top of page
Foto do escritorWesley Almeida

Passos para implantação da LGPD

Atualizado: 4 de mai. de 2022


Computador desenho vetor criado por pch.vector - br.freepik.com

Todas as empresas são impactadas, de alguma forma, pelo alcance da Lei Geral de Proteção aos Dados, criada em 2018 e alterada em 2019.

A maioria precisa se adequar devido a coleta de dados pessoais de seus clientes e/ou parceiros, estando sujeitas a penalidades da lei em caso de ocorrência de desvios de segurança ou proteção dos dados.

Segue sugestão de percurso para que uma organização, independente do porte, consiga de adequar a LGPD de forma processual e adaptada ao contexto da organização.


1º passo: Estudar a LGPD

Antes de qualquer ação relacionada a LGPD, a organização deve estudar e compreender a aplicação da lei para o contexto de atuação do negócio.

Em suma, a lei irá impactar todas as organizações que coletam e/ou mobilizam dados pessoais em, pelo menos, um dos enquadramentos:

  • Aos dados pessoais de indivíduos localizados no Brasil

  • Quando o tratamento se dá no Brasil

  • Quando houver oferta de bens e serviços para indivíduos no Brasil


2º passo: Mapear o ciclo de vida dos dados

No caso de ser impactada pela LGPD, a organização deve mapear o ciclo de vida dos dados pessoais mobilizados, desde a coleta até a eliminação


3º passo: Mapear os riscos envolvidos no tratamento

A partir do ciclo de vida dos dados mobilizados, deve identificar os potenciais riscos de infringir a LGPD em casa fase do ciclo de vida dos dados

Fase do ciclo

Exemplo de análise

Coleta

Os dados pessoais coletados devem obedecer ao princípio da necessidade e da finalidade

Processamento

O processamento de dados só poderá ser realizado se o tratamento estiver enquadrado no Art. 7º da LGPD

Análise

A análise dos dados deve levar em consideração a finalidade da coleta. Devem ser obedecidos os princípios de tratamento com propósito legítimo específico e explicito

Compartilhamento

O compartilhamento de dados deve ser consentido pelos seus titulares

Armazenamento

Os dados pessoais devem ser armazenados e mantidos por prazos definidos, ou seja, até que a finalidade seja alcançada ou deixem de ser necessários ou pertinentes ao alcance da finalidade

Reutilização

Um novo consentimento deve ser solicitado sempre que houver mudança de finalidade

Eliminação

Os dados pessoais devem ser eliminados após o término de seu tratamento

4º passo: Elaborar relatório de impactos

O mapeamento dos riscos dá origem a um relatório gerencial com levantamento dos impactos para a organização, como indica a LGPD: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Desta forma, o relatório deveria conter, pelo menos:

a) a descrição dos tipos de dados coletados;

b) a metodologia utilizada para a coleta e para a garantia da segurança das informações e;

c) a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.


A CNIL fornece gratuitamente uma ferramenta para efetuar de forma guiada um relatório, mas com base no GDPR: https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment


No Brasil, em novembro de 2020, o Ministério da Economia liderou um estudo sobre o tema, resultando no Guia de Avaliação de Riscos de Segurança e Privacidade: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_avaliacao_riscos.pdf


5º passo: Criar política de proteção e adaptar demais documentos

A partir dos riscos levantados e seus respectivos impactos, a organização deve formular política de proteção dos dados, além de adaptar demais políticas e documentos impactados.


6º passo: Gerenciar pedidos de titulares e órgãos

A partir da criação de uma política, a organização deve começar a sistematizar o processo de coleta de dados, assim como os pedidos de compartilhamento de dados com parceiros, a luz do que prega a política.


7º passo: Treinar equipes que manipulam dados pessoais

Todas as equipes de colaboradores que tem contato com dados em algum ponto do ciclo de vida precisam ser treinadas e conscientizadas sobre a manipulação correta dos dados, de acordo com a política da organização. Também preciso ter ciência e acesso à política.


8º passo: Praticar compliance com a proteção por meio de governança

A gestão do ciclo de vida dos dados permite acompanhar os tratamentos e mitigar os riscos envolvidos, acompanhando, principalmente, problemas relacionados a segurança e proteção dos dados pessoais. O acompanhamento rotineiro dos aspectos envolvidos em riscos (relatório do passo 4) deve ser realizado a luz das boas práticas da política de privacidade.


9º passo: Exigir compliance dos fornecedores e parceiros

O próximo passo envolve a ampliação da governança destes dados, incluindo também os parceiros e fornecedores que são beneficiados pelo uso dos dados sob a guarda da organização. Todos os seus parceiros e fornecedores precisam ter ciência sobre a política, bem como seu papel no processo de compliance, caso tenha.

O comprometimento de dados de seus clientes causada por fornecedores poderá envolver penalidades de coparticipação. Logo, esta negociação pode levar a necessidade de adequação de contratos e, até, encerramento de parcerias.


10º passo: Implantar ideia de privacidade desde a concepção de novos produtos

Neste nível de maturidade já é possível assumir que a LGPD começou a fazer parte da cultura da organização. A partir deste ponto, é sugerido que a privacidade se torne um dos princípios norteadores na concepção de novos produtos ou processos.


11º passo: Eleger um DPO com conhecimento em proteção e segurança de dados

Também é importante que a organização eleja o DPO, papel de proteção de dados, que será responsável por responder pela gestão dos dados em atendimento a LGPD. Pode ser desempenhado por pessoa ou equipe da própria organização, ou terceirizado para parceiro especialista.


Este percurso pode ser encarado pela organização como uma sugestão, aplicável a qualquer organização. Dependendo do ramo ou porte, algum passo pode ser desnecessário ou, ainda, pode ser necessário incluir novas etapas importantes.

19 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page