Documentos Obrigatórios na LGPD

A LGPD não define especificamente os documentos ou formatos de documentos que devem ser utilizados para demonstrar a conformidade com a lei.

Foto: Mulher analisando os documentos

A Lei Geral de Proteção de Dados (LGPD) não especifica uma lista definitiva de documentos obrigatórios que as organizações devem criar e manter. No entanto, a LGPD estabelece uma série de requisitos e princípios gerais de proteção de dados pessoais que as organizações devem cumprir para proteger os dados pessoais dos titulares e garantir a conformidade com a legislação. A criação de documentos é uma maneira de as organizações demonstrarem conformidade com esses requisitos. Ela define as responsabilidades das organizações em relação ao tratamento desses dados.

Portanto, a documentação necessária para demonstrar a conformidade com a LGPD pode variar dependendo das práticas e necessidades específicas de cada organização.

Os princípios e os requisitos da Lei Geral de Proteção de Dados (LGPD) estão diretamente relacionados à documentação que as organizações devem criar e manter para demonstrar conformidade com a legislação.

Artigo 6º – As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

A documentação de conformidade com a LGPD normalmente envolve a criação de políticas, procedimentos e registros que atendam aos requisitos da lei. Aqui estão alguns dos documentos e registros que são geralmente recomendados para fins de conformidade com a LGPD:

1-Política de Privacidade: A LGPD exige que as organizações forneçam informações claras e acessíveis sobre como os dados pessoais são coletados, usados e protegidos. Portanto, uma política de privacidade é um documento fundamental que descreve essas práticas e deve ser disponibilizado aos titulares dos dados.

Artigo 50º – Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

2-Termo de Consentimento: O tratamento de dados pessoais requer o consentimento dos titulares dos dados, a menos que haja uma base legal específica para o tratamento. O tratamento de dados pessoais depende do consentimento dos titulares dos dados, é importante manter registros dos consentimentos obtidos. Esses registros podem incluir documentos assinados ou registros eletrônicos que demonstram o consentimento informado.

Artigo 7º – O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

Artigo 8º – O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

  • 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
  • 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
  • 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
  • 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
  • 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
  • 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.

3-Registro de Atividades de Tratamento de Dados: A LGPD requer que as organizações mantenham um registro das atividades de tratamento de dados que descreve os detalhes do processamento de dados pessoais. Esse registro inclui informações como a finalidade do tratamento, categorias de dados processados, medidas de segurança adotadas e a base legal para o tratamento.

Artigo 37º-O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

4- Relatórios de Impacto à Proteção de Dados (RIPD): Quando o processamento de dados pessoais apresenta riscos elevados à privacidade, a LGPD exige a realização de uma Avaliação de Impacto à Proteção de Dados (AIPD), equivalente ao Relatório de Impacto à Proteção de Dados (RIPD). Este é um documento que descreve os riscos à privacidade identificados e as medidas de mitigação adotadas.

Artigo 38º -A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

5- Políticas e Procedimentos Internos: As organizações devem desenvolver políticas e procedimentos internos que descrevam como os princípios e requisitos da LGPD são implementados em suas operações. Isso pode incluir políticas de segurança de dados, procedimentos de resposta a incidentes, entre outros.

Artigo 50º – Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

6- Contratos de Tratamento de Dados: Se uma organização compartilha dados pessoais com terceiros, é necessário formalizar essas relações por meio de contratos de tratamento de dados. Esses contratos devem estipular as responsabilidades de cada parte em relação à proteção de dados.

Artigo 35º -A definição do conteúdo de cláusulas padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional.

7- Registros de Treinamento: A LGPD enfatiza a importância da conscientização e treinamento dos funcionários. Manter registros de treinamento sobre proteção de dados pode ser útil para demonstrar conformidade.

Artigo 50º – Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

8- Relatórios de Incidentes de Segurança: A LGPD exige que as organizações relatem incidentes de segurança que possam afetar a proteção de dados pessoais. Manter registros detalhados de tais incidentes e ações corretivas tomadas é importante.

Artigo 48º -O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

9- Registros de Consultas dos Titulares: A LGPD concede aos titulares dos dados uma série de direitos, incluindo o direito de acesso, correção, exclusão, portabilidade, informação, oposição, entre outros. Manter registros de solicitações e respostas a essas consultas é necessário para demonstrar conformidade.

Artigo 6º – As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Artigo 9º – O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

  • I – finalidade específica do tratamento;
  • II – forma e duração do tratamento, observados os segredos comercial e industrial;
  • III – identificação do controlador;
  • IV – informações de contato do controlador;
  • V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  • VI – responsabilidades dos agentes que realizarão o tratamento; e
  • VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

Artigo 18º -O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

  • I – confirmação da existência de tratamento;
  • II – acesso aos dados;
  • III – correção de dados incompletos, inexatos ou desatualizados;
  • IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
  • V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
  • VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

10- Registros de Nomeação de DPO -A LGPD exige que seja feita a nomeação do Encarregado de Dados / DPO da organização. Poderá ser uma pessoa externa ou interna da organização.

Artigo 41º -O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

A documentação é uma parte essencial da conformidade com a LGPD, pois permite que as organizações demonstrem que estão agindo de acordo com os requisitos da legislação e protegendo a privacidade dos titulares dos dados. É importante criar, manter e atualizar regularmente esses documentos para garantir a conformidade contínua com a LGPD.

É importante que cada organização adapte sua documentação e processos de conformidade de acordo com sua própria estrutura, práticas de tratamento de dados e necessidades específicas. A documentação serve não apenas para demonstrar conformidade com a LGPD, mas também para garantir que os dados pessoais sejam tratados de forma legal, ética e segura. Além disso, a Autoridade Nacional de Proteção de Dados (ANPD) no Brasil pode fornecer orientações adicionais sobre a documentação de conformidade com a LGPD. Portanto, é recomendável consultar as orientações da ANPD e, se necessário, buscar assistência jurídica ou consultoria especializada em privacidade de dados.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *