Desde a completa vigência da LGPD temos recebido muitos pedidos de consultoria das empresas solicitando orientações sobre como adequar a empresa à LGPD.
A Lei Geral de Proteção de Dados, publicada em 2018 já acendia um alerta nas empresas brasileiras: é preciso um olhar mais atento, cuidadoso e respeitoso no manejo dos dados pessoais dos usuários. Mas, somente após a sua vigência em 2020, e a vigência das sanções em 2021, foi que esse alerta ganhou ainda mais intensidade, pois não há mais tempo, e as empresas precisam se adequar à lei e atender a todas às suas disposições.
Antes de adentrarmos nas considerações específicas sobre como adequar a empresa à LGPD, eu preciso te falar sobre 5 coisas que eu acho fundamental nessa abordagem introdutória:
A primeira delas, é que a LGPD não surgiu para acabar com as empresas, para inviabilizar alguns modelos de negócio, ou para extinguir a atividade do marketing, muito pelo contrário, um dos seus fundamentos é justamente o o desenvolvimento econômico e tecnológico e a inovação. O que a lei veio exigir (percebem que ela exige? Sim, a LGPD é uma lei que está à frente do próprio fato) – é que as empresas sejam mais transparentes em relação à manipulação das informações pessoais dos titulares de dados e que durante as operações envolvendo esses dados pessoais, ela confira aos usuários a privacidade e a proteção dessas informações.
A segunda, é que a adequação de uma empresa à LGPD é uma jornada multidisciplinar, ou seja, envolve minimamente as áreas do jurídico, TI e Segurança da Informação.
A terceira, é que a adequação de qualquer empresa, independente do porte ou segmento, sempre se dará no caso concreto! Não existe fórmula, solução mágica que se encaixe a todas as empresas de forma idêntica
Uma quarta consideração é de que não existe número de fases específico para implementação de um Programa de Governança em Privacidade e Proteção de Dados. Cada empresa realiza operações de tratamento de dados de uma forma, realiza um determinado tipo de atividade, se submete a diferentes regulamentos em razão do seu segmento de mercado. Por isso, cada Programa é um, e o que pode ser adequado para o seu concorrente ou seu vizinho, pode não ser adequado para a sua.
E uma quinta consideração e talvez a mais importante: não existe implementação de uma cultura de privacidade e proteção de dados dentro da empresa sem a conscientização da alta gestão e de todos os colaboradores acerca do tema. Sem o apoio irrestrito da alta gestão a todas as atividades do Programa e sem a conscientização do corpo funcional, não existirá conformidade com a lei.
Feitas essas considerações, sabemos que ainda existem muitas dúvidas entre os profissionais e empresas que buscam a conformidade, e esse artigo possui exatamente essa finalidade: dirimir as principais dúvidas dos profissionais e empresas.
Assim, todos os questionamentos aqui referidos foram redigidos com base nas principais dúvidas dos clientes, sendo os mais recorrentes:
1. Quais os tipos de empresas devem se adequar à LGPD?
Bom, vocês recordam que eu mencionei acima que a LGPD é uma lei que está à frente do próprio fato?
Pois é! Aqui essa afirmação ganha força e faz todo o sentido. Quando eu faço referência a essa afirmação eu quero dizer que a LGPD exige a adequação de todas das empresas, e caso, a inadequação persista, podem ser aplicadas as sanções previstas na lei.
Mas e na prática, a LGPD se aplica a quais empresas? A LGPD se aplica a toda e qualquer empresa que em suas atividades realizem operações de tratamento de dados pessoais, independente do porte ou tipo de atividade.
Por exemplo, se você possui uma pequena empresa com dois funcionários, não possui site, e seus registros estão armazenados em meios físicos? Sim, a sua empresa está no escopo da LGPD e precisa se adequar.
Agora, uma empresa que possui site, e-Commerce, video-monitoramento dos ambientes, biometria para controle de jornada? Sim, também está no escopo de aplicabilidade da lei.
Mas, e os profissionais autônomos, liberais, etc? Também estão no escopo da lei e devem se adequar às disposições da LGPD.
