3 pilares importantes para adequação à LGPD

Adequação à LGPD

Existem muitas dúvidas sobre como desenvolver um processo de adequação à LGPD. A principal e mais rotineira  delas é se todas as empresas precisam realizar essa adequação. Se a empresa trata dados pessoais de titulares localizados em território nacional, diretamente ou através de terceiros, para fins econômicos, a resposta é sim. Diante disso, as empresas deverão registar todas as operações de tratamento de dados, disponibilizar meios para que os titulares notifiquem ou possam exigir seus direitos além de adotar medidas que visem a segurança da informação. 

E quando a LGPD não se aplica? A LGPD não se aplica quando o tratamento for realizado:

  • Por pessoa física, com fins particulares, não econômicos;
  • Para fins exclusivamente jornalísticos, artísticos e acadêmicos;
  • Para fins exclusivos de segurança pública; defesa nacional; segurança do Estado; atividades de repressão de infrações penais;
  • Dados provenientes de fora do Brasil e que não sejam objeto de tratamento por agentes de tratamento brasileiros.

De modo geral, para iniciar a implementação e adequação à LGPD em uma empresa é necessário: revisar todas as políticas de proteção, capacitar e conscientizar colaboradores, mapear os processos da empresa que envolvam o tratamento de dados, validar as bases legais sobre os processos existentes, revisar os contratos com fornecedores e terceirizados que tenham acesso aos  dados pessoais coletas pela empresa, dentre outras ações. Além disso, será necessário criar uma Cultura de Segurança da Informação e implementar tecnologias adequadas. Essas exigências constituem os 3 pilares para uma adequação efetiva: Pessoas, Processos e Tecnologia.

A multidisciplinaridade é um termo essencial para entender os pilares que permeiam os processos para a adequação, pois existe a necessidade da colaboração de vários setores da empresa, principalmente, nos casos de empresas de base tecnológica. Dessa forma, o treinamento e conscientização dos funcionários configuram uma das etapas mais importantes do processo de adequação.

Pilares para a adequação à LGPD: Pessoas

 A LGPD institui que toda empresa ou negócio, independente de seu tamanho ou área de atuação, deve nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer) que pode ser uma empresa terceirizada ou um funcionário interno da empresa, desde que este possua conhecimento jurídico e técnico em Proteção de Dados e que seja devidamente remunerado pelas atividades decorrentes da nova função.

O DPO faz parte da estrutura de governança em privacidade das empresas que realizam a coleta e tratamento de dados, sendo o responsável por monitorar a efetividade dos procedimentos de privacidade, treinar e capacitar a equipe interna, além de ser o canal de comunicação entre titulares e empresa, e ANPD e empresa. 

 No pilar de Pessoas, temos ainda uma das principais diretrizes da Lei Geral de Proteção de Dados: os titulares de dados.

Os titulares de dados têm direito a(o): (a) acesso aos dados pessoais que porventura sejam tratados e, consequentemente, garantia da retificação e atualização destes; (b) tratamento de suas informações pessoais somente mediante expresso consentimento, sendo realizada de maneira fácil e gratuita a exclusão dos dados do respectivo banco;  (c) portabilidade, permitindo que os referidos dados possam ser encaminhados a outras empresas que também forneçam o mesmo serviço; (d) receber informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados e informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e (e) revogação de consentimento.

Pilares para a adequação à LGPD: Processos

Em Processos, podemos citar como uma primeira necessidade o mapeamento dos fluxos dos dados. Esta ação é responsável por descrever os processos e atividades que realizam o tratamento de dados pessoais, sendo a base para a análise de adequação e conformidade das práticas operacionais com a política de privacidade de dados e com a LGPD. Ademais, o mapeamento de dados é o processo chave para identificar e medir a eficiência dos processos e controles internos.

 O mapeamento de dados, em conjunto com alguns outros documentos da empresa, é o ponto de partida para a realização do  diagnóstico sobre a privacidade e a segurança da informação. Você pode entender mais sobre como realizá-lo em nosso artigo sobre Mapeamento de Dados. 

A Estrutura de Governança de Dados possui um papel significativo nos processos de adequação à LGPD, uma vez que é a partir da distribuição de atribuições e responsabilidades entre os componentes da empresa que vai desde a organização processos para tomada de decisões, usando métodos de gestão dos dados até mesmo no gerenciamento de procedimentos para reporte de incidentes. Essa estrutura permite que os processos definidos durante a adequação à LGPD poderão continuar existindo, permanecendo, assim, a empresa em conformidade.  

