A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709 – “LGPD”) foi aprovada em agosto de 2018, entrou em vigor em setembro de 2020 e as suas sanções passaram a ser aplicadas em agosto de 2021.
As empresas que ainda não se adequaram às novas regras devem fazer isso o quanto antes por meio de um projeto de adequação à LGPD. A lei não prevê um modelo de adequação padrão, devendo cada projeto ser criado conforme as necessidades e características da empresa.
Apesar de não haver uma regra, listaremos a seguir algumas fases básicas que podem servir como norte para o seu projeto de adequação. São elas: mapeamento, implementação e manutenção.
Mapeamento
O primeiro passo é mapear os dados que foram armazenados pela empresa.
Onde e como eles são armazenados? Quem tem acesso a esses dados? Quem é o responsável por eles? Por que eles foram coletados? Há alguma falha no armazenamento, como, por exemplo, a falta de consentimento antes de armazenar?
Em seguida, deve-se descartar aqueles que não são necessários. Quanto menos dados, mais fácil se torna o controle.
Implementação
Com o mapeamento feito, está na hora de partir para a ação. Os próximos passos irão variar conforme as necessidades que foram verificadas na fase anterior.
Rever medidas de segurança da informação
Rever as medidas de segurança da informação e criar novas, se necessário.
Algumas medidas que podem ser implementadas são: criar uma “política de privacidade”; guardar documentos físicos sigilosos em um cofre; usar autenticação de dois fatores; pedir login e senha para acessar determinados arquivos digitais e usar recursos de rastreabilidade.
Obter consentimento
Em determinados casos, a empresa deverá entrar em contato com os titulares dos dados e obter o consentimento para armazenamento deles conforme o previsto na LGPD. Esta é uma etapa demorada e, por isso, deve ter início o quanto antes.
Adequar documentos e processos
Quanto aos documentos e processos vigentes, a empresa precisará adequá-los à LGPD. Ela deve, por exemplo, criar aditivos contratuais para os contratos em vigência, com cláusulas que estabeleçam as obrigações e responsabilidades de cada parte no que diz respeito ao cumprimento da LGPD.
Definir o Encarregado pelo tratamento de dados pessoais ou Data Protection Officer (DPO)
O DPO é a pessoa responsável pela proteção de dados dentro da empresa.
Algumas de suas funções são: receber reclamações e comunicações dos titulares de dados; prestar esclarecimentos; realizar treinamentos; sugerir mudanças e orientar funcionários.
A função do DPO pode ser exercida tanto por um funcionário da empresa quanto por uma pessoa física ou jurídica externa contratada – o chamado DPO as a service.
Manutenção
Depois que as mudanças foram feitas, é necessário mantê-las ao longo do tempo. Para isso, ações de manutenção devem ser criadas e a equipe deve receber treinamentos periódicos para se adequar às novas regras e internalizar a nova cultura de cuidado com os dados pessoais.
Conclusão
Adequar uma empresa ao previsto na LGPD não é tarefa simples, especialmente em grandes corporações em que a quantidade de informações acumuladas é grande.
Por isso, o ideal é que esse processo seja feito com o auxílio de uma equipe especialista no assunto, como o escritório TAGD Advogados. Assim, você tem a segurança que as regras da LGPD estão sendo cumpridas e que não há risco de sanções.
Patricia Barcellos Madeira
patriciabarcellos@tagdlaw.com
Mariana Macedo
mariana.macedo@tagdlaw.com
