Somos capazes de apostar que este não é o primeiro artigo que você lê sobre a Lei Geral de Proteção de Dados, a famosa LGPD. Aqui mesmo no blog, nós já publicamos diversos artigos sobre a Lei, destrinchando inúmeros aspectos teóricos e práticos dela. Todos os nossos textos podem ser acessados aqui.
Ocorre que, por mais que se fale da LGPD, é comum nos depararmos com os seguintes questionamentos: certo, mas o que exatamente eu preciso fazer para me adaptar à Lei? Como funciona o processo de adequação à LGPD na prática? Qual é o caminho a seguir para que, finalmente, a minha empresa possa ser considerada adequada à legislação de proteção de dados?
Este artigo responde tais questões, apresentando as fases de um processo de adequação à LGPD. Porém, traçamos aqui um panorama geral, que não dispensa um desenho específico de tal processo de acordo com as necessidades e características de cada empresa.
Em outras palavras, o projeto de adequação à LGPD de uma multinacional que possui milhares de colaboradores, fornecedores e prestadores de serviços, com eventual transferência internacional de dados, certamente não será igual ao projeto de uma empresa de pequeno/médio porte, que possui poucos funcionários e tem atuação majoritariamente local.
Sem dúvida, os conceitos e princípios da LGPD são os mesmos e devem ser aplicados à qualquer entidade à qual a Lei se aplica. Contudo, não podem ser desprezadas as particularidades de cada caso quando da elaboração e condução de um projeto de adequação à LGPD.
Índice
A importância da adequação à LGPD
Não basta estar adaptado. É preciso conseguir provar
Tão importante quanto adequar a sua empresa à LGPD é conseguir demonstrar que essa adequação existe. Para ilustrar, falemos do aspecto responsabilidade.
Sempre que houver um incidente de dados (como o vazamento, por exemplo) e que, por consequência, houver dano patrimonial a um titular (seja de forma individual ou coletiva), o agente de tratamento de dados é obrigado a reparar tal dano.
Ocorre que a LGPD prevê que os agentes de tratamento de dados não serão responsabilizados quando provarem que, “embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados” (artigo 43, II da LGPD).
É dizer: se um agente de tratamento de dados for capaz de provar que há adequação à Lei e que não houve violação à legislação, não poderá existir responsabilização pelo dano causado.
Para que isso ocorra, evidentemente, será preciso apresentar diversos documentos comprobatórios da conformidade à lei – diante da responsabilidade proativa na LGPD. Tal comprovação será feita junto à Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento dessa Lei em todo o território nacional.
Como a ANPD ainda está se estruturando, até este momento não se sabe qual será a natureza, a frequência ou a forma pela qual se dará a fiscalização.
De fato, nem ao menos se sabe qual será exatamente o conteúdo da documentação comprobatória que a ANPD exigirá. Isso porque a LGPD não nos dá detalhes de como devem ser elaborados tais documentos, atribuindo tal função à própria ANPD.
Logo, espera-se que haja uma produção normativa/regulamentar intensa por parte da ANPD, mas isso não significa que as empresas possam permanecer inertes e que devam aguardar.
A LGPD está inteiramente em vigor, incluindo os artigos que preveem a aplicação de sanções administrativas por parte da ANPD, e, grosso modo, todas as determinações da Lei podem ser exigidas, seja pelos titulares, seja pelo Ministério Público, seja pela própria ANPD.
Neste ponto, você pode estar se perguntando: se a LGPD não detalha a forma de elaboração dos documentos comprovatórios e se a ANPD ainda não se manifestou sobre o assunto, como a empresa deverá elaborar tais documentos?
Os projetos de adequação à LGPD englobam a elaboração de tais documentos e o fazem com base nas práticas já estabelecidas na União Europeia, sob o Regulamento Geral de Proteção de Dados, o GDPR (sigla em inglês).
Como a LGPD é fortemente inspirada pelo GDPR, espera-se que a produção de documentos comprobatórios da adequação siga o padrão que é adotado na Europa. Desse modo, até que a ANPD emita orientações técnicas nesse sentido, os projetos devem ser baseados nas práticas europeias.
As fases de um projeto de adequação à LGPD
Em linhas gerais, há três fases em um projeto de adequação à LGPD: a fase de mapeamento, a fase de diagnóstico e a fase de implementação.
Antes de detalharmos cada uma delas, vale destacar que a adequação à LGPD é feita de maneira multidisciplinar, ou seja, não é somente a área jurídica de uma empresa a responsável pela elaboração e condução de um projeto de adaptação à LGPD.
Respeitadas as proporções e necessidades de cada empresa, é ideal a formação de uma comissão que seja integrada por profissionais da área jurídica, da área de tecnologia da informação, da área de recursos humanos, da área de compliance, da área de marketing e de outras que possam existir e que, potencialmente, lidem com dados pessoais.
Naturalmente, o fio condutor para o envolvimento de tantas áreas distintas em um processo de adequação à LGPD só é possível a partir da adoção de uma cultura interna relativamente à proteção aos dados pessoais.
