Existem muitas dúvidas sobre como desenvolver um processo de adequação à LGPD. A principal e mais rotineira delas é se todas as empresas precisam realizar essa adequação. Se a empresa trata dados pessoais de titulares localizados em território nacional, diretamente ou através de terceiros, para fins econômicos, a resposta é sim. Diante disso, as empresas deverão registar todas as operações de tratamento de dados, disponibilizar meios para que os titulares notifiquem ou possam exigir seus direitos além de adotar medidas que visem a segurança da informação.
E quando a LGPD não se aplica? A LGPD não se aplica quando o tratamento de dados for realizado:
- Por pessoa física, com fins particulares, não econômicos;
- Para fins exclusivamente jornalísticos, artísticos e acadêmicos;
- Para fins exclusivos de segurança pública; defesa nacional; segurança do Estado; atividades de repressão de infrações penais;
- Dados provenientes de fora do Brasil e que não sejam objeto de tratamento por agentes de tratamento brasileiros.
De modo geral, para iniciar a implementação e adequação à LGPD em uma empresa é necessário: revisar todas as políticas de proteção, capacitar e conscientizar colaboradores, mapear os processos da empresa que envolvam o tratamento de dados, validar as bases legais sobre os processos existentes, revisar os contratos com fornecedores e terceirizados que tenham acesso aos dados pessoais coletados pela empresa, dentre outras ações. Além disso, será necessário criar uma Cultura de Segurança da Informação e implementar tecnologias adequadas. Essas exigências constituem os 3 pilares para uma adequação efetiva: Pessoas, Processos e Tecnologia.
A multidisciplinaridade é um termo essencial para entender os pilares que permeiam os processos para a adequação, pois existe a necessidade da colaboração de vários setores da empresa, principalmente, nos casos de empresas de base tecnológica. Dessa forma, o treinamento e conscientização dos funcionários configuram uma das etapas mais importantes do processo de adequação.
Índice
Pilares para a adequação à LGPD: Pessoas
A LGPD institui que toda empresa ou negócio, independente de seu tamanho ou área de atuação, deve nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer) que pode ser uma empresa terceirizada ou um funcionário interno da empresa, desde que este possua conhecimento jurídico e técnico em Proteção de Dados e que seja devidamente remunerado pelas atividades decorrentes da nova função.
O DPO faz parte da estrutura de governança em privacidade das empresas que realizam a coleta e tratamento de dados, sendo o responsável por monitorar a efetividade dos procedimentos de privacidade, treinar e capacitar a equipe interna, além de ser o canal de comunicação entre titulares e empresa, e ANPD e empresa.
No pilar de Pessoas, temos ainda uma das principais diretrizes da Lei Geral de Proteção de Dados: os titulares de dados.
Os titulares de dados têm direito a(o): (a) acesso aos dados pessoais que porventura sejam tratados e, consequentemente, garantia da retificação e atualização destes; (b) tratamento de suas informações pessoais somente mediante expresso consentimento, sendo realizada de maneira fácil e gratuita a exclusão dos dados do respectivo banco; (c) portabilidade, permitindo que os referidos dados possam ser encaminhados a outras empresas que também forneçam o mesmo serviço; (d) receber informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados e informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e (e) revogação de consentimento.
Pilares para a adequação à LGPD: Processos
Em Processos, podemos citar como uma primeira necessidade o mapeamento dos fluxos dos dados. Esta ação é responsável por descrever os processos e atividades que realizam o tratamento de dados pessoais, sendo a base para a análise de adequação e conformidade das práticas operacionais com a política de privacidade de dados e com a LGPD. Ademais, o mapeamento de dados é o processo chave para identificar e medir a eficiência dos processos e controles internos.
O mapeamento de dados, em conjunto com alguns outros documentos da empresa, é o ponto de partida para a realização do diagnóstico sobre a privacidade e a segurança da informação. Você pode entender mais sobre como realizá-lo em nosso artigo sobre Mapeamento de Dados.
A Estrutura de Governança de Dados possui um papel significativo nos processos de adequação à LGPD, uma vez que é a partir da distribuição de atribuições e responsabilidades entre os componentes da empresa que vai desde a organização processos para tomada de decisões, usando métodos de gestão dos dados até mesmo no gerenciamento de procedimentos para reporte de incidentes. Essa estrutura permite que os processos definidos durante a adequação à LGPD poderão continuar existindo, permanecendo, assim, a empresa em conformidade.
Pilares para a adequação à LGPD: Tecnologia
Esse pilar é importante para garantir o gerenciamento dos riscos relacionados à Segurança da Informação. Para seguir os requisitos previstos na LGPD é necessário manter um Sistema Gestor de Segurança da Informação (SGSI) baseado nos requisitos tecnológicos e legais, e nos riscos a que a organização está submetida. Para isso, é essencial realizar Análises de Vulnerabilidade periodicamente e seguir medidas preventivas de proteção de dados. Ademais, é necessário atestar a existência e manutenção de um inventário da localização do armazenamento de dados pessoais ou fluxo de dados, com suas classes devidamente definidas.
Uma recomendação para as empresas que estão iniciando a adequação de seu processamento de dados, é elaborar um bom Plano de Ação do Projeto de Implementação e Adequação à LGPD. Assim, ao seguir as exigências da Lei e prezar pela Segurança da Informação, a empresa poderá mitigar futuros riscos.
3 Pilares importantes para Adequação à LGPD – resumo
Em resumo, conseguimos abordar sobre os 3 pilares mais importantes da adequação à LGPD (Pessoas, Processos e Tecnologia), bem como alguns dos processos que permeiam cada um deles:
Pessoas
- Conscientizar e treinar colaboradores e parceiros
- Nomear DPO
- Criar um Comitê Multidisciplinar para tratar de assuntos relativos à Privacidade
- Atender os direitos dos titulares
Processos
- Mapear fluxos dos dados: Entender o ciclo de vida dos dados dentro da empresa
- Definir procedimentos de registro de informações, acessos e permissões nos sistemas e soluções utilizados para realizar o tratamento de dados pessoais
- Definir a Estrutura da Governança de Dados Pessoais: Designar responsáveis e suas atribuições
Tecnologia
- Criar um Sistema Gestor de Segurança da Informação – SGSI
- Análise de Vulnerabilidade – Realizar testes de intrusão (pentests) em seus sistemas e soluções
- Adotar Medidas preventivas e Salvaguardas para proteção de dados
Fontes:
Fernando Henrique Zanoni. LGPD na Prática: 13 passos para se adequar à nova regulamentação. Disponível em: <https://codigoconduta.com/2019/01/09/lgpd-na-pratica-13-passos-para-se-adequar-a-nova-regulamentacao-capitulo-1/>
Bruna Ribeiro. 6 pilares para proteção de dados. Disponível em: <jusbrasil.com.br/artigos/738867643/6-pilares-para-protecao-de-dados>
Entenda como a ANPD irá realizar a Dosimetria para aplicação de multas pecuniárias em casos de violação à LGPD
Confirma o texto completo sobre a Norma de Dosimetria da ANPD para aplicação de sanções administrativas previstas na LGPD.
Evite multas, adeque sua empresa aos requisitos da LGPD!
