Os documentos fundamentais para adequação da LGPD
A importância dos registros das operações de tratamento de dados na LGPD e os seus 10 documentos fundamentais.
segunda-feira, 7 de março de 2022
Atualizado em 11 de março de 2022 10:03
Este artigo conta com a participação da profissional de Segurança de Informação, com mais de 10 anos de experiência em consultoria de tecnologia nas empresas, Lamara Ferreira, para agregar a união de visão jurídica com visão da tecnologia sobre os registros e documentos fundamentais para a LGPD.
Desta forma, preliminarmente fica o questionamento sobre porque uma Lei necessita de registros e documentos? Onde exatamente a Lei exemplifica quais documentos são necessários?
A LGPD em seu art. 37 é clara ao trazer para o controlado e operador o dever de manter registros das suas operações de tratamento de dados pessoais. No entanto, ela não delimita quais registros ou conteúdos devem ser bordados nem tão pouco se devem ser físicos ou eletrônicos. Vejamos:
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
O fato é que a concepção de registro faz-se necessário na disposição do art. 37 da LGPD fundamenta-se ainda mais com a necessidade de evidenciar boas práticas e governança para tratamento dos dados pessoais e mitigação de riscos relacionados a eles fortalecidos no art. 50 da LGPD.
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Ademais, os documentos e registros gerados pelas operações de tratamentos dos dados pessoais são muito mais que evidências fundamentais, são ferramentas importantes para a manutenção, avaliação, mitigação e gestão dos riscos relacionados à privacidade e proteção de dados. E, claro, a melhoria contínua e atendimento constante da Lei Geral de Proteção de Dados.
Além disso, os registros e documentos são fundamentais para demonstrar a adequação à LGPD, a gestão para proteção da privacidade e proteção de dados dos titulares para ANPD - Autoridade Nacional de Proteção de Dados, demandas administrativas, processos judiciais e possível due diligence entre empresas (controladores e operadores).
O desafio, neste contexto, gira em torno das empresas adaptarem esses registros e documentos a sua rotina interna e operações do dia-a-dia. Mais uma vez, faz-se necessário lembrar da necessidade de atenção especial aos processos da empresa e treinamentos constantes para mudança cultural.
Por fim, antes de realmente citar os documentos fundamentais, vale a pena lembrar que as empresas necessitam de um responsável interno para a gestão do tratamento dos dados pessoais e gestão dos registros das operações de tratamento de dados, no caso, o DPO - Encarregado de Proteção de Dados. Não podendo esquecer que a relação multidisciplinar e interação de diversos setores e atores é fundamental para garantir a efetividade da LGPD e a aplicabilidade dos registros e documentos a ela relacionados.
Abaixo, listamos 10 documentos que consideramos fundamentais no projeto de adequação a LGPD. É claro que os documentos variam de acordo com cada empresa, segmento e tamanho, porém, consideramos que os itens listados abaixo são essenciais e os mais cobrados pelas empresas.
1) Plano para gestão de incidentes.
O processo responsável por gerenciar os incidentes. Além da comunicação interna, para Autoridades e titulares envolvidos.
2) Data Mapping.
Ou mapeamento dos dados pessoais nos processos da empresa. Também chamado de ROPA. Processo de rastreamento e inventários dos dados coletados e tratados dentro das empresas.
3) Plano de ação com gerenciamento de riscos.
Medidas adotadas pela empresa para lidar com as possíveis ameaças ou oportunidades.
4) Cronograma de gestão.
A gestão de Projetos é extremamente importante na LGPD. Utilizar métodos ágeis é fundamental para acompanhar as ações de adequação, execução e implementação.
5) Política de privacidade interna.
O foco deste documento é o público interno (dentro de casa, da empresa). A dica é estar acompanhada de uma campanha interna (endomarketing) com foco na cultura para proteção dos dados.
6) Política de privacidade externa.
Diferente da interna, aqui o foco são os clientes finais (titulares dos dados pessoais). Ela deve estar publicada no site e deve ter "a cara" da empresa e além disso, deve ser fácil de compreender, bem como, estabelecer os canais para o titular exercer os seus direitos.
7) Política de segurança da informação.
O berço da privacidade e proteção de dados, a segurança da informação. Como exemplo: classificação da informação, redes, cloud, armazenamento físico, backup e restore, criptografia, BYOD, anonimização, entre outros.
8) Relatório de impacto.
As atividades que envolvem um alto risco precisam constar no relatório de impacto, o famoso RIPD!
9) Plano de comunicação e treinamentos.
Os treinamentos e as comunicações internas são essenciais. Além disso, é necessário ter esta frente do projeto registrada. A exemplo: controle de treinamentos para colaboradores, modelo de teste de avaliação de conhecimentos, as apresentações editáveis para palestras e workshops.
10) Termo de compromisso com a segurança (foco em operadores).
Fundamental para enviarmos aos operadores, empresas que tratam dados pessoais em nome do controlador. Inclui as principais responsabilidades jurídicas, direitos, deveres, segurança, disponibilidade e confidencialidade.
Diante disso, para finalizar o artigo sobre os documentos fundamentais para adequação da LGPD é aconselhável que a empresa, consultoria e/ou encarregado de dados estabeleçam um prazo para atualização periódica e descarte dos registros de operações de tratamentos de dados arquivadas ou em desuso.
_____
1 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
2 https://pacotelgpd.com.br/f/10-documentos-fundamentais-na-lgpd