Pilares para a adequação à LGPD: Tecnologia

Esse pilar é importante para garantir o gerenciamento dos riscos relacionados à Segurança da Informação. Para seguir os requisitos previstos na LGPD é necessário manter um Sistema Gestor de Segurança da Informação (SGSI) baseado nos requisitos tecnológicos e legais, e nos riscos a que a organização está submetida. Para isso, é essencial realizar Análises de Vulnerabilidade periodicamente e seguir medidas preventivas de proteção de dados. Ademais, é necessário atestar a existência e manutenção de um inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com suas classes devidamente definidas.

Uma recomendação para as empresas que estão iniciando a adequação de seu processamento de dados, é elaborar um bom Plano de Ação do Projeto de Implementação e Adequação à LGPD.  Assim, ao seguir as exigências da Lei e prezar pela Segurança da Informação, a empresa poderá mitigar futuros riscos. 

Em resumo, conseguimos abordar sobre os 3 pilares mais importantes da adequação à LGPD (Pessoas, Processos e Tecnologia), bem como alguns dos processos que permeiam cada um deles: 

Pessoas: 

  • Conscientizar e treinar colaboradores e parceiros
  • Nomear DPO
  • Criar um Comitê Multidisciplinar para tratar de assuntos relativos à Privacidade
  • Atender os direitos dos titulares

Processos

  • Mapear fluxos dos dados: Entender o ciclo de vida dos dados dentro da empresa
  • Definir procedimentos de registro de informações, acessos e permissões nos sistemas e soluções utilizados para realizar o tratamento de dados pessoais
  • Definir a Estrutura da Governança de Dados Pessoais: Designar responsáveis e suas atribuições

Tecnologia

  • Criar um Sistema Gestor de Segurança da Informação – SGSI
  • Análise de Vulnerabilidade – Realizar testes de intrusão (pentests) em seus sistemas e soluções
  • Adotar Medidas preventivas e Salvaguardas para proteção de dados

Adequação à LGPD
Pilares para adequação à LGPD: Pessoas, Processos e Tecnologia.

Fontes: 

Fernando Henrique Zanoni. LGPD na Prática: 13 passos para se adequar à nova regulamentação. Disponível em: <https://codigoconduta.com/2019/01/09/lgpd-na-pratica-13-passos-para-se-adequar-a-nova-regulamentacao-capitulo-1/>

Bruna Ribeiro. 6 pilares para proteção de dados. Disponível em: <jusbrasil.com.br/artigos/738867643/6-pilares-para-protecao-de-dados>

Para Assessoria Jurídica e Adequação às leis de Proteção de Dados contate nossos Advogados

Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria LGPD),  Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail contato@blconsultoriadigital.com.br  ou fale com um Advogado.

Conheça nossos Serviços em Privacidade e Proteção de Dados e Compliance Digital:

  • Assessoria para Mapeamento de Dados (Data Mapping)
  • Assessoria para Mapeamento de Legislação Setorial
  • Análise Regulatória da Coleta de Dados
  • Revisão e Elaboração de Políticas de Privacidade
  • Assessoria de Implementação de Garantia e Direitos de Usuários
  • Revisão e Adequação de Contratos
  • Assessoria jurídica para realização de transferência internacional de dados
  • Política de Segurança da Informação (PSI)
  • Plano de Respostas a Incidentes
  • Relatório de Impacto a Proteção de Dados (DPIA – Data Protection Impact Assessment)

BL Consultoria e Advocacia Digital

Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue  +55 11 3090 5979.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Jaqueline Martins
Jaqueline Martins
Graduanda em Jornalismo da Universidade Federal de Alagoas com formação técnica em informática e experiência em pesquisa acadêmica na área de Ciberjornalismo. É voluntária no projeto de extensão Memoráveis Alagoas e estagiária na área de Comunicação e Marketing Digital do BL Consultoria Digital.
Jaqueline Martins
Jaqueline Martins
Graduanda em Jornalismo da Universidade Federal de Alagoas com formação técnica em informática e experiência em pesquisa acadêmica na área de Ciberjornalismo. É voluntária no projeto de extensão Memoráveis Alagoas e estagiária na área de Comunicação e Marketing Digital do BL Consultoria Digital.

Posts Relacionados