Não é novidade que as empresas deverão se adequar à Lei Geral de Proteção de Dados (LGPD). Contudo, não são todas que possuem um orçamento disponível para contratar serviços de implementação, principalmente quando se trata de pequenas e médias empresas. Entretanto, existem ações de conformidade essenciais que podem ser tomadas com um orçamento reduzido. Assim, preparamos um to-do list de tais ações que irá ajudar a sua empresa a aumentar a conformidade com a LGPD.

É de extrema importância que a empresa como um todo entenda a importância da proteção de dados pessoais. A simples realização de um projeto de implementação sem que os funcionários entendam sua importância e necessidade não basta para manter a conformidade com a LGPD.

Para além de medidas práticas, a proteção de dados deve ser interiorizada pelos funcionários, para que apliquem em suas atividades as boas práticas trazidas pela Lei. Treinamentos, cursos e avaliações constantes são imprescindíveis para manter a cultura de proteção de dados enraizada. Sem o aculturamento da proteção de dados, quaisquer outras medidas tendem a ser tornar inservíveis.

Diferentemente do GDPR que traz algumas exceções à nomeação do DPO, a LGPD, nos termos do art. 41, determina que todos os controladores devem designar um encarregado de proteção de dados (também conhecido como Data Protection Officer – DPO). Trata-se, basicamente, da figura responsável pela viabilidade de comunicação entre o titular, a empresa e a Autoridade Nacional de Proteção de Dados (ANPD), além de outras muitas possíveis atuações.

Nos termos da lei, seus contatos devem ser amplamente divulgados, preferencialmente no site da empresa, para que os titulares consigam se comunicar e exercer seus direitos sem grandes esforços. Dentre suas funções, destaca-se a orientação dos funcionários da empresa a respeito das boas práticas em relação à proteção de dados pessoais e o atendimento aos direitos dos titulares.

O encarregado pode ser tanto uma pessoa física e não há exigência sobre a sua formação. Portanto não é requisito “ser advogado” e tampouco “profissional de segurança da informação”. Apesar disso, conhecimentos jurídicos, de processos, de segurança da informação, de compliance e bom conhecimento dos negócios são fundamentais para o bom desempenho das funções.

Para demonstração da conformidade com a LGPD a política e aviso de privacidade são extremamente importantes, principalmente para efetivação dos princípios de transparência, segurança e prevenção.

Embora confundidos por muitas vezes, a política de privacidade é um documento interno, dirigido aos membros da empresa, que rege o tratamento de dados pessoais indicando quem pode tratar ou tomar decisões sobre os dados pessoais, quais são as formas de tratamento, retenção, bem como quais são os direitos garantidos aos titulares. Por sua vez, o aviso de privacidade trata-se de uma informação ao titular que descreve quais são os dados tratados, a forma de tratamento, suas finalidades, os períodos de retenção, bem como indica quais são seus direitos.

No Brasil, tais documentos podem ser encontrados como sinônimos, chamando-se de política ou aviso de privacidade. O importante é que as empresas disponibilizem um documento que normatize o tratamento de dados pessoais pela empresa, que forneça transparência de como o tratamento é realizado ao titular, bem como as formas de exercício de seus direitos.

Dentre outras garantias asseguradas pela LGPD, o titular possui o direito de acesso a seus dados pessoais, da confirmação do tratamento, da correção de dados incompletos ou desatualizados, da revogação do consentimento e eliminação dos dados pessoais tratados nessa base legal. Não obstante, nos termos do art. 19, inciso II da LGPD, o prazo para atendimento dos pedidos dos titulares é de 15 (quinze) dias.

Isso somente será possível caso a instituição disponibilize um canal para comunicação com os titulares, canal este que deverá ser capaz de atender aos pedidos, dar as devidas devolutivas e, evidentemente, ser de fácil acesso e utilização pelos titulares. O canal precisa ser um meio eficaz para a gestão dos direitos do titular de modo que sua ineficácia significará a violação da lei.

Os registros das atividades de tratamento, conhecidos como Records of processing activities (ROPA’s) pela legislação europeia, é um documento do qual constam os fluxos de dados pessoais da empresa, especificando quais são tratados, a forma e duração do tratamento, bem como sua finalidade e base legal.

Trata-se, pois, de uma formalização dos fluxos de vida dos dados pessoais de forma que seja possível auditar e monitorar os tratamentos dos dados, bem como atender mais rapidamente a solicitações dos titulares e das autoridades de fiscalização.

Evidentemente, há inúmeras ações que as instituições precisam tomar para estar em conformidade com as leis de proteção de dados, especialmente com a LGPD. No entanto, esta lista é um ponto de partida com elementos fundamentais para o estabelecimento de um programa de proteção de dados.