Eu sempre arrisco a dizer que, provavelmente, 99,9% das empresas no Brasil devem, obrigatoriamente, se adequar à Lei Geral de Proteção de Dados, mesmo porque, o próprio Art. 44 da LGPD ensina que:
“Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes”.
Em que pese haver a obrigatoriedade de adequação a todas as empresas, sabemos que algumas exigências poderão ser relativizadas, levando-se em conta o tipo de atividade, volume de dados tratados. Inclusive, há uma disposição nesse sentido na lei:
“Art. 55-J. Compete à ANPD: XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei“
Este tema já foi pauta da ANPD (Autoridade Nacional de Proteção de Dados), afinal, não seria razoável exigir uma formato de adequação de uma pequena empresa nos mesmos moldes das exigências a uma multinacional, por exemplo.
2. O que a empresa deve fazer primeiro para se adequar à LGPD?
Eu sempre recomendo que “comece pelo começo”!
Assim, o primeiro passo é, sem dúvidas, a apresentação do tema e a conscientização para o corpo funcional.
Nunca existirá uma mudança na cultura da empresa em relação à privacidade e proteção de dados, se não houver a conscientização dos colaboradores e a apresentação do tema a estes que são a parte necessária e fundamental de toda a jornada de adequação da empresa.
Onde os dados transitam na empresa? Nas áreas onde os colaboradores realizam suas atividades, de acordo com os processos realizados em cada uma dessas áreas, então, serão eles que responderão aos questionamentos do Data Mapping.
Por isso, além de apresentar noções de conscientização sobre privacidade e proteção dos dados e a correta manipulação das informações pessoais, os colaboradores precisam ser treinados para que tenham compreensão sobre os principais pontos da lei, seus aspectos e impactos na atividade da empresa.
3. Preciso solicitar consentimento para tratar dados pessoais?
Não! Esse questionamento talvez seja o mais recorrente de todos. Existe o que nós chamamos de “o mito do consentimento”, que é o que equivocadamente nos fazia crer que todo o tratamento de dados necessitava de consentimento do titular de dados.
Por sorte, não passa de um mito mesmo, pois a LGPD não exige o consentimento para o tratamento de dados pessoais.
Há hipóteses em que sim, ele deverá ser utilizado, mas o consentimento é só mais uma das bases legais trazidas pela LGPD e ela não possui mais peso do que as outras.
Assim, a depender da operação de tratamento de dados realizada, bem como sua finalidade, existem mais nove bases legais capazes de validar esse tratamento e torná-lo legítimo, sem a necessidade de autorização do titular de dados.
4. Minha empresa precisa nomear um Encarregado de Dados/DPO (Data Protection Officer)?
A LGPD dispõe em seu texto legal a obrigatoriedade da nomeação do Encarregado de Dados ou DPO.
Contudo, o próprio texto legal diz que ANPD poderá editar normas que dispensem a função de DPO dependendo da empresa e do volume dos dados tratados.
A função desse profissional é servir como espécie de “guardião dos dados”.
Dentre as diversas atribuições e responsabilidades do seu cargo, destaca-se a responsabilidade pela interface entre os titulares de dados, controladores e ANPD.
5. Só ajustando a Política de Privacidade do meu site, a Política de Cookies e os Termos de Uso é suficiente para a conformidade com a lei?
Só a edição de documentos não é suficiente para a conformidade com a lei.
Por exemplo, para o ajuste de uma Política de Privacidade aderente às disposições da LGPD, é preciso verificar alguns pontos antes de sua criação/edição:
- a empresa já designou um DPO (Data Protection Officer) ou Encarregado de Dados?
- a empresa consegue identificar todas as operações de tratamento de dados que realiza no site e/ou plataforma online?
- identifica a categoria e os tipos de dados tratados?
- compreende a finalidade do tratamento? (Consegue informar por qual razão trata determinado dado?)
- partir dos questionamentos acima, já sabe indicar qual a base legal que legitima o tratamento de dados pessoais que realiza?
Todos esses pontos e demais disposições consideradas relevantes, precisam constar na sua Política de Privacidade, para fins de atendimento ao art.9 da LGPD.
