A proteção da privacidade de dados pessoais no Brasil está passando por uma verdadeira quebra de paradigma em razão da aprovação da Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018), que entrará em vigor em agosto de 2020.

Com a entrada em vigor da LGPD, os dados pessoais (nome, documentos, fotos, hábitos de consumo, IP etc.) passarão a ter proteção específica, com definições concretas sobre obrigações e direitos dos titulares e empresas. Se você ainda não está habitado a nova lei, acesse o blog post: Aspectos gerais sobre a Lei Geral de Proteção de Dados.

A LGPD alcança qualquer operação que envolva o arquivamento, processamento, armazenamento, captura, utilização, reprodução e transferência de dados pessoais. Ou seja, todas empresas brasileiras que tratem dados pessoais – mesmo o mínimo arquivamento das informações dos colaboradores, por exemplo – devem entrar em conformidade com a lei. Além disso, precisam assegurar aos titulares os direitos de prestação de informação, correção, exclusão e portabilidade de seus dados e informações.

Primeiros passos para adequação à Lei Geral de Proteção de Dados

O processo de adequação às exigências da lei pode ser relativamente rápido ou demorado, dependendo do índice de aderência da empresa e do nível atual de conformidade com a LGPD. (Descubra seu índice de conformidade através do Diagnóstico LGPD desenvolvido em parceria com a empresa OSTEC).

É importante destacar a importância da conscientização dos sócios, diretores e demais lideranças da empresa sobre a necessidade de transformação e adequação à LGPD. O engajamento dessas pessoas é indispensável para o sucesso do trabalho e para reforçar o envolvimento dos demais colaboradores.

A primeira etapa é a de escolha do manager e demais lideranças do processo, key moment para reforçar o comprometimento de todas as áreas envolvidas, como tecnologia da informação, marketing, recursos humanos, vendas e compliance, que inclusive devem estar representadas no grupo que coordenará os trabalhos. É também o momento de escolha da pessoa (encarregado) que será o canal de comunicação entre o controlador (quem opera os dados), os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

Depois disso, é hora de pôr a “mão na massa” e iniciar o processo de mapeamento de todos os dados pessoais arquivados na empresa, inclusive aqueles disponíveis em meio físico (papel etc.) ou em ambiente off line (planilhas na área de trabalho, por exemplo). Nesta etapa é fundamental apurar, por exemplo, onde estão armazenados os dados, qual a justificativa para o seu armazenamento, qual sua utilidade, dentre outras informações indispensáveis. A depender do modelo de negócio e maturidade de organização das informações, esta é uma etapa que pode levar mais tempo. No entanto, deverá ser desempenhada com meticulosidade, pois o seu resultado é determinante para os próximos passos e direcionará todo o processo de implementação.

Com a conclusão dessa etapa, é hora de rever políticas de segurança da informação, códigos de conduta (especialmente a parte que dispõe sobre o uso e tratamento de dados), rever contratos (com clientes, parceiros, terceirizados etc.), termos de uso e de confidencialidade, políticas de privacidade, dentre outros instrumentos necessários para operacionalização do negócio.

Finalmente, é indispensável multiplicar as boas práticas implementadas por toda a empresa, através de treinamentos, eventos de conscientização e canais diretos de comunicação com os colaboradores. O alinhamento com o departamento pessoal e de marketing é vital para a continuidade da nova cultura. Nesse ponto, a presença de políticas de governança é também de grande relevância. O simples fato delas existirem é fator relevante em caso de fiscalização ou atuação pela Agência Nacional de Proteção de Dados.

Parece fácil, mas é difícil, nunca impossível!

Nossa experiência em implementação e adequação à LGPD tem demonstrado que o êxito do processo depende da presença de quatro importantes pilares: líderes conscientes e comprometidos, equipe engajada, entendimento técnico e conhecimento jurídico. Com o estabelecimento dessas bases, é possível alcançar, com mais facilidade, o compliance com a LGPD. Daí a importância do assessoramento especializado na área do direito digital, privacidade e proteção de dados. As peculiaridades de cada empresa e a extensa revisão documental exige a presença de um advogado expert no tema. É igualmente imprescindível um assessoramento técnico que certifique a segurança da informação. Garantir a segurança dos dados – a fim de evitar qualquer forma de vazamento ou ataque, bem como rever e/ou implementar soluções para hierarquização de acessos, logs, backups, etc. são atividades indispensáveis para o sucesso da implementação. Soluções para localização, exclusão e portabilidade dos dados são outras das medidas tecnológicas que as empresas deverão garantir aos titulares e que demandam conhecimento técnico específico.

Como visto, a adequação à nova lei de proteção de dados não é medida fácil de ser executada, mas tampouco impossível. Investir, compreender e escolher profissionais que possam lhe guiar por essa mudança é fundamental para que a transformação resulte em um verdadeiro diferencial competitivo para a sua empresa.