Menu
LGPD: como se adequar à nova lei

LGPD: como se adequar à lei que entra em vigor em 2021

O mercado de mídia digital brasileiro está em contagem regressiva para se adequar à Lei Geral de Proteção de Dados (LGPD), que entra em vigor daqui a um ano, em janeiro de 2021 (com penalidades previstas para agosto de 2021). Ao mesmo tempo que a lei garante direitos aos titulares sobre seus dados pessoais, exige responsabilidades jurídicas e deveres para as organizações que tratam dados pessoais.

A estimativa para adequação completa nas empresas pode variar, normalmente, de quatro a doze meses, de acordo com o nível de maturidade da empresa no assunto, as regras e procedimentos já existentes, a quantidade de áreas e projetos que tratam dados pessoais, o nível de sensibilidade dos referidos dados objeto do tratamento e o orçamento previsto para a adequação. A hora de iniciar o processo de adequação é agora! 

Com base em informações do IAB Brasil e recomendações de especialistas, a Predicta apresenta a seguir um roadmap para ajudar as empresas do nosso setor a se adequarem à LGPD.

Princípio de accountability

A LGPD definiu o princípio de responsabilidade e prestação de contas no artigo 6, X, levando em consideração o conceito de accountability previsto na GDPR. Para ser accountable, ou seja, para demonstrar como sua empresa está em conformidade, é necessário fazer uma leitura transversal da LGPD, olhando para todas as indicações que ela provê sobre quais medidas adotar para cumprir com as diversas obrigações legais previstas.

“Vale ressaltar que essa leitura não é um exercício fácil, pois ela envolve uma série de critérios para demonstração de conformidade que não estão claros e objetivos na LGPD, mas que a Autoridade Nacional de Proteção de Dados deverá esclarecer e recomendar”, ressalta Maria Cecília Oliveira Gomes, advogada especialista em Proteção e Privacidade de Dados.

O fato de a ANPD ainda não existir em termos físicos – e por isso ainda não existirem orientações emitidas pela própria autoridade de como as organizações devem prestar contas –, torna o cenário cinzento, na visão da especialista. Independente desse contexto, ela recomenda que as organizações façam seu processo interno de adequação à LGPD, implementem e corrijam todas as medidas técnicas e administrativas identificadas ao longo desse processo, para estarem mais próximas possíveis da conformidade com a lei.

Sistema de deveres para empresas que tratam dados pessoais

Fundamentada no princípio de accountability, ou prestação de contas, a LGPD determina:

registro dos dados: controlador e o operador devem manter o registro dos dados. Isso deve ser organizado de forma detalhada e documentada, especialmente quando baseado em legítimo interesse;

gestão de risco proativa: a ANDP poderá exigir que o controlador elabore um Relatório de Impacto à Proteção de Dados que se referem as operações de tratamento de dados da sua empresa;

– segurança da informação: as empresas que tratam dados devem adotar medidas de segurança, técnicas e administrativas, para proteger os dados pessoais;

– responsabilidade: caso o controlador ou operador, durante os processos de tratamento de dados, cause danos patrimonial, moral, individual ou coletivo, e viole a LGPD, é obrigado a repará-lo; esses agentes ficam sujeitos às sanções administrativas que serão aplicadas pela autoridade.

De quem é o projeto de adequação?

Ao contrário do que muitos acreditam, a adequação à LGPD não é um problema exclusivamente jurídico e, sim, um problema de negócio. O projeto deve envolver todas as áreas e mobilizar a organização como um todo, tendo em vista os riscos envolvidos, sejam eles jurídicos ou reputacionais, conforme evidenciou o IAB Brasil.

“As empresas do setor de mídia digital devem se atentar para a exigência de obtenção das bases legais para o tratamento de dados pessoais. Além disso, essas organizações devem examinar todo o ciclo de vida dos dados pessoais tratados e questionar se os seus parceiros estão cumprindo as determinações da lei”, recomenda Caio César de Oliveira, advogado e pesquisador em Direito e Tecnologia.

Assim, visando a adequação da legislação em referência, ele sugere algumas ações básicas, como:

– buscar o envolvimento dos executivos desde o início do plano de adequação para que a proteção de dados pessoais esteja incorporada aos valores da empresa e assim o tema ganhe o engajamento e a força necessária;

– estabelecer as ações e um líder para o plano, identificando os principais projetos e áreas da empresa afetadas pela LGPD e eventuais legislações setoriais;

– criar um programa de governança em proteção de dados com a elaboração de medidas e controles para o acompanhamento da implantação de padrões que estejam em conformidade com a LGPD e legislações setoriais aplicáveis;

– estruturar a área com a indicação do Encarregado da Proteção de Dados (DPO);

– elaborar e rever documentos jurídicos com a realização de eventuais adendos aos contratos existentes para adequação aos padrões de proteção de dados, principalmente para aqueles que envolvam o tratamento e compartilhamento de dados pessoais;

– garantir o exercício dos direitos dos titulares, mediante a confirmação da implementação de medidas técnicas e organizacionais;

– realizar treinamentos internos para apresentação das novas políticas de proteção de dados pessoais e disseminação da cultura empresarial sobre o tema.

