LGPD em vigor, e agora?

Por Dr. Eduardo Mendes Zwierzikowski

Confira o passo a passo de adequação

Após amplas discussões sobre quando iniciaria a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), não há mais dúvidas, ela está em vigor desde o dia 18 de setembro (embora as penalidades administrativas sejam aplicáveis somente a partir agosto de 2021). A partir de agora, todos aqueles que realizam operações de tratamento de dados pessoais, incluindo pessoas naturais ou pessoas jurídicas de direito público ou privado, devem a ela se adequar, mas por onde começar?

O primeiro passo de qualquer programa de conformidade com a LGPD envolve a realização de uma atividade de mapeamento ou inventário de dados. Por meio dessa atividade, busca-se entender quais são os dados pessoais, a sua origem, finalidade na utilização, se há política de descarte, compartilhamento; enfim, é uma etapa destinada a compreender o ciclo de vida dos dados.

Nesse diagnóstico inicial, são analisados contratos, propostas, políticas internas, como as de privacidade e cookies (quando existentes), além de outros documentos relativos às operações da empresa para avaliar as ações relacionadas ao tratamento de dados pessoais.

Diante da extensão do trabalho desenvolvido, ao final do mapeamento é possível elaborar um relatório de diagnóstico segundo o nível de maturidade da empresa, com a indicação de quais são as ações necessárias para garantir a plena aderência da organização à LGPD e os riscos relacionados ao tratamento de dados pessoais.

Já o segundo passo envolve a execução das ações propostas nesse relatório preliminar, com a revisão de minutas de contratos, elaboração de aditivos, estabelecimento de cláusulas padrão no caso de compartilhamento de dados pessoais, redação de novas políticas, criação de outros procedimentos internos destinados a estabelecer boas práticas no tratamento de dados pessoais e o treinamento de funcionários.

Se necessário, devem ser confeccionados relatórios de impacto à proteção de dados pessoais (DPIA), com a descrição dos processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Nessa segunda etapa, embora não seja uma regra, normalmente é constituído formalmente o comitê de privacidade e indicado o Encarregado pelo Tratamento de Dados Pessoais, pessoa física ou jurídica que possui a incumbência de aceitar reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências; receber e implantar as comunicações da autoridade nacional e orientar funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

Como visto, são inúmeras as tarefas necessárias para que a conformidade com a LGPD seja alcançada inicialmente, mas é imprescindível destacar que o programa de adequação deve ser constantemente revisto, especialmente após a constituição da Autoridade Nacional de Proteção de Dados Pessoais, órgão que disciplinará matérias pendentes de regulamentação na lei, o que demandará um esforço contínuo de adequação.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *