1. Resumo
O intuito deste artigo é apresentar e explicar de modo sucinto as principais etapas de implementação do programa de governança em privacidade de dados, levando em consideração a Lei13.709/2018, a famigeradaLGPD.
Vale esclarecer que as etapas abaixo não são imprescindíveis, ou seja, dependendo da empresa a ser implementada, seja pelo tamanho, seja pelo número de colaboradores, uma etapa pode ser absorvida por outra ou até mesmo dispensada.
Também as etapas abaixo não possuem critérios absolutos, pois, quando da implementação, é possível realizara inclusão de outras etapas que o profissional implementador entenda necessárias.
2. Introdução
A União Europeia, após o fatídico caso da empresa americana Cambridge Analytica, promulgou o GeneralData Protection Regulation (GDPR), que estava em discussão desde o ano de 2012 ,que foi aprovado em 2016 e apenas entrou em vigor em maio do ano de 2018.
Em seguida, utilizando-se o GDPR como base, foi criada no Brasil a Lei Geral de Proteção de Dados – LGPD ,lei esta que possui o escopo de criar instrumentos de controle acerca da utilização de dados pessoais de qualquer cidadão, inclusive em meio digital, por pessoa física, pessoa jurídica de direito público e de direito privado.
A LGPD foi promulgada em agosto de 2018, mas entrou em vigor apenas em setembro de 2020, salvo os artigos que regulamentam as sanções administrativas, que passaram a vigorar a partir de agosto de 2021.
Ou seja, se o leitor for pessoa física ou possua pessoa jurídica de direito privado e realize tratamento de dados pessoais de seus clientes, saiba que já deveria estar se adequando.
Mas, olhando sempre em frente, tenho percebido que pouquíssimas pessoas/empresas estão preocupadas em se adequar à nova Lei e este artigo possui a finalidade justamente de demonstrar como seria o processo de implementação de proteção de dados.
3. Dos principais objetivos de um projeto de implementação
Ter uma empresa devidamente implementada significada ter uma empresa legalizada, ou seja, empresa adequada quer dizer que há remota hipótese de sofrer as sanções administrativas impostas em lei, como, por exemplo, advertência, multas, bloqueio de dados, etc., já que diminui a possibilidade de vazamento de dados.
Dentre os principais objetivos estão: a) a mitigação de riscos de vazamento de dados pessoais protegidos pela LGPD; b) a criação de políticas internas e de procedimentos a serem realizados por seus colaboradores sem relação aos dados coletados; c) a geração de soluções técnicas, controles pertinentes de cada setor da empresa, monitoramento e até mesmo avaliação da evolução do trabalho; d) a identificação de melhoria na forma de trabalho dos colaboradores.
4. Das fases de implementação
De proêmio, é imperioso relembrar que as fases abaixo não são absolutas, cada profissional realiza o cronograma e cria as fases de adequação como bem lhe aprouver.
As fases trazidas neste artigo são as comumente utilizadas pelos profissionais, de modo geral, sendo elas:
a) a criação de um comitê interno:
O início do programa de implementação deve se dar pela criação de um comitê interno, convocando os profissionais de diferentes setores, RH, Financeiro, Jurídico, etc., de forma que a implantação possa partir de todos os ambientes da empresa.
Caso o local a ser implementado tenha poucos setores, é despicienda a referida etapa, podendo avançar direto para a segunda (conscientização).
Caso seja realizada, dentro do comitê, deverá estar presente o DPO (Data Protection Officer) da empresa que, segundo nossa LGPD, é denominado de Encarregado de Dados.
O DPO é o profissional intermediador entre a empresa, o titular de dados e a ANPD (Autoridade Nacional de Proteção de Dados).
No que se refere ao DPO, é importante mencionar que a Resolução nº 2/22 da ANPD desobriga o agente de tratamento de pequeno porte indicar encarregado, porém, deve manter um canal de comunicação com o titular de dados, consoante artigo 41, §2º, da LGPD.
b) a conscientização
Por se tratar de uma lei nova e de pouco conhecimento/interesse geral, para que a adequação seja realmente efetiva, aplicada e respeitada, será necessária a mudança da cultura de proteção de dados.
