoais, pode-se identificar os riscos (gaps) à privacidade e proteção de dados pessoais, existentes em processos e documentos.


Os riscos podem ser mensurados mediante identificação do nível de probabilidade e impacto que um determinado tratamento pode provocar à privacidade e proteção dos dados pessoais dos titulares envolvidos.



Terceiro passo: Planejar


Com os dados pessoais e os riscos dos tratamentos mapeados, estabelece-se um Plano de Ação, a fim de mitigar os riscos encontrados. Ou seja, enquanto o segundo passo é identificar o que precisa se adequar, o terceiro é definir como adequar.


Nesse sentido, o Plano de Ação define atividades que devem ser realizadas mediante encaminhamentos técnicos e/ou administrativos aos responsáveis das áreas que realizam tratamento com riscos relevantes, conforme a LGPD.



Quarto passo: Implementar


Após planejar o que precisa ser feito para se adequar, pode-se executar as atividades anteriormente previstas para mitigar os riscos identificados.


Neste passo, realiza-se atividades diretas que criam ou revisam processos, contratos e políticas de segurança e privacidade, conforme a LGPD e regulamentações da Autoridade Nacional de Proteção de Dados - ANPD, órgão responsável por fiscalizar o cumprimento da legislação.


A implementação do programa também envolve treinamentos periódicos com gestores e colaboradores, a fim de conscientizar sobre boas práticas e as novas condutas em cada processo de tratamento, conforme a LGPD.


Ainda, deve-se produzir o Relatório de Impacto à Proteção de Dados Pessoais (RPID)[7], documentação que é exigível pela ANPD e descreve o tratamento que pode gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação.



Quinto passo: Monitoramento


Por fim, destaca-se o passo contínuo de monitoramento das atividades para que a empresa/entidade se mantenha em nível adequado de conformidade com a LGPD.


Além disso, o Encarregado precisa monitorar os processos internos, pois, em caso de incidente de segurança que possa acarretar risco ou dano, será necessário executar o plano de resposta com as devidas comunicações ao titular e à ANPD.


Vale ressaltar que cabe ao Comitê e Encarregado de Dados monitorar mudanças regulatórias que demandam por novas atividades de adequação.


Portanto, entende-se que é fundamental o comprometimento da alta administração, a capacidade de a organização identificar e agir para minimizar os riscos e o estabelecimento de eficientes canais de comunicação, internos e externos [8].



Orientações


Os passos iniciais para estar em conformidade com a LGPD são: estruturar, mapear, planejar e implementar, sobretudo monitorar é uma etapa contínua para a adequação.


A organização pode estar em conformidade com a LGPD, por meio da harmonia entre o Comitê, Encarregado e colaboradores focados em manter os dados pessoais mapeados e os seus tratamentos com riscos mitigados.


Por se tratar de uma tarefa complexa e multidisciplinar, a assessoria jurídica especializada é um ótimo auxílio, ao conferir conhecimentos técnicos e práticos de como se adequar à LGPD da maneira mais precisa dentro de uma organização.


A Advocatta é a empresa júnior de Direito da UnB, prestamos assessoria jurídica focada em empresas e contratos. Para saber mais sobre como entrar em Conformidade com a LGPD, entre em contato conosco!


Autora

Wanessa Araújo

Para saber mais sobre o histórico da LGPD, assista ao vídeo abaixo!




Notas de Rodapé:

[1] Organização: qualquer entidade pública ou privada, como associação, empresa, entidades e órgãos.

[2] Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) (Art. 5º, VII, LGPD).

[3] Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5º, X, LGPD).

[4] Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (Art.5º, I, LGPD).

[5] Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (Art.5º, V, LGPD).

[6] Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (Art.5º, VI, LGPD).

[7] Relatório de Impacto de Proteção de Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco (Art.5º, XVII, LGPD)

[8] FRAZÃO, 2019, p.699.


Referências Bibliográficas


BRASIL, Lei No 13.709, de 14 de agosto de 2018. Brasília, DF. Disponível em:

<http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acessado em: 10 de março de 2021.


Carvalho et al. Relatório de Impacto à Proteção de Dados Pessoais: Aspectos práticos relevantes à luz da LGPD. Disponível em: https://bit.ly/2YF2CbP. Acesso em: 10 de março de 2020.


CCGD. Guia de Boas Práticas para Implementação da Lei Geral de Proteção de Dados na Administração Pública Federal. Disponível em: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boaspraticas-lei-geral-de-protecao-de-dados-lgpd. Acesso em: 10 de março de 2020.


FRAZÃO, Ana. Compliance de dados pessoais. Noções introdutórias para a compreensão da importância da Lei Geral de Proteção de Dados. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA , Milena D. (coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. 1 .ed. São Paulo: Thomson Reuters Brasil, 2019. Acesso em: 10 de março de 2020.


IAPP-EY. Annual Governance Report 2019. Disponível em: https://iapp.org/resources/article/iapp-ey-annual-governance-report-2019/ . Acesso em: 10 de março de 2020.


OECD. Guidelines for the Security of Information Systems and Networks — Towards a Culture of Security. Paris: OECD.