LGPD: Como adequar sua empresa, na prática?
Uma das principais responsabilidades das empresas nos tempos atuais é assegurar aos clientes que seus dados estejam protegidos, tornando-se uma necessidade para se manterem idôneas no mercado.
A seguir, cinco passos importantes para se adequar à Lei Geral de Proteção de Dados Pessoais (LGPD):
- Comitê de compliance;
- Definir o encarregado (DPO);
- Avaliar os gaps da empresa em relação à privacidade de dados;
- Adequar os processos para que estejam em compliance com a LGPD;
- Manutenção da proteção dos dados.
Comitê de Compliance
A legislação determina que os fluxos de operação de dados deverão ser mais cautelosos e transparentes. Portanto, para garantir a segurança e a privacidade, importante a estruturação de um comitê de compliance, com profissionais especializados, tanto nos aspectos jurídicos quanto nos diversos setores da empresa que serão afetados pela nova lei de proteção de dados.
O comitê será responsável pelas avaliações de risco e definição de códigos de conduta conforme as diretrizes da LGPD. O comitê irá garantir que a empresa esteja operando dentro dos requisitos legais e de modo a atender os princípios impostos pela lei. A formação do comitê é imprescindível para que os próximos passos sejam permeados em conformidade com a LGPD.
Definir o Encarregado (DPO):
De acordo com a LGPD, há a obrigatoriedade de um encarregado (DPO), sendo o intermediador entre os titulares dos dados, as empresas e a fiscalização. De acordo com a previsão legal, as atividades do DPO são:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Orientar os funcionários e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Receber comunicações da autoridade nacional e adotar providências;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. O DPO é a pessoa responsável por comandar as atividades de proteção de dados dentro da empresa e estar ciente e totalmente integrado com todas e quaisquer informações que tratem dados pessoais. A identidade e as informações de contato do DPO deverão ser divulgadas de forma clara e objetiva, preferencialmente no website do controlador.
Avaliar os gaps da empresa em relação à privacidade de dados:
Com o comitê formado e o DPO nomeado, é hora da empresa rever todos o seu processo, detectando os dados pessoais e o seu tratamento:
- Qual o volume de dados tratados?;
- Que tipos de dados estão sendo tratados?;
- Quem é o responsável pelos dados?;
- Por que os dados foram coletados?;
- Qual a razão legal para continuidade do tratamento dos dados?;
- Até quando os dados ficarão na base da empresa?
Com esses questionamentos, inicia-se o processo de averiguação dos dados e a empresa começa a rever o que deve manter, por qual finalidade e base legal e por quanto tempo.
Adequar os processos para que estejam em compliance com a LGPD:
De acordo com o art. 7º da LGPD, o tratamento dos dados pessoais somente poderá ser realizado nas seguintes hipóteses:
- Mediante fornecimento de consentimento do titular;
- Para cumprimento de obrigação legal ou regulatória pelo controlador;
- Pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
- Para estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Quando necessário para execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- Para exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Para proteção da vida ou da incolumidade física do titular ou terceiro;
- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Quando necessário atender interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais;
- Para proteção do crédito.
Manutenção da proteção dos dados:
Importante contar com o apoio de um sistema de gerenciamento de privacidade de dados para facilitar, uma vez que será preciso realizar um inventário da empresa para que se possa identificar como cada atividade de tratamento de dados é realizada, quais sistemas apoiam tais atividades, quais parceiros e fornecedores participam delas, elencar os riscos associados e, finalmente, definir um ou mais planos de ação para adequar a atividade de tratamento.
* Por Adriana Bueno Brocker, advogada (OAB/SC 32.488).