Com a vigência da Lei Geral de Proteção de Dados, as empresas que realizam o tratamento de dados têm adaptado seus processos para uma melhor adequação à LGPD.
Porém, diversas perguntas sobre como deve ser feita a adequação à LGPD surgiram, tornando-se necessário, então, discutir sobre esse tema.
Como fazer a adequação à LGPD em empresas e negócios?
Como sabemos, a fim de evitar problemas ou então a eventual violação dos direitos do titular dos dados, todas as empresas que trabalham com dados devem realizar a adequação à LGPD.
Mas para isso é necessário entender como a lei funciona e entender como fazer a adequação à LGPD da melhor forma.
Sendo assim, vale lembrar que esta legislação teve como base o Regulamento Geral de Proteção de Dados da União Europeia, o chamado GDPR.
E, como o nome propõe, a intenção é justamente a de criar uma série de normas as quais devem ser respeitadas pelas empresas com a finalidade de aumentar a segurança dos dados.
Além disso, a legislação estabelece a forma a qual deve ser feita a coleta e tratamento dos dados pessoais, bem como procedimentos de segurança e governança.
Já o órgão encarregado pela fiscalização e garantia de que a lei está sendo seguida é a ANPD, Autoridade Nacional de Proteção de Dados.
Portanto, caso alguma instituição não esteja de acordo com o que foi definido, cabe à ANPD punir, juridicamente, a organização.
Passos para fazer a adequação à LGPD dentro de uma empresa
Dito tudo isso, entraremos agora na forma a qual é possível que uma empresa, ou negócio, esteja de acordo com a lei.
Confira abaixo quais são os passos:
- conhecer a Lei Geral de Proteção de Dados e eventuais leis que regulamentam o negócio;
- esquematizar a introdução e tratamento de dados pessoais;
- ter em mente eventuais problemas que o tratamento de dados pode possuir;
- criar um Relatório de Impacto, também conhecido como DPIA (ponto o qual abordaremos mais para frente);
- elaborar uma política de proteção de dados da empresa e adaptar documentos internos e externos;
- coordenar os pedidos dos respectivos titulares dos dados;
- oferecer treinamento para as equipes responsáveis pelos tratamentos de informações pessoais;
- estar de acordo com a proteção de dados mediante o governo, ou ser compliance;
- exigir que os fornecedores e parceiros da empresa tenham o compliance de proteção de dados;
- gerar novos produtos com o princípio de Privacy by Design, no qual a privacidade está dentro como parte crucial do projeto;
- contratar um Encarregado de Proteção de Dados (DPO) com conhecimentos jurídicos e regulatórios sobre a proteção de dados.
Vale pontuar ainda que, para ser um Encarregado de Proteção de Dados é necessário adquirir um certificado na área.
Pontos mais importantes sobre a Lei Geral de Proteção de Dados
Vale lembrar que, apesar de existir uma série de medidas as quais são necessárias para aplicar a lei, não existe algum manual de adequação à LGPD.
Porém, uma vez entendidos quais são os passos que uma empresa pode tomar para a colocar em prática, é necessário ter em mente os pontos mais importantes da lei.
De tal maneira, temos os seguintes pontos importantes defendidos pela lei:
- Objetivo da lei: regular o tratamento de dados pessoais por pessoas ou organizações, tanto do setor privado como do público;
- O que são dados pessoais e dados sensíveis: para o primeiro caso temos informações como nome e idade, por exemplo, enquanto no segundo temos informações sobre origem racial e convicções religiosas, entre outras;
- Em quais situações o tratamento de dados é subordinado à LGPD: qualquer tipo de tratamento, desde a coleta até a exclusão, devem ser feitos de acordo com a lei;
- A quem a LGPD se enquadra: a todos os cidadãos que fornecem dados à empresas de direito público ou privado — os titulares — além das empresas que realizam o tratamento, chamadas de controlador ou operador;
- Quais empresas são impactadas pela lei: qualquer instituição que possua relação, direta ou indireta, com dados pessoais e realize o tratamento destes, estão sujeitas à legislação;
- Direitos dos titulares dos dados: de acordo com o artigo 9º da lei, existe uma série de direitos os quais os titulares possuem e que, consequentemente, devem ser respeitados;
- Significado de anonimizar os dados: todos as informações coletadas por uma empresa que não podem ser associados ao indivíduo o qual elas pertencem;
- O que fazer caso ocorra o vazamento de informações: a empresa deve notificar, o mais rápido e claro possível, tanto a ANPD como o titular dos dados sobre o ocorrido;
- Penalidades para quem descumprir a lei: serão aplicadas sanções que podem ir desde multas mensais até R$50 milhões ou multas diárias.
