Como se adequar à LGPD?

Projeto de Adequação à LGPD, Importância do Projeto, DPO ou Encarregado de Dados.

O processo de adequação a uma nova lei como a LGPD é complexo, pois envolve o comprometimento de colaboradores e fornecedores de diversas áreas de uma empresa.

A LGPD traz significativas mudanças nos ambientes empresariais, que agora, precisam investir ainda mais em segurança de dados.

Todos os negócios deverão e precisarão reforçar a segurança dos dados pessoais e promover políticas transparentes sobre o tratamento desses dados. O pilar fundamental da LGPD é a Segurança dos Dados Pessoais.

A legislação impõem diversas responsabilidades as empresas e a seus gestores.

O que significa adequar-se a LGPD?

Adequar-se à LGPD é adotar medidas técnicas e administrativas aptas a proteger os dados pessoais. Estar em conformidade ou compliance como é conhecido em inglês, com a lei, é necessário e fundamental! Isso para prevenir vazamentos de dados pessoais e/ou ameaças que possam vir a comprometer as informações pessoais dos titulares de dados como também multas e sanções pesadas.

A adequação à LGPD é um processo contínuo e requer o comprometimento de toda organização para proteger a privacidade e os direitos dos titulares dos dados. Cada organização pode ter requisitos específicos com base em seu tamanho, setor e natureza das operações, mas seguir esses passos gerais é um bom ponto de partida para a conformidade com a LGPD.

Como se adequar?

A LGPD é uma lei complexa e uma lei transversal. Isso significa que ela atravessa diferentes leis e instâncias. Ou seja, não pertence apenas a uma área do conhecimento jurídico em particular, mas atravessa outras leis e faz parte delas.

A adequação à lei exige uma equipe multidisciplinar que envolverá profissionais de vários departamentos da empresa. Em razão da complexidade e do tempo despendido, é necessário que a adequação seja gerenciada fase a fase para que se possa alcançar o objetivo final.

Toda a organização será envolvida nesse processo de adequação. Desde o departamento de Pessoal, RH, Marketing, TI, Vendas, Compras, Operacional, Jurídico e Compliance. Quando envolve-se complexidade, tempo e custo em um processo, é necessário organizar as atividades para que se consiga entender e acompanhar o desenvolvimento de todo processo. A LGPD impacta praticamente toda uma organização.

Para se ter o controle do tempo e gestão das fases, é necessário que seja desenvolvido um Projeto de Adequação. O gerenciamento de toda adequação só se faz com um projeto !

O que é um Projeto?

Os projetos são uma abordagem organizada para lidar com desafios específicos ou para alcançar metas específicas. Eles são amplamente utilizados em todos os setores da economia e desempenham um papel fundamental na realização de melhorias, inovações e mudanças em uma variedade de contextos.

Ou seja, o projeto é uma iniciativa temporária com um objetivo específico e um conjunto de atividades planejadas para atingir esse objetivo. Os projetos são empreendimentos que têm início e fim definidos, bem como recursos alocados para alcançar um resultado desejado. Cada projeto tem um objetivo claro e específico a ser alcançado. São planejados com antecedência, o que envolve a definição de metas, prazos, recursos necessários e estratégias para atingir o objetivo.

Uma equipe é normalmente montada para executar as atividades do projeto. Cada membro da equipe desempenha um papel específico com base em suas habilidades e competências. Durante a execução do projeto, é importante monitorar o progresso em relação ao plano inicial e fazer ajustes conforme necessário para garantir que o projeto permaneça no caminho certo. No final do projeto, o resultado desejado é entregue!

Projeto de Adequação à LGPD

Foto: Mulher com uma tela indicando proteção digital

O projeto de adequação à LGPD deverá ter no mínimo 8 fases!

1° Fase: Avaliação e Conscientização: A primeira etapa é garantir que todas as partes interessadas na organização estejam cientes da importância da LGPD e de suas obrigações sob a lei. Isso inclui treinamento para funcionários, gerentes e líderes da organização. Também será realizada a avaliação para saber quais são os impactos que a operação de tratamento de dados pessoais podem causar a empresa e a partir dessa avaliação, identificar e mapear os riscos dessas operações.

2° Fase: Mapeamento de Dados: Identificação de todos os dados pessoais que a organização coleta, armazena, processa e compartilha. Isso inclui dados de clientes, funcionários e qualquer outra pessoa cujas informações pessoais são realizados tratamento de dados pessoais.

A LGPD define no artigo 37 que o Controlador e o Operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

3° Fase: Análise de Diagnóstico: Realizar um diagnóstico da conformidade com a LGPD em uma empresa é uma etapa fundamental para identificar áreas que precisam ser ajustadas para atender às regulamentações de proteção de dados pessoais. Informe aos clientes, parceiros e outras partes interessadas sobre as medidas que a empresa está tomando para cumprir a LGPD e como eles podem exercer seus direitos sob a lei.