É por isso que a última fase, a implementação, “não termina”. É indispensável que haja um acompanhamento permanente da aplicação das medidas de adequação e, principalmente, da preparação para colocar em prática os protocolos de resposta a incidentes com dados pessoais, quando necessário.
A fase de mapeamento
Em tal fase é realizado o mapeamento do fluxo do dado pessoal na empresa. Examina-se todo o caminho do dado pessoal, desde o momento de coleta (incluindo a forma como o dado pessoal foi coletado, o propósito da coleta e quais dados foram coletados), até a forma como os dados são utilizados dentro da empresa (transferências internas e externas) e como são armazenados (incluindo a agenda de armazenamento).
O mapeamento permite identificar diversas informações extremamente relevantes no processo de adequação à LGPD, tais como:
- Identificação da categoria dos titulares dos dados pessoais: clientes, colaboradores, fornecedores, prestadores de serviços etc;
- Identificação do tipo de dados pessoais coletados: a LGPD contempla o conceito de dados pessoais sensíveis, aos quais confere-se uma proteção especial. São os dados que, a depender do tratamento, podem levar a algum tipo de discriminação, como aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dados relativos à saúde ou à vida sexual, dados genéticos ou biométricos.
Em suma, são dados cujo uso deve ser mais restrito. A identificação da coleta de tais dados na fase de mapeamento permite aplicar a eles uma proteção maior;
- Identificação da forma e da duração da armazenagem de dados pessoais: o mapeamento permite identificar uma prática muito frequente, que é a armazenagem eterna de dados pessoais, algo que está em desacordo com a LGPD.
A Lei determina que os dados pessoais devem ser eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para fins de cumprimento de obrigação legal ou regulatória, estudo por órgão de pesquisa e transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD.
Também está em desacordo a armazenagem que não contempla a aplicação de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. A fase de mapeamento permite identificar as irregularidades na armazenagem de dados pessoais, seja pela forma como é feita, seja pela duração do tempo de armazenagem.
- Eventual compartilhamento de dados com terceiros para fins de cumprimento do objeto do contrato: o compartilhamento de dados com terceiros deve ser restrito, já que o titular do dado pessoal mantém relação direta com aquele agente que realizou a coleta. Quando houver a necessidade de compartilhamento dos dados pessoais para fins de cumprimento do objeto de contrato, deverá o titular ser informado de tal necessidade. O compartilhamento de dados sem a ciência do titular está em desacordo com a LGPD;
- Em geral, analisam-se modelos de contratos celebrados com clientes, colaboradores, fornecedores de tecnologia e demais parceiros que prestem serviços relacionados ao tratamento de dados pessoais; políticas de privacidade e proteção de dados; manuais de processos internos existentes, indicando atribuições e responsabilidades em relação ao tratamento de dados pessoais; regras de acesso/autenticação à base de dados pessoais por parte de colaboradores internos da empresa, entre outros;
- Identificação do fluxo dos dados pessoais: além da análise dos documentos, a identificação do fluxo é realizada por meio de entrevistas com profissionais de cada área da empresa, para esclarecer o cotidiano de trabalhos que envolvem tratamento de dados pessoais. As entrevistas são parte essencial da fase de mapeamento;
- Elaboração de relatório: ao final da fase de mapeamento, com a realização das entrevistas e com a análise dos documentos, será possível elaborar um Relatório de Atividade de Processamento (ROPA – sigla em inglês para Record of Processing Activities).
O ROPA descreve cada tratamento de dados pessoais realizado na empresa, incluindo todas as informações coletadas na fase de mapeamento. Esse relatório é um dos documentos que as autoridades europeias solicitam quando das fiscalizações por elas realizadas.
Acredita-se, assim, que o ROPA será também um dos documentos solicitados pela ANPD no Brasil. A forma de elaboração do relatório (incluindo o conteúdo exato, modelo de arquivo etc) ainda não foi definido pela ANPD.
A fase de diagnóstico e definição de ações prioritárias
Uma execução precisa da fase de mapeamento, incluindo a elaboração exata dos ROPAs, permitirá o avanço para a fase de diagnóstico e definição das ações prioritárias para a adequação à LGPD.
Como destacado, com base nas apurações feitas na fase de mapeamento, é possível identificar o uso imprevisto ou não intencional de dados pessoais e os principais riscos das operações a fim de verificar as áreas de maior exposição.
Uma vez identificada a categoria de dados pessoais e a finalidade de sua coleta, é possível visualizar eventuais desconformidades com o princípio da necessidade, por exemplo, que limita o tratamento de dados pessoais ao mínimo necessário para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Outro exemplo é que uma vez identificada a forma de armazenamento dos dados pessoais, é possível visualizar eventuais desconformidades com o princípio da segurança.
O princípio da segurança prevê que os agentes de tratamento de dados devem utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Essas medidas devem ser observadas desde a fase de concepção do produto ou serviço até a sua execução e os sistemas devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e em outras normas regulamentares.