Tendo isso em mente, precisamos entender quando é possível tratar as informações.
Em quais situações o tratamento de dados é permitido?
Em primeiro lugar é necessário que a empresa possua transparência com os clientes, informando-os sobre a finalidade da captação de dados.
Além disso, a lei determina ainda que a empresa deve obter o consentimento do titular para, só então, realizar atividades de tratamento de dados.
Além dessas, temos as seguintes situações em que o tratamento é permitido:
- quando necessário para cumprir alguma obrigação legal ou judicial;
- para que alguma política pública seja executada;
- em casos onde o tratamento é crucial para que órgãos de pesquisa realizam estudos;
- para efetivar um contrato;
- quando a intenção é gerar a proteção de crédito;
- se a saúde da pessoa é dependente do tratamento de informações;
- para proteger a vida ou a integridade física do titular dos dados;
- em casos onde os dados são cruciais para exercício regular de direitos ou então algum processo judicial ou administrativo.
Por fim, existe uma outra condição a qual deve ser levada em consideração. Esta, por sua vez, é o legítimo interesse do controlador no tratamento de dados.
Isso quer dizer que a finalidade para qual se realizará o tratamento deve adequado, relevante e limitado, considerada a partir de situações concretas.
De toda forma, ainda assim a empresa deve possuir todos os cuidados com a segurança da informação para estar de acordo com a LGPD.
Agora, falando ainda sobre o consentimento, é necessário que a empresa o adquira da maneira correta. Para isso, tendo em vista que serão práticas específicas com os dados, o consentimento não pode ser genérico.
Ou seja, o titular deve estar de acordo com tudo o que for feito pela empresa, que deve ser esclarecido inicialmente. Sendo assim, a transparência é um ponto chave para o consentimento ideal.
Quais profissionais são responsáveis pela adequação da empresa?
De modo geral, é possível entender que a responsabilidade de adequação à lei fica por conta da equipe de TI da organização. Afinal, todos os tratamentos dos dados serão feitos por esse setor.
No entanto, dentro da equipe, existe um profissional que possui maior autonomia dentro desse processo.
Esse é o caso do Encarregado de Proteção de Dados, o DPO, justamente pelo conhecimento que ele possui sobre a LGPD e sua adequação na empresa.
Sendo assim, ele será a pessoa que ditará todas as diretrizes que a empresa precisa seguir para estar de acordo com o projeto de adequação à LGPD.
Vale pontuar, no entanto, que ele pode ser um profissional contratado ou terceirizado.
O que é o DPIA na LGPD?
Data Protection Impact Assessment, ou DPIA, é o nome de um relatório exigido pelo GDPR que possui como finalidade avaliar e entender o processamento, necessidade e proporcionalidade do tratamento de dados.
No entanto, uma vez que faz parte da legislação Europeia, vale pontuar que ele, em si, não possui relação com a LGPD, lei brasileira.
Contudo, existe uma aplicação deste relatório na LGPD, sendo chamado de RIPD, Relatório de Impacto à Proteção de Dados.
Ele, por sua vez, possui a mesma finalidade que o DPIA, devendo ser feito por todas as empresas que trabalham com dados e estão sujeitas à LGPD.
Segundo o Artigo 38º da LGPD, este relatório deve conter:
- descrição dos tipos de informações reunidas como nome e CPF, entre outros;
- definição de qual foi o método utilizado para a obtenção dos dados;
- qual a metodologia utilizada para assegurar a proteção dos dados;
- precauções e formas de diminuir os riscos que a empresa usa.
Para este último ponto, no entanto, o controlador responsável pelo tratamento deve explicar como são identificados os riscos os quais os dados estão expostos.
Além disso, a empresa deve tomar todos os cuidados possíveis para solicitar o consentimento dos titulares antes de realizar o tratamento.
Afinal, de nada adianta se atentar à todos os pontos citados se este não for respeitado, sendo suficiente para gerar punições à empresa por não seguir o que diz a lei.
Sendo assim, é de extrema necessidade que a empresa tome os devidos cuidados com o RIPD durante o processo de adequação à LGPD.