O mesmo acontece com a Política de Cookies. A sua Política precisa refletir ao que, de fato, o seu site está coletando dos usuários que navegam nele.
O Termo de Uso, de igual forma, precisa estar de acordo com as práticas adotadas pela empresa.
Por isso, somente a elaboração dos documentos não atende a LGPD, uma vez que a conformidade só ocorrerá se as políticas/documentos elaborados refletirem, de fato, as atividades e operações de tratamento de dados que a empresa realiza, sempre de acordo com o contexto do tratamento realizado e para que a empresa disponha dessas informações, ela precisará, no mínimo, da avaliação inicial da conformidade.
6. Qual a sua dica para as empresas que ainda não começaram?
A minha dica é sempre a mesma: comece agora e pelo começo, conforme falei anteriormente.
Contudo, penso que algumas atividades podem ser realizadas de forma concomitante a outras. Por exemplo, a sua empresa deu início à avaliação inicial e já levantou as informações necessárias para a edição da Política de Privacidade, redija a sua imediatamente.
A área de TI já informou quais são os Cookies que seu site está coletando e já instalou o plug-in para gerenciamento das preferências dos usuários? Então você já pode redigir a sua Política de Cookies, por exemplo.
Acho essa dica muito válida, pois já é uma demonstração da boa-fé da empresa em relação à conformidade, uma vez que já indica a transparência dessa em relação à manipulação das informações pessoais dos titulares de dados.
Para facilitar a sua jornada, segue o passo a passo para a adequação das empresas à LGPD, começando pelo Plano de Adequação à LGPD (fase preparatória e de levantamento de informações para a Implementação do Programa de Governança em Privacidade e Proteção de Dados):
1. Apresentação do tema e conscientização para os colaboradores;
2. Criação do Comitê Multidisciplinar (Atribuições e responsabilidades de cada membro e indicação do Encarregado de Dados/DPO (Data Protection Officer);
3. Mapeamento de Dados – Data Mapping LGPD;
4. Criação do Mapa de Fluxo de Dados;
5. Elaboração do Gap Analysis;
6. Elaboração do Relatório de Diagnóstico;
7. Elaboração do LIA (Legitimate Interest Assessment) ou teste de ponderação ;
8. Elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RDPDP) ou (DPIA) Data Protection Impact Assessment
9. Plano de Ação;
10. Cronograma de atividades.
Após a realização de todas as atividades dispostas no Plano de Adequação à LGPD, a empresa estará apta a implementar o seu Programa de Governança em Privacidade e Proteção de Dados (execução de todas as medidas verificadas e indicadass no Plano de Ação):
- Estruturando e implementando o Programa de Governança – Parte I
– Código de Boas Práticas e Políticas Internas
– Inventário de Regulamentações
– Política de Privacidade
– Política de Privacidade resumida;
– Termo de Uso
– Política de Cookies
– Atendimento aos 10 princípios da LGPD. - Checklist Colaboradores e Terceiros
– Código de Conduta no tratamento de dados pessoais
– Termo de Confidencialidade;
– Aviso de Privacidade para Funcionários;
– Política de Gerenciamento de Fornecedores (Data Processing Agreement);
– Outras cláusulas contratuais de Privacidade e Proteção de Dados;
– Avisos legais: interno (colaboradores) e externo (outros locais por onde transitam dados pessoais e recepção com câmeras). - Atendendo os direitos dos titulares
– Introdução aos Direitos dos Titulares
– Confirmação da existência do tratamento;
– Acesso aos dados;
– Correção de Dados incompletos, inexatos ou desatualizados;
– Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com lei;
– Portabilidade de Dados;
– Eliminação dos Dados Pessoais;
– Informação sobre compartilhamento de dados com entes públicos e privados;
– Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
– Revogação do Consentimento;
– Considerações Finais sobre os Direitos dos Titulares - Elaboração dos demais documentos obrigatórios para a implementação do Programa de Governança:
– Política de Consentimento e Termo de Consentimento
– Teste do Legítimo Interesse – LIA (Legitimate Interests Assessment);
– Relatório de Impacto – DPIA (Data Protection Impact Assessment);
– Cronograma de Retenção de Dados;
– Política de Retenção de Dados;
– Plano de Resposta à Incidentes (Data Breach) e Comunicação de Incidentes à ANPD (Autoridade Nacional de Proteção de Dados). - Importante: a implementação das medidas técnicas e de segurança da informação devem ocorrer de forma concomitante à implementação das medidas acima pelos profissionais das respectivas áreas.
