Com o início de vigência da Lei Geral de Proteção de Dados (LGPD), ocorrido em 18 de setembro, muitas são as incertezas enfrentadas pelas empresas, que desde já precisam estar em conformidade com as diretrizes legais. Então, quais seriam os primeiros passos a serem adotados no processo de adequação à LGPD?

Leia Também A Lei Geral de Proteção de Dados: um porquê para além da moeda

1º Passo: Entenda quais dados a empresa possui

Para dar início ao processo de adequação é fundamental que as empresas tenham conhecimento sobre quais dados elas detêm. O chamado mapeamento dos dados visa identificar esses dados e qual a utilização e finalidade a eles atribuída.

Mapear o fluxo de dados ajudará a identificar as áreas mais sensíveis que poderão requerer maiores esforços no processo de conformidade.

2º Passo: Delegue responsabilidades no processo de adequação

O sucesso das empresas em sua conformidade à LGPD está diretamente ligado ao grau de envolvimento dos colaboradores e parceiros de alguma maneira relacionados aos dados tratados. Assim, é extremamente necessário que todos os envolvidos no tratamento de dados auxiliem no processo de adequação, colaborando com o envio de informações que serão valiosas nessa jornada.

3º Passo: Invista em treinamento

O processo de adequação à LGPD é um projeto de mudança na cultura da empresa. Nesse sentido, é fundamental que os colaboradores entendam a necessidade e importância do tema.

Uma excelente medida para conscientização dos envolvidos é a realização de treinamentos internos, apresentando as novas diretrizes de proteção de dados e disseminando os procedimentos implementados na empresa.

4º Passo: Verifique a real necessidade da coleta dos dados

A LGPD tem como principal objetivo a regulação dos direitos dos titulares de dados pessoais (dados de pessoas naturais). Não se trata de proibir ou coibir o uso das informações pelas empresas, mas sim de regular a utilização desses dados, de modo que os cidadãos detenham conhecimento e principalmente controle sobre todos os procedimentos de coleta, utilização e eliminação dos dados.

As empresas só devem coletar informações pessoais necessárias para fornecer o serviço ou produto e nada mais. Além do mais, é preciso deixar claro aos titulares dos dados qual a finalidade da coleta das informações. Com base na lei, não será mais possível captar informações sem que haja total transparência sobre qual a real necessidade e finalidade da captação dos dados.

5º Passo: Crie uma Política de Privacidade

Elabore a Política de Privacidade de sua organização. Caso esta já exista, é este o momento de revisão e atualização.

A empresa deverá comunicar aos titulares dos dados quais as base legais para a coleta e processamento das informações, os períodos de retenção, a possibilidade de reclamar quando os titulares não estiverem satisfeitos com sua implementação, se seus dados estarão sujeitos à tomada de decisão automatizada, entre outros direitos, considerando a LGPD. Além disso, a empresa deverá fornecer as informações aos titulares de forma clara e de fácil compreensão.

6º Passo: Elabore, revise e atualize contratos relacionados ao tratamento de dados pessoais

Todos os contratos que possuem alguma relação com tratamento e/ou compartilhamento de dados deverão ser objeto de adequação às diretrizes legais. A empresa pode iniciar seu processo de revisão agrupando os contratos por área, por exemplo, ou os contratos firmados com colaboradores, com clientes e com parceiros.

7º Passo: Implemente ou revise os procedimentos de segurança da informação

A empresa deve adotar as melhores práticas em segurança da informação. Em um incidente de vazamento de dados, será fundamental demonstrar que foram mobilizados esforços no sentido de implementar uma governança de dados eficaz, visando a proteção cibernética das informações armazenadas em meios digitais.

8º Passo: Aponte um Encarregado de dados (Data Protection Officer – DPO)

A LGPD indica a necessidade de que as empresas apontem uma pessoa (natural ou jurídica) a quem será delegada a função de intermediar as demandas junto aos titulares dos dados, bem como junto a Autoridade Nacional de Proteção de Dados (ANPD). Assim, todas as empresas deverão apontar de forma expressa a quem ficará destinada essa responsabilidade.

9º Passo: Elabore um plano para incidente de vazamento de dados

De acordo com a LGPD, os casos de incidentes envolvendo vazamento de dados deverão ser comunicados, em prazo razoável, à ANPD. Com base nessa obrigação, é recomendado que a empresa elabore um plano de ação para os casos de vazamento de dados, ficando apta para adotar, em tempo hábil, todas as providências estabelecidas na lei.

Existem diversos níveis de adequação e a empresa deverá decidir qual deles se adapta às suas necessidades, tendo como referência sua área de atuação e o volume de informações tratadas no desenvolvimento de suas atividades. Os passos acima descritos são exemplificativos, entretanto, poderão servir como base de adequação, auxiliando na jornada rumo à conformidade.

*Evelyn Tamy Macedo é advogada do Nogueira, Elias, Laskowski e Matias Advogados, especialista em Direito Empresarial pela FGV/SP