Apesar de aprovada no ordenamento jurídico brasileiro desde 2018, a Lei Geral de Proteção de Dados (LGPD - lei 13.709/18) somente ganhou visibilidade a partir de sua vigência em 18/9/20. Mas, ainda assim, muitos desconhecem a lei e os que já ouviram falar sobre ela, lançam a clássica pergunta: “E na prática, o que fazer?”
A prática da adequação envolve muitos detalhes e pode variar em sua complexidade de acordo com a estrutura de cada empresa e seu respectivo ramo de atividade. Este contexto já sinaliza uma provável necessidade de criação de um comitê ou equipe multidisciplinar, para encabeçar o plano de adequação por meio da elaboração de uma Política de Governança.
O ideal é que se busque na equipe multidisciplinar a inclusão de pessoas de diversas áreas da empresa, ou seja, que envolva os principais setores que tratam os dados pessoais de clientes, parceiros e dos próprios colaboradores, como Recursos Humanos, Departamento Pessoal, Jurídico, Comercial, Marketing e Tecnologia da Informação (TI). É esta equipe que irá, no dia a dia, engajar os demais colaboradores e ajudar na fiscalização do cumprimento do plano de implementação.
Após, inicia-se a fase de mapeamento de dados, que nada mais é que realizar a efetiva gestão das informações e dados nos diferentes ambientes da organização, razão pela qual é imprescindível a adesão de toda equipe multidisciplinar, que irá, conforme dito, influenciar nos seus respectivos setores.
Durante o transcurso da fase de mapeamento de dados, será necessário a elaboração de um documento que servirá como inventário de dados, no qual constará, de forma detalhada, a catalogação de todos os dados pessoais que são tratados internamente pela empresa. Isto é, os dados serão classificados de acordo com sua natureza: se sensíveis ou cadastrais e quais suas respectivas bases legais etc. Citado documento fará parte do Relatório de Impacto, que por sua vez, terá suma importância para fins de eventual fiscalização ou auditoria externa.
Na prática, esta fase, apesar de complexa diante do grande fluxo de dados, será uma ótima oportunidade de as empresas olharem para si, para seus procedimentos internos e identificar suas falhas ou gaps, conforme é comumente tratado no âmbito da LGPD, contribuindo para a organização maior gestão do seu negócio.
Como resultado do mapeamento de dados, a empresa terá a percepção dos principais riscos a que está exposta, seja em razão de um sistema interno não tão seguro, seja por problemas de conscientização e treinamento da própria equipe, o que permitirá a adoção de mecanismos de prevenção, bem como a tomada de decisões visando eliminar ou, ao menos, minimizar os riscos pela não observância aos preceitos da LGPD.
Outra etapa que gera muitas dúvidas é a elaboração dos documentos necessários e a adequação aos contratos já existentes, especialmente os contratos de prestação de serviços com empresas parceiras e dos próprios colaboradores. Neste particular, recomenda-se que as organizações contêm com o auxílio de um jurídico especializado no tema, para fins de customizar seus contratos, políticas de privacidade, termos e demais documentos de forma a assegurar a aplicação da LGPD à realidade interna da organização.
De acordo com as explanações trazidas até o momento, é possível perceber que o plano de adequação à LGPD é bastante orgânico e sofrerá mutações de acordo com a realidade de cada empresa, ou seja, não existe fórmula pronta! Portanto, necessário que se documente todas as etapas e todas as medidas protetivas adotadas pela empresa, visto que tais documentos farão parte do Relatório de Impacto já mencionado anteriormente.
Por fim, vale destacar que todas as medidas adotadas para uma adequada implementação da LGPD exigem tempo e responsabilidade, mas, ao contrário do que muitos pensam, a prática não é uma tarefa impossível.
_________