4° Fase: Plano de Ação: Com base nas descobertas do diagnóstico, crie um plano de ação que inclua tarefas específicas, prazos e recursos necessários para preencher as lacunas para mitigar os riscos e poder alcançar a conformidade com a LGPD.

5° Fase: Implementação: Implemente medidas de segurança apropriadas para proteger os dados pessoais. Isso pode incluir criptografia, controle de acesso, monitoramento de segurança e políticas de senha fortes. Revisão de Contratos e Base Legal do tratamento de dados pessoais. Registros de atividades de tratamento de dados pessoais. Prepare a empresa para responder às solicitações dos titulares dos dados em relação aos seus direitos, como acesso, correção, exclusão e portabilidade.

6° Fase: Avaliação: Avalie e ajuste suas práticas conforme necessário para manter a conformidade e proteger a privacidade dos dados pessoais que sua empresa trata. A conformidade com a LGPD é um processo contínuo.

7° Fase: Treinamento: Forneça treinamento regular para funcionários sobre privacidade e proteção de dados, incluindo seus direitos e responsabilidades sob a LGPD.

8° Fase: Revisão e Monitoramento: Estabeleça processos regulares de auditoria e monitoramento para garantir a conformidade contínua com a LGPD.

Somente com um projeto de fato, organizado com etapas, fases, recursos, pessoas dedicadas e capacitadas a executar as atividades necessárias para implementar a lei, é que se alcançará a meta da Adequação da LGPD.

O Profissional de Compliance

O profissional de Compliance ( Conformidade ) é aquele que atua na implementação e na gestão de programas da área na empresa. É responsável em avaliar os riscos do negócio e institucionalizar processos de conformidade, supervisionar a conformidade com a LGPD e atuar como ponto de contato para questões relacionadas à privacidade. A empresa deve nomear um DPO ( Data Protection Officer ) em inglês ou Encarregado de Dados na LGPD, conforme o artigo 41º abaixo:

41º – O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

  • 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
  • 2º As atividades do encarregado consistem em:
    • I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
    • II – receber comunicações da autoridade nacional e adotar providências;
    • III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
    • IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
  • 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

O DPO ou Encarregado de Proteção de Dados pode ser um profissional interno da empresa ou pode ser um profissional terceirizado. A LGPD – Lei Geral de Proteção de Dados , não especifica que o DPO precisa ser um funcionário da empresa, deixando espaço para a terceirização dessa função.

A escolha entre ter um DPO interno ou terceirizado depende das necessidades e recursos da empresa. Aqui estão algumas considerações para cada opção:

DPO Interno

  1. Conhecimento Interno: Um DPO interno pode ter um conhecimento mais profundo das operações da empresa, o que pode ser vantajoso na implementação da LGPD.
  2. Acesso Fácil: Os funcionários da empresa têm fácil acesso ao DPO interno, o que pode facilitar a comunicação sobre questões de privacidade de dados.
  3. Custos Fixos: O DPO interno faz parte da folha de pagamento da empresa, o que pode ser mais previsível em termos de custos.

DPO Terceirizado ou DPO as a Service

  1. Especialização: Um DPO terceirizado é geralmente um especialista em privacidade e proteção de dados, trazendo um alto nível de conhecimento e experiência para a função.
  2. Flexibilidade: A terceirização permite que a empresa adapte facilmente o nível de suporte de acordo com suas necessidades, sem a obrigação de manter um funcionário em tempo integral.
  3. Objetividade: Um DPO terceirizado pode ser mais imparcial em situações que exigem ações rigorosas de conformidade, já que não está diretamente ligado à empresa.

Independentemente da escolha, é importante que o Encarregado de Dados ou simplesmente DPO, tenha conhecimento sólido sobre as leis de proteção de dados, seja capaz de acompanhar as regulamentações em constante evolução e esteja bem equipado para auxiliar a empresa na conformidade com a LGPD.

A nomeação de um DPO é um dos requisitos da LGPD para organizações que tratam dados pessoais, e a função desse profissional é fundamental para garantir a proteção adequada dos dados pessoais e o cumprimento das regulamentações.

Sendo uma legislação multifacetada que impacta várias áreas de conhecimento e práticas empresariais. Ela exige uma abordagem abrangente, envolvendo profissionais de diversas disciplinas para garantir a conformidade e a proteção adequado dos dados pessoais.

Assim, a implementação da LGPD requer uma abordagem abrangente e colaborativa em toda a organização, envolvendo diferentes departamentos e partes interessadas. É fundamental garantir que a privacidade e a proteção de dados sejam priorizadas em todas as operações da empresa.

Lembrando que a conformidade com a LGPD é um processo contínuo, e a empresa deve revisar e ajustar suas práticas conforme necessário para manter a conformidade e proteger a privacidade dos dados pessoais que trata.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *