Logo quando a LGPD foi publicada, em agosto de 2018, muitos não deram a devida atenção à referida Lei, por terem entendido que não se aplicaria à sua empresa em decorrência das atividades comerciais conduzidas, ou por conta do porte ou ramo de atuação. Ocorre que, se analisarmos com cuidado a operação das empresas, verificaremos que toda empresa ou entidade do terceiro setor lida com dados pessoais, seja na contratação de funcionários ou fornecedores, como apoio para a condução de suas atividades ou para comercializar os dados na era do Big Data. Assim, concluímos que todas as empresas deverão cumprir os comandos da LGPD.
E, como devem se adequar à LGPD? A boa notícia é que, para aquelas empresas que já possuem um Programa de Compliance bem estruturado, a lição de casa será muito mais fácil, já que podemos nos utilizar dos cinco pilares do programa de integridade para empresas privadas da Controladoria Geral da União, de modo a efetivar as exigências da LGPD:
1º – COMPROMETIMENTO E APOIO DA ALTA DIREÇÃO – é necessário que a alta direção compreenda a importância e impacto da LGPD nos negócios da empresa, para que sejam destinados recursos necessários para as devidas adaptações à LGPD.
2º – PESSOA RESPONSÁVEL PELO CUMPRIMENTO DA LGPD – a alta direção deverá nomear o encarregado, também conhecido como Data Protection Officer, que responderá pelos deveres da empresa enquanto controladora de dados pessoais. Ademais, deverá criar um departamento composto por indivíduos responsáveis pela estruturação, monitoramento e aprimoramento do compliance digital da empresa. A depender do porte da empresa, recomenda-se que seja instituído um Comitê de Proteção de Dados, que deverá ser formado preferencialmente por colaboradores de diferentes áreas, pois, dessa forma, cada um poderá contribuir com o seu know-how.
Vale ressaltar que a Lei prevê que a empresa, na posição de controladora do tratamento de dados, pode contratar um terceiro para atuar como operador do tratamento de dados. No entanto, deve-se ter em mente que, caso ocorra violação à LGPD, a responsabilidade será solidária.
3º – ANÁLISE DE PERFIL E RISCOS (RISK ASSESSMENT) – Em observância às exigências da LGPD, deve-se realizar relatório de impacto à proteção de dados pessoais, para verificar os riscos envolvidos durante o tratamento de dados. Tendo em vista que os dados pessoais de colaboradores, clientes e terceiros transitam por diversos departamentos, recomenda-se que o relatório seja conduzido pelos líderes responsáveis de diversas áreas, tais como TI, RH, compliance, jurídico, marketing e segurança da informação. Nessa etapa, é importante que o data flow das informações seja criteriosamente mapeado, para que seja identificado todo o ciclo de vida – coleta, tratamento, compartilhamento, armazenamento e descarte – dos dados pessoais coletados pela empresa, e os riscos inerentes a cada etapa. Uma vez que o fluxo for mapeado, as medidas necessárias para se proteger esses dados e mitigar os riscos poderão ser tomadas.
Ainda, uma vez concluído o relatório, será possível identificar a base legal ou contratual para o tratamento dos dados, uma vez que, de acordo com a LGPD, a coleta, tratamento, armazenamento e compartilhamento de dados só pode ser realizada se houver relação jurídica ou contratual, bem como consentimento expresso do titular dos dados.
4º – ESTRUTURAÇÃO DAS REGRAS E INSTRUMENTOS – Uma vez identificados os riscos, passa-se à implementação do Programa de Governança, composto por políticas e instrumentos voltados para a proteção dos dados pessoais, que deverão considerar, dentre outros temas, a implementação de programa de governança em privacidade (Política de Privacidade, Política de Acesso, Portabilidade e Eliminação de Dados, Política de Transferência de Dados, etc.) e segurança cibernética (mitigação de riscos, salvaguardas a vazamento de dados, ataques de hackers, etc.), plano de gestão de crise (manual de crise, notificação de incidente em caso de vazamento de dados).
Um importante mecanismo que também deverá ser adotado pelas empresas é o canal de comunicação, que funcionará como intermédio entre o titular e o controlador dos dados. Ainda, os sistemas utilizados deverão ser estruturados para que, desde a sua concepção, atendam aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios da LGPD, bem como demais normas setoriais às quais a empresa esteja sujeita.
5º – ESTRATÉGIAS DE MONITORAMENTO CONTÍNUO – Assim como no Programa de Integridade, uma vez implementado o Programa de Compliance Digital, todos os colaboradores deverão passar por treinamentos capazes de sensibilizá-los acerca da importância da LGPD. Ainda, diante da velocidade do mundo digital, o programa deverá, de tempos em tempos, ser revisto, para que haja o devido aprimoramento e adaptação à realidade. Ainda, de acordo com a LGPD, é necessário que seja mantido registro das operações de tratamento, especialmente quando baseado no legítimo interesse.
Diante do exposto, resta claro que, quanto antes as adequações à LGPD forem implementadas, mais tempo as empresas terão para aprimorarem o seu programa de compliance digital, reduzindo, dessa forma, a possibilidade de infringirem a LGPD.