Mapeamento: do simples para o complexo

Enquanto algumas áreas do negócio já possuem processos de tratamentos de dados mapeados, a realidade de outros departamentos, e até mesmo de algumas companhias, pode ser bem diferente. O ideal é começar a mapear os processos mais simples e depois evoluir para os complexos, como mostra o desenho compartilhado pelo IAB Brasil, em um webinar sobre o tema:

Na hora de fazer o mapeamento, sua empresa deverá ter em mãos alguns instrumentos, como um questionário (que deve ser elaborado com objetivo de entender, em cada departamento, todos os processos de tratamento de dados); fluxogramas para processos específicos (devem ser feitos dos processos mais simples para os mais complexos para entender qual é o ciclo de vida desses dados dentro da organização); entrevistas (devem ser realizadas com os responsáveis por esses processos dentro dos departamentos); software (a adoção de um sistema especializado pode ajudar a economizar o tempo nesse mapeamento).

A seguir, compartilhamos um exemplo de como mapeamento pode ser feito, divulgado pelo IAB Brasil, a começar pelo nível estrutural até o nível básico:

Nível básico

Nível estrutural

Avaliação de Impacto e Gestão de Risco

A LGPD traz a figura do Relatório de Impacto a Proteção de Dados, e a indicação da necessidade de sua realização pelos controladores. Como evidencia a especialista em Proteção e Privacidade de Dados, Maria Cecília Oliveira Gomes, parte essencial para a elaboração desse documento, e mais ainda para a construção de um processo de conformidade em si, é a necessidade de as orientações serem elaboradas pela ANPD.

Desse modo, o relatório deve conter em especial esclarecimentos sobre os seguintes pontos: metodologia de avaliação de impacto; indicação de tratamento de dados que possam envolver riscos e altos riscos aos titulares; tipos de avaliação de impacto; e fornecimento de modelos (templates) pela própria autoridade.

“Esses pontos são essenciais para a elaboração e desenvolvimento de um processo de adequação a LGPD de qualidade e que seja eficaz em mapear, corrigir e implementar processos relacionados a tratamento de dados”, explica. Segundo ela, a Commission Nationale de l’Informatique et des Libertés (CNIL), Autoridade Francesa de Proteção de Dados, é um ótimo exemplo a ser seguido pela ADNP: além de criar recomendações sobre os pontos comentados acima, também disponibilizou um software livre para elaboração e gestão de processos de conformidade com a General Data Protection Regulation (GDPR).

É importante ter em mente que deve haver uma metodologia para realização da avaliação de impacto, a qual deve conter as fases, critérios e método de avaliação. Assim, a especialista também destaca que o Relatório de Impacto de Proteção de Dados é um produto da avaliação de impacto, e é uma atividade contínua que deve ser feita com periodicidade tanto para produtos já existentes dentro de uma empresa por exemplo, quanto no desenvolvimento de novos produtos, bem como para avaliar o impacto de incidentes de segurança que vierem a acontecer.

Conformidade: um processo contínuo

Apesar das diversas exigências trazidas pela LGPD, Maria Cecília Oliveira Gomes ressalta que ‘estar em conformidade’ não é um estado, mas sim um processo contínuo, diário e permanente.

“A produção de um Relatório de Impacto a Proteção de Dados para ser ‘accountable’, por exemplo, é parte de um processo maior, que é o processo de conformidade em si, que leva em consideração a definição de metodologias de avaliação de impacto, definição de fases de análise, avaliação, implementação e monitoramento, construindo como resultado uma boa governança de dados e uma cultura organizacional em proteção de dados”.

Considerando esse aspecto, a professora e advogada sugere às empresas um desenho semelhante ao que seria um Relatório de Impacto a Proteção de Dados usado pelo Information Commissioner’s Office (ICO), a Autoridade de Proteção de Dados no Reino Unido, referência em accountability.

Nesse sentido, ela acredita ser possível entender de forma simples e não exaustiva que observar esse princípio envolve:

– cumprir com as obrigações legais previstas na LGPD;

– desenvolver produtos ou serviços levando em consideração técnicas de privacy by design e privacy by default;

– adotar e implementar políticas de proteção de dados;

– manter a documentação dos seus registros de tratamento de dados atualizadas;

– nomear um encarregado dentro da organização;

– elaborar um Relatório de Impacto a Proteção de Dados, entre outros aspectos.

 

Related Posts