A conceituação da LGPD, em um primeiro momento, pode ser simples: é uma lei que entrou em vigor, com o objeto de garantir a proteção de direitos fundamentais das pessoas como intimidade e privacidade, através de um melhor regramento em cima da utilização de dados pessoais, frente à uma nova era, onde o principal “combustível” para o mundo dos negócios, tornou-se o tratamento desses dados pessoais através de um grande número de formas.
Mas quando entramos em diversos aspectos, imaginando como seria um programa de adequação, nos deparamos que é um assunto multidisciplinar com necessidade de estruturas de governança, algo que na maioria das vezes não encontramos nas empresas. Isso acaba deixando o assunto bem mais complexo.
A LGPD atribui a prestação de contas e responsabilização para quem controla dados pessoais, através de regulamentos, estruturas de controle, sanções administrativas e penalizações, das quais vão depender de diversos fatores como o grau de adequação da empresa à LGPD, a reincidência, o tamanho do dano causado, entre outras.
Além disso, há também diversos aspectos que precisam ser seguidos pelas organizações que fazem tratamento de dados, conhecidos como agentes de tratamento:
- os controladores: que tomam decisões sobre o tratamento dos dados de titulares de dados;
- e os operadores: que são empresas que realizam o tratamento de dados à mando de um controlador.
Porém, a LGPD não nos dá uma fórmula em como fazer. Você precisa conhecer a Lei Geral de Proteção de Dados e entender seus aspectos e complexidades inerentes ao seu negócio, para poder formular a sua estratégia de adequação. Alguns projetos são simples, outros muito mais complexos.
Aqui vai uma dica: preocupe-se se alguém disser que tem uma fórmula mágica ou ferramenta que sirva para qualquer empresa. Não é bem assim.
Vamos tentar aqui, abrir alguns pilares para reflexão, daquilo que estamos vivenciando e aprendendo sobre o tema, de uma forma bem geral:
Pessoas: São a alma de um programa de adequação à LGPD. Também são o ponto de angústias e frustrações, como no momento de definir um Encarregado de Dados (DPO – Data Protection Officer). Se temos ou não pessoas internas com as competências necessárias? Vamos terceirizar (DPO as a Service)? Quem vai ser o Gestor de Privacidade, que vai fazer acontecer internamente na empresa? Não deveria ser o DPO, porém muitas empresas que investem em um curso de 20 horas acreditam que aquele profissional já está apto para quaisquer tarefas sobre a LGPD, e não é assim.
Outro ponto relevante aqui, na escolha de um DPO interno, é o conflito de interesse. Se vou elencar um profissional interno para esta função, com as características desejadas, dificilmente terei alguém assim, com a disponibilidade necessária. Este profissional provavelmente já tem outras atribuições. Como conciliá-las e fazer realmente o que é o papel do DPO, ou seja, representar a Autoridade Nacional de Proteção de Dados (ANPD) no
ambiente interno da organização?
Vejo muitas empresas repassando essa responsabilidade para o Gestor de TI que normalmente já está sobrecarregado, onde ele, além de todas as obrigações inerentes à área de TI, muitas vezes, já leva também o peso da inovação nas costas, em função do alto grau de digitalização que nossas empresas estão buscando para concorrer e, projetos que derivam dessa necessidade e passam, consequentemente, na área de TI.
Processos: Um dos principais pontos. Os processos precisam ser revisados, priorizando os processos que tratam com dados pessoais. Logo, o mapeamento dos dados pessoais desencadeia a revisão dos processos e também traz uma responsabilidade muito grande, quando realizarmos novos processos de mudança. Precisaremos sempre alinhar processos por onde trafegam dados pessoais, revisando a real necessidade, além de sempre revisar o embasamento legal e suas dez base possíveis para a realização do tratamento desses dados.
Tecnologia: Entra como um facilitador no processo. Ajuda a organização no controle e organização dos relatórios necessários de demonstração de adequação e avaliação de impacto. Ajuda também a criar as evidências necessárias que comprovem que se faz aquilo que se diz. É forte aliada no aspecto de segurança da informação, impedindo vazamento de dados que é o maior incidente, dentro desse processo.
Já estamos nos deparando com processos de vazamento de dados nas organizações e a LGPD já está em vigor, já está sendo referência. Esse processo, da maneira que está, nos traz insegurança jurídica. A única alternativa é buscarmos tão logo quanto possível à adequação a LGPD.
Em agosto de 2021, as sanções administrativas passarão a estar valendo e multas maiores provavelmente virão, já com o funcionamento da ANPD. Enquanto isso o MP do Distrito Federal e sua Unidade de Proteção de Dados, e os órgãos de defesa do consumidor, já estão atuando e vigilantes sobre o tema.
Se você já está atuando em um processo de adequação, siga em frente e não olhe para trás, caso contrário, comece agora, não deixe para depois. O momento é agora!
Autoria: Roberto Mazzilli