Provavelmente você já atendeu alguma empresa que acha que a primeira atividade de um Programa de Adequação à LGPD é o mapeamento de dados.
Se você ainda não atendeu, vai atender!
É muito comum que haja essa visão sobre essa atividade como a primeira a ser realizada no Programa, contudo, existem outras atividades que precisam, obrigatoriamente, serem realizadas antes do mapeamento, e você já vai entender como faz muito sentido.
Nós trabalhamos, antes de qualquer outra atividade, com a Conscientização Prévia.
Mas o que é na prática essa conscientização que nós julgamos tão importante para o Programa?
A Conscientização Prévia nada mais é do que as noções sobre uma nova cultura de privacidade e proteção e apresentação dos principais pontos da lei para a Alta Gestão da empresa, para os Colaboradores e para os Titulares de Dados.
E você deve estar se perguntando: por que é necessária essa abordagem antes de tudo?
A apresentação do tema para a Alta Gestão da empresa, com referência aos principais pontos da lei, quais os impactos dela na atividade da empresa e seus aspectos mais relevantes é o ponto de partida para a implementação de um Programa de Governança em Privacidade e Proteção de Dados efetivo, uma vez que o apoio da direção é parte fundamental para o engajamento de todos os demais membros que comporão a equipe multidisciplinar.
Pensem comigo: se a diretoria não leva a sério a Privacidade e a Proteção dos Dados, você acha que os demais colaboradores vão levar? Esse é o ponto! O exemplo vem de cima! A Alta Gestão precisa estar altamente engajada com o tema e conferindo apoio irrestrito à Equipe Multidisciplinar.
Com relação aos Colaboradores, essa conscientização prévia e apresentação do tema vem trazer uma abordagem sobre diversos pontos da lei, cuja compreensão é necessária para o desenvolvimento das atividades do Programa, bem como conscientização geral sobre as consequências de um tratamento inadequado, os impactos que a lei trouxe para as atividades no ambiente corporativo, entre outras questões.
Mas aqui o ponto chave é: as operações de tratamento de dados pessoais ocorrem nas mais variadas áreas de um empresa e nessas áreas, os mais diferentes processos. E quem são as pessoas que trabalham nas áreas e realizam os processos envolvendo tratamento de dados pessoais? Isso mesmo! Os colaboradores!
Por isso, essa importante etapa tem de ser realizada, uma vez que os colaboradores precisam ter uma compreensão geral sobre a lei para que seja possível o desenvolvimento das atividades.
Se o colaborador não entender, por exemplo, o que é um dado pessoal, como ele vai mapear os dados corretamente?
Por fim, o estreitamento dos laços entre a empresa e o Titular de Dados. Aqui nesse ponto, a lei traz de forma clara essa necessidade, conforme Art. 50, § 2º, I e:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
I – implementar programa de governança em privacidade que, no mínimo: tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular.
Ou seja, é importante que o controlador também mantenha um elo de conexão com os titulares de dados, de modo que estes tenham plena confiança no tratamento de dados que a empresa está realizando.
E, você já realizou essa etapa?
