13 out

LGPD – O CAMINHO PARA A ADEQUAÇÃO E OS CUIDADOS NECESSÁRIOS NA HORA DA IMPLEMENTAÇÃO

Postado por admin Em Artigos

*Dra. Kátia Schenato Valandro

 

Este é o segundo artigo de uma série que pretende abordar a Lei geral de proteção de dados e a sua adequação e/ou implantação por parte de quem trata dados de terceiros.

Você já acompanhou, em artigo publicado recentemente, algumas linhas introdutórias quanto à lei (https://mla.bs/50cf5354).

Hoje, pretendemos abordar as etapas da adequação e os cuidados necessários na hora da implementação, isso porque, não raras vezes, temos visto o assunto ser tratado de forma superficial, sem a necessária importância e profundidade com que deve ser encarado.

E o fato de a lei ter entrado em vigor na segunda quinzena do mês passado apenas afiançou a necessidade de cautela na hora de realizar a adequação à lei, ou mesmo contratar uma consultoria para tanto.

Adiantamos, desde já, que realizar uma correta adequação à lei não é, nem de perto, apenas redigir simples termos de uso e de política de privacidade ou, ainda, colher assinaturas em termos de consentimento desvinculados com a realidade da empresa ou de quem trata dados de terceiros.

Isto é, a adequação é um processo quase artesanal; a solução que cabe à sua empresa ou a você pode passar bem longe daquela imprescindível ao seu vizinho.

Isso porque cada estabelecimento, seja individual ou não, coleta diferentes dados (correlatos ao tipo de atividade desenvolvida); possui diferentes sistemas de gestão empresarial, bem como o fluxo de dados dentro da organização varia a cada caso.

Assim, oferecer uma adequação padrão não nos parece o mais correto e de forma alguma significará conformidade aos preceitos da nova legislação.

Pelo contrário, implementações padronizadas tendem a gerar um passivo enorme para a empresa, cuja extensão somente será descoberta ao se constatar, perante o Poder Judiciário, ou órgãos de fiscalização, a exemplos do Ministério Público, Procons e a própria Agência Nacional de Proteção de Dados (ANPD) o quão longe de conformidade você ou sua empresa estão.

Assim, soluções simplistas não encontram utilidade quando o assunto é LGPD e adequação.

Um processo de implementação costuma ser dividido em três ou mais etapas, dependendo da metodologia utilizada.

A primeira etapa geralmente é conhecida como a fase de diagnóstico.

Nela, será possível verificar qual é o status atual da empresa ou pessoa física, através de questionários e entrevistas, isto é, qual é a atual posição de adequação do sujeito à legislação. Ao final dessa etapa, deve ser fornecido à empresa ou pessoa física um relatório, contendo o referido diagnóstico, com a indicação atual do grau de adequação às exigências da lei, bem como devem ser indicadas as adaptações urgentes (e que oferecem, portanto, maior risco), isto é, deve ser dado um guia do que a empresa ou pessoa física deve fazer para se ajustar às normas.

Definido o que é necessário ser feito, é, então, realizado um levantamento do fluxo de dados dentro da organização, isto é, se verifica qual é o fluxo de informações para qualquer processo ou sistema utilizado pela empresa, bem como é feito um levantamento de quais dados são coletados (a exemplo: nome, CPF, profissão, endereço, telefone, etc.) e de que forma são armazenados (a exemplo: bancos digitais, criptografados ou não; arquivos físicos, etc.).

É uma fase essencial para o processo de adequação às regras da LGPD, pois este levantamento mostra como a empresa está lidando com as informações pessoais dos seus clientes.

Posteriormente, se analisará e se categorizará o tratamento dos dados dentro das bases legais que a norma permite, isto é, se verificará, para cada tipo de dado, qual é a base que ampara a coleta e o armazenamento, por exemplo. Inexistindo base legal, ou sendo ela insuficiente para fundamentar o tratamento daquela informação, ela deve ser excluída.

Somente após esta etapa, de fluxograma e levantamento dos dados que são tratados (lembramos que no artigo anterior trouxemos as inúmeras atividades que a lei entende como tratamento de dados), é que se passará para a etapa seguinte, qual seja, se confrontará cada base legal na qual se fundamentou o tratamento de dados e se verifica o que é necessário ser feito.

Para os casos em que a base legal seja o contrato, por exemplo, será necessário ratificar e/ou aditar instrumentos jurídicos já existentes ou, caso inexistentes, redigi-los. Ali serão incluídas cláusulas que apontem quais os dados coletados, como ele estão armazenados, para qual finalidade, por quanto tempo e com quem são compartilhados.

Por isso a importância da etapa anterior – fluxograma e levantamento de dados – ser feita de forma correta, com acuidade, uma vez que serão estes resultados que servirão de base para os aditivos contratuais ou a realização de novos contratos. Por tal motivo se disse no início do artigo que cláusulas padrões não servirão como forma de atestar a conformidade à lei.

Nesta etapa também serão feitos aditivos aos contratos de trabalho com os colaboradores; serão formalizados contratos com terceirizados e com prestadores de serviços, prevendo, inclusive, a responsabilidade destes e daqueles no tratamento dos dados coletados pela organização.

Os termos de uso e de política de privacidade também serão revistos nesta etapa.

Palestras com as equipes de colaboradores a respeito da importância da conformidade à legislação, bem como as implicações legais devem ser realizadas, sendo também parte do processo de adequação à LGPD.

Por fim, após cumpridas todas estas etapas, é possível assegurar que o sujeito está, naquele momento, em conformidade com a lei.

No entanto, esse processo (de conformidade) deve ser permanente, eis que sempre que for coletado novo dado ou realizada nova forma de tratamento de dados, o fluxograma e levantamento de dados e os instrumentos jurídicos precisarão ser revistos.

Vê-se, pois, que o processo de implementação da lei geral de proteção de dados é complexo, e demorado, tomando em torno de 6 (seis) a 24 (vinte e quatro) meses (!) dependendo da organização e da atividade desenvolvida.

Soluções simplistas, superficiais e padronizadas passam ao largo da finalidade da lei e, de forma alguma servem para comprovar que a empresa está em compliance (ou conformidade com a lei).

Dessa forma, tendo em vista a complexidade do programa de implementação da LGPD, sugere-se que as partes atingidas pela legislação procurem profissional de sua confiança para auxilia-las nesse processo, esclarecendo dúvidas e solucionando eventuais discussões e problemas.

*Advogada. Especialista em Direito Previdenciário e em Direito dos Negócios. Sócia da Bianchi Advocacia.


TAGS

Assine nossa newsletter

Nome
E-mail