Todas as empresas são impactadas, de alguma forma, pelo alcance da Lei Geral de Proteção aos Dados, criada em 2018 e alterada em 2019.
A maioria precisa se adequar devido a coleta de dados pessoais de seus clientes e/ou parceiros, estando sujeitas a penalidades da lei em caso de ocorrência de desvios de segurança ou proteção dos dados.
Segue sugestão de percurso para que uma organização, independente do porte, consiga de adequar a LGPD de forma processual e adaptada ao contexto da organização.
1º passo: Estudar a LGPD
Antes de qualquer ação relacionada a LGPD, a organização deve estudar e compreender a aplicação da lei para o contexto de atuação do negócio.
Lei 13.709, de 14 de agosto de 2018. Institui a LGPD: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
Lei 13.853, de 8 de julho de 2019. Alterou a LGPD: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm
Em suma, a lei irá impactar todas as organizações que coletam e/ou mobilizam dados pessoais em, pelo menos, um dos enquadramentos:
Aos dados pessoais de indivíduos localizados no Brasil
Quando o tratamento se dá no Brasil
Quando houver oferta de bens e serviços para indivíduos no Brasil
2º passo: Mapear o ciclo de vida dos dados
No caso de ser impactada pela LGPD, a organização deve mapear o ciclo de vida dos dados pessoais mobilizados, desde a coleta até a eliminação
3º passo: Mapear os riscos envolvidos no tratamento
A partir do ciclo de vida dos dados mobilizados, deve identificar os potenciais riscos de infringir a LGPD em casa fase do ciclo de vida dos dados
Fase do ciclo | Exemplo de análise |
|---|---|
Coleta | Os dados pessoais coletados devem obedecer ao princípio da necessidade e da finalidade |
Processamento | O processamento de dados só poderá ser realizado se o tratamento estiver enquadrado no Art. 7º da LGPD |
Análise | A análise dos dados deve levar em consideração a finalidade da coleta. Devem ser obedecidos os princípios de tratamento com propósito legítimo específico e explicito |
Compartilhamento | O compartilhamento de dados deve ser consentido pelos seus titulares |
Armazenamento | Os dados pessoais devem ser armazenados e mantidos por prazos definidos, ou seja, até que a finalidade seja alcançada ou deixem de ser necessários ou pertinentes ao alcance da finalidade |
Reutilização | Um novo consentimento deve ser solicitado sempre que houver mudança de finalidade |
Eliminação | Os dados pessoais devem ser eliminados após o término de seu tratamento |
4º passo: Elaborar relatório de impactos
O mapeamento dos riscos dá origem a um relatório gerencial com levantamento dos impactos para a organização, como indica a LGPD: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Desta forma, o relatório deveria conter, pelo menos:
a) a descrição dos tipos de dados coletados;
b) a metodologia utilizada para a coleta e para a garantia da segurança das informações e;
c) a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
A CNIL fornece gratuitamente uma ferramenta para efetuar de forma guiada um relatório, mas com base no GDPR: https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment
No Brasil, em novembro de 2020, o Ministério da Economia liderou um estudo sobre o tema, resultando no Guia de Avaliação de Riscos de Segurança e Privacidade: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_avaliacao_riscos.pdf
5º passo: Criar política de proteção e adaptar demais documentos
A partir dos riscos levantados e seus respectivos impactos, a organização deve formular política de proteção dos dados, além de adaptar demais políticas e documentos impactados.
Modelo de política site ou blog: https://juristas.com.br/2022/02/01/modelo-politica-de-privacidade/
6º passo: Gerenciar pedidos de titulares e órgãos
A partir da criação de uma política, a organização deve começar a sistematizar o processo de coleta de dados, assim como os pedidos de compartilhamento de dados com parceiros, a luz do que prega a política.
7º passo: Treinar equipes que manipulam dados pessoais
Todas as equipes de colaboradores que tem contato com dados em algum ponto do ciclo de vida precisam ser treinadas e conscientizadas sobre a manipulação correta dos dados, de acordo com a política da organização. Também preciso ter ciência e acesso à política.
8º passo: Praticar compliance com a proteção por meio de governança
A gestão do ciclo de vida dos dados permite acompanhar os tratamentos e mitigar os riscos envolvidos, acompanhando, principalmente, problemas relacionados a segurança e proteção dos dados pessoais. O acompanhamento rotineiro dos aspectos envolvidos em riscos (relatório do passo 4) deve ser realizado a luz das boas práticas da política de privacidade.
9º passo: Exigir compliance dos fornecedores e parceiros
O próximo passo envolve a ampliação da governança destes dados, incluindo também os parceiros e fornecedores que são beneficiados pelo uso dos dados sob a guarda da organização. Todos os seus parceiros e fornecedores precisam ter ciência sobre a política, bem como seu papel no processo de compliance, caso tenha.
O comprometimento de dados de seus clientes causada por fornecedores poderá envolver penalidades de coparticipação. Logo, esta negociação pode levar a necessidade de adequação de contratos e, até, encerramento de parcerias.
10º passo: Implantar ideia de privacidade desde a concepção de novos produtos
Neste nível de maturidade já é possível assumir que a LGPD começou a fazer parte da cultura da organização. A partir deste ponto, é sugerido que a privacidade se torne um dos princípios norteadores na concepção de novos produtos ou processos.
11º passo: Eleger um DPO com conhecimento em proteção e segurança de dados
Também é importante que a organização eleja o DPO, papel de proteção de dados, que será responsável por responder pela gestão dos dados em atendimento a LGPD. Pode ser desempenhado por pessoa ou equipe da própria organização, ou terceirizado para parceiro especialista.
Este percurso pode ser encarado pela organização como uma sugestão, aplicável a qualquer organização. Dependendo do ramo ou porte, algum passo pode ser desnecessário ou, ainda, pode ser necessário incluir novas etapas importantes.