Como adequar meu negócio à LGPD?

Como adequar meu negócio à LGPD?

Pablo Gomes

Todos que fazem tratamento de dados pessoais, sejam pessoas jurídicas, independente de tamanho ou do faturamento, sejam pessoas físicas, desde que para fins econômicos, precisarão se adequar aos requisitos da Lei Geral de Proteção de Dados (LGPD). Para tanto será necessário adotar processos de governança e um programa de adequação, de acordo com a capacidade econômico-financeira do seu negócio.

Muito mais do que se atentar para as multas estabelecidas na LGPD (2% do faturamento até o limite de R$ 50 milhões), a maior preocupação em não estar com seu negócio adequado à LGPD deverá ser com a reputação do nome da sua empresa em caso de um incidente ocorrer sem que tenha sido adotado o devido tratamento dos dados pessoais de maneira profissional, amparado por assessores jurídicos e de segurança informacional, com qualidade e gerenciamento de segurança e governança.

Este breve artigo tem como objetivo a reflexão do empresário para adequação de seu negócio à LGPD e para isso elaboramos este passo a passo sobre como deve ser feita a adequação. Claro que nem todos os passos deverão ser seguidos por todos os tipos de negócio, razão pela qual deve-se avaliar a estrutura organizacional e o ramo de atividade do seu negócio para uma melhor adequação.

É importante estar atento ao fato de que embora as multas pela Autoridade Nacional de Proteção de Dados só começarão a ser aplicas em agosto próximo, a LGPD já está vigente, podendo a sua adoção pelas empresas ser fiscalizada pelos órgãos de defesa do consumidor e Ministério Público, além de já ser possível também a interposição de ações judiciais pelo titulares de dados pessoais em razão dos desrespeitos aos seus direitos.

O ponto de partida é entender se o objeto do seu negócio se enquadrará na figura de controlador de dados pessoais, na qual, em razão de sua atividade principal, as decisões e finalidade de tratamento de dados pessoais serão decididas de acordo com o seu negócio ou se será enquadrada na figura de operador de dados pessoais na qual as decisões e finalidades de tratamento de dados pessoais serão definidas por uma empresa (controlador) que contrata os serviços ou a expertise do seu negócio (e.g. empresa de software em nuvem, call center, etc). Agora, toda empresa será controlador dos dados pessoais de seus colaboradores, na coleta de dados para leads ou para prospecção comercial.

Com base nessa definição, para adequação à LGPD será realizado um levantamento dos dados que são tratados pelo seu negócio, sejam físicos ou digitais, on-line ou off-line, realizando um inventário e um diagnóstico para se detectar onde estão os pontos de atenção para serem ajustados à luz da LGPD.

Com o levantamento do inventário dos dados, será necessário mapear quais são e onde estão esses dados, verificar se a LGPD se aplica a esses dados coletados e tratados (aplicação territorial, extraterritorial, hipóteses de exceção e se são dados pessoais ou não) e, se houver aplicação, observar qual a finalidade, a adequação e a necessidade do tratamento desses dados pessoais, além de se observar o prazo de armazenamento e a sua acessibilidade

Em seguida, deve-se analisar se para esses dados pessoais sob tratamento há alguma das bases legais ou se o tratamento é justificado sob o argumento do legítimo interesse ou se é hipótese de tratamento com necessidade de consentimento do usuário, caso em que será imprescindível a manifestação do titular de dados pessoais, devendo ser essa manifestação livre, inequívoca e informada.

Importante se atentar que, no caso de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais dos titulares de dados pessoais será necessário também a realização do relatório de impacto à proteção de dados pessoais, de acordo com as operações de tratamento realizadas por parte da pessoa jurídica ou física.

No caso de o tratamento ser realizado por operador, podendo esse ser terceirizado, haverá a necessidade de que esse também se adeque à política de privacidade do controlador (tomador de serviço); observando as regras de boas práticas, de governança e de segurança para cada tratamento de dados pessoais sob a responsabilidade deste.

Ademais, deverão também ser atualizadas as cláusulas de contratos de acordo com a LGPD, elaborados termos de confidencialidade com todos os colaboradores, operadores e terceiros que tenham acesso aos dados pessoais coletados em tratamento, além de ser elaborado um código de conduta que preveja o respeito à proteção desses dados pessoais e, ainda, informar aos colaboradores como seus dados pessoais serão tratados pelo seu negócio.

Além disso, mister se faz mapear o fluxo de dados para o controle do consentimento, demonstrando que o titular de dados pessoais de fato manifestou sua vontade de forma inequívoca, caso seja necessária sua comprovação devido a uma solicitação ou a um eventual litígio.

Somando-se às condutas acima elencadas, deverá ainda ser adotado, de acordo com sua capacidade econômico-financeira e com o risco do seu negócio, proteções técnicas para segurança informacional pela empresa para evitar incidentes e risco de violação de dados (podendo ser utilizadas como embasamento a ISO 27.001 e 27.002) e também devem ser realizados constantes treinamentos e campanhas de conscientização dos colaboradores, parceiros, fornecedores e clientes.

Mas não é só isso! Os princípios que a LGPD traz devem ser observados pelos controladores dos dados pessoais, não somente as bases legais, respeitando-se principalmente os direitos e as garantias dos titulares.

Deve-se, portanto, ser produzida sob esses requisitos uma política de privacidade e de termo de uso. O trabalho é longo e complexo, devendo-se, em alguns casos, iniciar com a formação de um comitê com participação de pessoas dos recursos humanos, do Jurídico e da área de Tecnologia da Informação, sendo que, ao final desse processo de adequação à LGPD, deverá ser nomeado um encarregado de dados, que terá autonomia para controle e revisão de todo o processo e que também deverá atender aos requerimentos dos titulares dos dados e responder perante à Autoridade Nacional de Proteção de Dados.



Para mais informações necessárias à gestão jurídica da sua empresa, assine nossa newsletter!



    Posts recentes