O PASSO A PASSO PARA ESTAR EM COMPLIANCE COM A LGPD

O PASSO A PASSO PARA ESTAR EM COMPLIANCE COM A LGPD

PABLO GOMES

          Todos que fazem tratamento de dados pessoais, sejam pessoas jurídicas, independente de tamanho ou do faturamento, sejam pessoas físicas, desde que para fins econômicos, precisarão se adequar aos requisitos da Lei Geral de Proteção de Dados (LGPD). Para tanto será necessário adotar processos de governança e um programa mais consistente de compliance, de acordo com a sua capacidade econômica e financeira.

Muito mais do que se atentar para as multas estabelecidas na LGPD (2% do faturamento até o limite de 50 milhões), a maior preocupação em não estar em Compliance com a lei, deverá ser com a reputação do nome da empresa em caso de um incidente ocorrer sem que tenha sido adotado o devido tratamento dos dados pessoais de maneira profissional, amparado por assessores jurídicos e de segurança informacional, com qualidade e gerenciamento de segurança e governança.

          Como objetivo de reflexão, o Escritório Melo Campos Advogados elaborou este passo a passo para a análise global para o desenvolvimento de um programa de complianceda LGPG. É óbvio que cada estrutura organizacional e de negócios deverá ser avaliada para a individualização desse processo, mas o objetivo desse curto texto é de despertar o interesse ao tema e de chamar a atenção para a legislação que entrará em vigor em agosto de 2020.

Assim, o ponto de partida para o desenvolvimento do compliance será o levantamento dos dados que são tratados na empresa, sejam físicos ou digitais, online ou offline, realizando um inventário e um diagnóstico para se detectar onde estão os gaps que devem ser preenchidos para a correta adequação às conformidades legais da LGPD.

          Com o levantamento do inventário dos dados pessoais, mapear quais são e onde estão esses dados, verificar se a LGPD se aplica a esses dados coletados e tratados (aplicação territorial, extraterritorial, hipóteses de exceção e se são dados pessoais ou não) e, se houver aplicação, observar qual a finalidade, a adequação e a necessidade do tratamento desses dados, além de observar o prazo de armazenamento e a sua acessibilidade.

          Em seguida, deve-se observar se para esses dados sob tratamento há alguma das bases legais ou se o tratamento é justificado sob o argumento do legítimo interesse ou se é hipótese de tratamento com necessidade de consentimento do usuário, caso em que será imprescindível a manifestação do titular, devendo-se ser essa manifestação livre, inequívoca e informada.

          Importante se atentar que no caso de dados que possam gerar riscos às liberdades civis e aos direitos fundamentais dos titulares será necessário também a realização do relatório de impacto à proteção de dados pessoais, de acordo com as operações de tratamento realizadas por parte da pessoa jurídica ou física.

          No caso de o tratamento ser realizado por operador, podendo esse ser terceirizado, haverá a necessidade que esse também se adeque à política de privacidade e de compliance do controlador; observando as regras de boas práticas, de governança e de segurança para cada tratamento de dados pessoais sob a responsabilidade deste.

          Ademais, deverão também ser atualizadas as cláusulas de contratos de acordo com a LGPD, elaborados termos de confidencialidade com todos os colaboradores, operadores e terceiros que tenham acesso aos dados pessoais coletados em tratamento, além de ser elaborado um código de conduta que preveja o respeito à proteção desses dados pessoais.

          Além disso, mister se faz mapear o fluxo de dados para o controle do consentimento, demonstrando que o titular de fato manifestou sua vontade de forma inequívoca caso seja necessária sua comprovação devido a solicitação ou eventual litígio.

          Somando-se às condutas acima elencadas, deverá ainda ser adotado proteções técnicas para segurança informacional pela empresa para evitar incidentes e risco de violação de dados (podendo ser utilizadas como embasamento a ISO 27.001 e 27.002) e também devem ser realizados treinamentos e campanhas de conscientização dos colaboradores, parceiros, fornecedores e clientes.

          Mas não é só isso! Os princípios que a LGPD traz devem ser observados pelos controladores dos dados pessoais, não somente as bases legais, respeitando-se principalmente os direitos e as garantias dos titulares.

          Deve-se, portanto, ser produzida sob esses requisitos uma política de privacidade e de termo de uso. O trabalho é longo e complexo, devendo-se em alguns casos iniciar com a formação de um comitê com participação de pessoas do Recursos Humanos, do Jurídico e da área de Tecnologia da Informação e, ao final desse processo, para implementação do compliance, deverá ser nomeado um encarregado de dados, que terá autonomia para controle e revisão de todo esse processo e que também atenderá aos requerimentos dos titulares dos dados e responderá perante a Autoridade Nacional de Proteção de Dados.

          A Melo Campos Advogados tem uma equipe multidisciplinar que poderá assessorá-los em todas essas etapas, inclusive com soluções integradas de processo, adequação legal, análise de risco e soluções tecnológicas para segurança informacional, conjuntamente com os parceiros, DM11 e Sonic Wall.

Para mais informações necessárias à gestão jurídica da sua empresa, assine nossa newsletter!


Posts recentes