Minhas dicas de ouro para você:
1. Avaliação inicial do Fluxo de Dados – Realizando o mapeamento de Dados por áreas e processos
Depois da fase de apresentação do tema e conscientização dos colaboradores, a empresa já poderá partir para a avaliação do Fluxo de Dados e o fará por meio do Mapeamento de Dados – Data Mapping LGPD.
Será por meio dessa atividade que a empresa compreenderá quais são os dados que coleta, para qual finalidade, com quem são compartilhados, qual a base legal que fundamenta esse tratamento, enfim, fará o levantamento das informações iniciais para fins de avaliação da maturidade de suas operações envolvendo o tratamento de dados pessoais.
Eu sempre sugiro que o mapeamento de dados seja realizado por áreas e por processos, pois assim, a empresa terá um retrato exato de todo o fluxo dos dados. Além disso, quanto mais preciso for o mapeamento, mas fácil será a implementação do Programa de Governança em Privacidade e Proteção de Dados.
2. Na LGPD menos é mais!
Provavelmente você já deve ter escutado por aí que na LGPD menos é mais, estou certa?
Ou seja, quanto menos dados a empresa coletar, melhor!
E a razão para você adotar essa postura “minimalista” em relação aos dados é muito simples.
Nós já sabemos que para que uma empresa esteja em conformidade com a Lei Geral de Proteção de Dados, ela precisa atender a todos os princípios que a LGPD nos trouxe, e um desses princípios é justamente o que vem disposto no Art. 6º da LGPD, que é o Princípio da Necessidade!
“As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
A simples leitura do artigo já é suficiente para que a gente compreenda qual a mensagem que essa afirmação quer nos trazer: se tratando de atendimento às disposições da LGPD, quanto menos dados a empresa tratar, melhor!
E digo mais: não é só melhor pra empresa em termos da ocorrência de um eventual incidente de segurança, é melhor porque simplesmente, é a postura adequada a prática da minimização do uso dos dados.
O raciocínio é simples: a empresa consegue identificar uma finalidade lícita para o tratamento daquele dado? Coleta o dado para a realização daquele tratamento!
Agora, a empresa deseja coletar o dado somente porque é do seu interesse e não saber justificar a necessidade de determinado dado para tratamento? Ou porque deseja utilizar no futuro? O meu conselho é que você não colete esse dado!
Agora vamos para a prática para que você possa compreender exatamente o que essa expressão nos traz:
Eu gosto de trazer exemplos do nosso cotidiano porque depois na prática vocês vão ver como a LGPD é movimento e todos os dias temos um “case”novo na mesa.
Nós prestamos consultoria LGPD para diversas empresas e, há um mês atrás, aproximadamente, realizamos um serviço de revisão dos formulários de compra do e-Commerce deste cliente para fins de verificação de conformidade com a LGPD.
Ao revisarmos os formulários, imediatamente identificamos um campo para coleta de dados desnecessários para a contratação do serviço que a empresa estava ofertando.
Esta empresa disponibiliza somente a venda de produtos digitais, ou seja, jamais irá entregar algo em endereços físicos, contudo, o seu formulário de compra constava um campo para inserção do endereço residencial do cliente.
De imediato questionamos o time envolvido no desenvolvimento do projeto sobre a razão pela qual estavam solicitando o endereço residencial do cliente se não existia entrega física.
A resposta do time foi que, eventualmente, poderia haver a necessidade da empresa ingressar judicialmente em face desse cliente, por exemplo, se este resolvesse realizar um “chargeback” após o período de arrependimento e já de posse integral do produto ofertado.
Essa justificativa, inicialmente, até poderia ser aceitável, contudo, a lei é bastante clara sobre sobre a realização do tratamento com a limitação “ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados“, e aqui entra outro ponto que merece destaque em relação a este princípio: o tempo da coleta.