A partir dessas informações, é possível seguir para a elaboração do Relatório de Impacto de Proteção de Dados Pessoais (RIPD, mais conhecido pela sigla em inglês “DPIA” – Data Protection Impact Assessment), cujo propósito é promover um diagnóstico jurídico detalhado sobre os atuais procedimentos de tratamento de dados pessoais pela empresa, apontando eventuais riscos e fragilidades.
Como destacamos em outro de nossos artigos, o DPIA é um documento concebido para descrever o tratamento de dados pessoais, avaliar a sua necessidade/proporcionalidade e ajudar a gerir os respectivos riscos aos direitos e liberdades, por meio da avaliação de tais riscos e da determinação de medidas para fazer frente a eles.
O DPIA é um dos documentos fundamentais para fins de comprovação da adequação à LGPD, sendo fundamental para a construção do plano de ação (a partir da identificação dos riscos, são estabelecidas as ações que deverão ser adotadas para eliminar ou, se for o caso, para minimizar tais riscos). O plano de ação também deve ser elaborado de forma interdisciplinar, já que necessariamente incluirá medidas a serem praticadas em toda a empresa.
A fase de implementação
Uma vez elaborado o plano de ação a partir das informações constantes do Relatório de Impacto de Proteção de Dados Pessoais, deverá ser iniciada a fase de implementação.
O conteúdo dessa fase, evidentemente, dependerá das necessidades identificadas nas fases anteriores e das características próprias de cada empresa.
De modo geral, contudo, pode-se afirmar que a fase de implementação normalmente abrangerá:
- a revisão e/ou elaboração de políticas de privacidade (internas e externas);
- a elaboração de cláusulas-padrão a serem inseridas em contratos com fornecedores ou terceirizados, com relação às obrigações previstas na LGPD;
- a revisão de contratos, acordos e documentos relacionados com a transferência de dados e elaboração de cláusulas-padrão ou regras corporativas vinculantes (BCRs), conforme seja o caso;
- a elaboração de plano de respostas aos titulares que solicitarem informações dos dados coletados;
- a elaboração de plano de respostas a incidentes de vazamento de dados e remediação, entre outros.
Destaque-se que a fase de implementação abrangerá a realização de treinamentos dos colaboradores da empresa relacionados ao tratamento de dados. É fundamental se certificar que as pessoas que irão usar as informações sejam conscientizadas sobre a implementação e implicação de práticas de proteção de dados.
No relatório mais recente elaborado pela IBM sobre os custos de um incidente com dados pessoais, foi identificado que quase 25% dos incidentes são causados por erro humano. Eis a importância da conscientização.
Aqueles que manipulam dados pessoais no exercício das atividades regulares devem entender que tais dados precisam ser protegidos a todo custo. Caso isso não seja compreendido, a probabilidade de falha humana que resulte em um incidente de tal natureza aumenta exponencialmente.
Além disso, na fase de implementação, caso isso ainda não tenha sido feito nas fases anteriores, serão adotadas todas as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Como já dito, a fase de implementação “não termina”.
Uma vez implementadas todas as ações necessárias para a adaptação da empresa à LGPD, é necessário manter um constante monitoramento de tais ações, o qual garantirá que todo o tratamento de dados pessoais realizado pela empresa continue observando a boa-fé e os princípios determinados pela Lei, permitindo que os protocolos de resposta a incidentes com dados pessoais, quando necessário, sejam corretamente acionados.
Caso queira se aprofundar no tema de incidentes de segunrança, leia aqui o nosso artigo dedicado.
Conclusão
Este artigo detalhou de forma geral as fases de um processo de adequação à LGPD, ressalvando que o processo precisa ser moldado de acordo com as características e necessidades particulares de cada empresa.
Não há “receita de bolo” nem “pacotes de adequação à LGPD” que funcionem corretamente em todo e qualquer caso, garantindo segurança à empresa. Por isso, conte com profissionais preparados para atuar de maneira dedicada ao processo, ajustando-o à realidade do caso concreto.
Este conteúdo foi útil para a sua pesquisa? Esperamos que sim!
Inscreva-se em nossa newsletter para receber nossos textos sobre proteção de dados e outros materiais produzidos pelo escritório.
E aproveite para nos avaliar no Google, o seu feedback nos ajuda a produzir conteúdos cada vez melhores!
Desde que finalizei minha pós graduação em LGPD não tinha visto um conteúdo tão robusto e extremamente palatável, de fácil compreensão e sem rodeios. Como advogada iniciante, tanto na advocacia como em LGPD fico imensamente grata por vocês compartilharem o conhecimento que será muito útil tanto em minha profissão como para as empresas tão pequenas de minha cidade que dispõe de poucos recursos financeiros e precisam de orientação. Eterna gratidão
Olá, Silvana! Agradecemos o comentário e ficamos satisfeitos que tenha gostado do conteúdo.