Essa mudança é imperiosa afim de conscientizar os colaboradores da empresa de como proceder desde a coleta dos dados até a sua eliminação, inclusive para demonstrar a importância da LGPD e de que ela deve ser cumprida.
c) o treinamento
Muitos utilizam as fases de conscientização e treinamento no mesmo momento, mas, caso a empresa a ser adequada seja de grande porte – leia-se, possuir muito setores -, aconselharia a divisão destas duas importantes fases.
Para que a conscientização seja completa, é importante que se promovam treinamentos para conscientização dos colaboradores com os cuidadosa serem tomados, com o cumprimento das políticas de privacidades, código de conduta, etc.
Nada irá adiantar conscientizar e adequar uma empresa se não houver o devido treinamento de seus colaboradores.
Sempre quando me dirijo à pessoa que desconhece a LGPD, a primeira coisa que ela pensa é vazamento de dados por ataque de hackers e é importante deixar claro que qualquer deslize dentro da empresa pode acarretar consequências gravíssimas a ela, afora as sanções previstas em lei (artigo 52 da LGPD); tem-se também a quebra de reputação da empresa pela sociedade.
Portanto, uma das fases mais importantes é a do treinamento dos colaboradores, buscando sempre que a empresa esteja comprometida com a adequação.
d) mapeamento de dados
O mapeamento de dados é outra fase primordial da implementação.
Esta fase possui a finalidade de conhecer quais dados estão sendo coletados, como eles são coletados, como entram na coleta, quem realiza a guarda, quem tem acesso aos dados, dentre outras situações.
Na mesma fase também deverão ser analisados todos os tipos de contratos que a empresa detenha, seja com colaboradores, seja com terceiros ou fornecedores, a fim de analisá-los e adequá-los de acordo com a norma.
A depender do tamanho da empresa, é possível que seja feita apenas um mapeamento, mas, caso se trata de empresa com vários setores, o conselho é mapear cada área a fim de garantir que todos os ambientes sejam mapeados.
Com o mapeamento realizado, passa-se à próxima etapa.
e) Gap analysis
Aqui é o momento de pegar todos os dados mapeados e verificar quais os problemas que apareceram em cada setor, ou seja, deve-se observar todos os pontos contrários à Lei que a empresa esteja praticando diariamente.
A partir da ocorrência dos erros é que será apresentada proposta de resolução dentro da adequação a ser realizada.
f) Planejamento
Após a identificação dos problemas encontrados, é a hora de elaborar um cronograma para colocar as resoluções em prática.
A síntese do cronograma é de ordenar os pontos mais urgentes para os menos urgentes, ou seja, busca-se a resolução primeiro dos dados que, em caso de vazamentos, tragam mais riscos à empresa e aos seus titulares, a fim de corrigi-los mais rapidamente.
g) Implementação
Finalizada a etapa acima, está na hora de colocar em prática ao plano de adequação.
Na fase da implementação, serão elaborados os documentos necessários, os clientes serão notificados das mudanças realizadas, podendo a notificação ser realizada por meio de divulgação da adequação da empresa em suas redes sociais e para clientes e parceiros.
Nota-se que, depois de quase cinco ou seis fases, é que o projeto de adequação à LGPD da empresa começará a se adequar de forma prática.
h) Monitoramento
Por fim, e não menos importante, a última fase da implementação é o monitoramento do projeto realizado, consistindo na busca por parte da empresa em manter a cultura de proteção e privacidade de dados, bem como a manutenção da conformidade.
Caso seja necessário ou haja dúvidas/questionamentos por parte da empresa ou de seus colaboradores, essa etapa também serve para fazer os ajustes finais.
A adequação não acaba quando termina, é uma mudança estrutural e cultural dentro da empresa, todos os profissionais, desde a Diretoria até o estagiário, deverão estar cientes da importância do cumprimento da implementação e da LGPD.
5. Da conclusão
Conferindo a leitura do artigo acima, nota-se que a realização de uma implementação em uma empresa não é uma tarefa das mais simples, por isso, é importante entrar em contato com um profissional capacitado, para que não fique nenhum detalhe para trás que possa lhe prejudicar futuramente.
Concluindo, o programa de adequação na empresa representa um grande avanço e uma garantia para a sociedade brasileira, que terá maior segurança em relação ao tratamento de seus dados pessoais.
____________________________________________________
Quer aprender mais sobre a LGPD e seus processos práticos? Acesse o nosso site aqui