Quando uma empresa busca a conformidade com a LGPD, esta não pode ser adiantar e “prever” acontecimentos futuros que demandem a coleta de um dado que no momento ficará somente “guardado”em sua base para uma possível utilização, o tratamento precisa ser real para que seja legítimo.
É muito comum que as empresas queiram ter o “dado guardado” para um projeto ou finalidade futura, só que esta prática não é mais tolerada, uma vez que o dado só poderá ser coletado no momento em que a empresa for utilizá-lo efetivamente.
Atender ao Princípio da Necessidade não é somente tratar os dados que forem necessários, é compreender que a coleta só poderá ocorrer, também, no momento em que for necessária.
3. Seja transparente em relação ao período de retenção dos dados. Estabeleça um cronograma!
Um Cronograma de Retenção de Dados é um instrumento onde estarão dispostos os prazos legais e autorizativos para a conservação/manutenção dos Dados Pessoais.
Para que a empresa disponha de um Cronograma de Retenção de Dados que contenha exatamente as operações de tratamento de dados que realiza, é necessário que cada área elabore o seu cronograma de acordo com as operações de tratamento de dados que realizam em cada processo.
Para isso é fundamental que a empresa conheça todos os decretos, leis e regulamentos que orientam a atividade por ela desenvolvida, uma vez que será com base nesses regulamentos que será encontrado o amparo legal para o estabelecimento do prazo legal de retenção dos dados.
Para que um Cronograma de Retenção de Dados contemple todas as informações necessárias para o estabelecimento do prazo legal, é fundamental que nele estejam identificados:
– o tipo de documento;
– as informações gerais e específicas de cada documento;
– o início do prazo;
– o prazo de retenção e;
– o fundamento legal que autoriza a retenção.
A Lei Geral de Proteção de Dados não apresenta de modo direto qual o tempo legal para armazenamento dos dados pessoais, mesmo porque, o prazo para o armazenamento dependerá sempre de fatores específicos relacionados às operações de tratamento de dados pessoais que a empresa realiza.
4. Se envolveu em um incidente de segurança? Seja transparente: informe à ANPD e aos titulares de dados
Sempre que a sua empresa se envolver em um incidente de segurança, não omita essa informação. Pelo contrário, informe à ANPD e os titulares de dados.
Ao informar os titulares de dados acerca da ocorrência do incidente, alguns riscos poderão ser mitigados e os impactos do vazamento, minimizados.
Já, ao ser transparente com a ANPD (Autoridade Nacional de Proteção de Dados) a empresa demonstrará a sua boa-fé que, além de um princípio basilar da LGPD, será levada em conta quando da aplicação de uma eventual sanção decorrente do incidente.
5. Implemente medidas técnicas e de segurança da informação hoje mesmo!
Embora a LGPD seja uma legislação e muitas das atividades necessárias para a adequação dependam do corpo jurídico da empresa e de um consultor, a própria lei traz a obrigatoriedade de implementação de medidas técnicas e de segurança da informação, por isso, eu sempre gosto de reafirmar a necessidade do olhar multidisciplinar da consultoria, pois tais medidas extrapolam a capacidade técnica do advogado e requerem, exclusivamente, a execução por profissionais da TI e Segurança da Informação.
Por isso, eu sugiro que as medidas técnicas e de segurança já sejam implementadas de forma concomitante às outras atividades que estejam sendo desenvolvidas pela empresa para a sua conformidade, como a contratação de uma empresa especializada em TI e Segurança para a implementação das medidas urgentes, como por exemplo: proteção dos computadores e redes, proteção de e-mail(senhas), segurança dos sistemas internos, etc…
Por fim, uma sugestão: caso a sua empresa tenha dúvidas sobre o que fazer na prática, o ideal é a contratação de uma Consultoria especializada em LGPD, pois só assim a empresa terá direcionamentos claros sobre o que precisa fazer, de acordo com a sua atividade, operações de tratamento de dados que realiza e segmento de mercado no qual se insere.
1 Comment
Pingback: A adequação à LGPD é obrigatória para todas as empresas