A Lei Geral de Proteção de Dados foi sancionada em 14 de agosto de 2018, estando em vigor em sua totalidade desde agosto de 2021, no entanto, mesmo passados 4 anos da sua entrada em vigor, o cenário indica que a maior parte das empresas ainda não passaram por um processo de adequação com o objetivo de atender aos requisitos impostos pela nova legislação de privacidade e proteção de dados.
Segundo um estudo elaborado pela Capterra[1], apenas 3 em cada 10 empresas acreditam estar totalmente adequadas à LGPD, o que representa um número preocupante, dado a importância do tema.
O estudo ainda apontou que as empresas com menor índice de adequação são as PME’s, o que não é nenhuma surpresa, dada a baixa capilaridade que o tema de privacidade e proteção de dados desempenha dentro dessas organizações.
A LGPD trouxe grande inovação no que tange a forma como as empresas – agentes de tratamentos – devem, a partir de então, tratar os dados pessoais sob sua gestão, de modo que, para que a empresa esteja adequada precisa, inevitavelmente passar por profunda transformação.
Mas, ao fim e ao cabo, como identificar se a sua empresa passaria no teste de adequação da LGPD? Pega o bloquinho e anota as dicas a seguir:
DICA 1 – INVENTÁRIO DE DADOS: O art. 37 da LGPD estabelece que o agente de tratamento deve manter um registro das operações que envolvam o tratamento de dados pessoais, ao que chamamos de inventario de dados. Tal documento é um dos principais pilares do programa de privacidade e proteção de dados, isto porque, sem ele é impossível conhecer os processos e fluxos que tratam dados pessoais e todo o ciclo de vida dos dados, não se pode conhecer as medidas técnicas e administrativas relativas à segurança da informação adotadas para mitigar os riscos, também não é possível identificar com quem eventualmente esses dados pessoais são compartilhados, o seu período de retenção, entre outros aspectos, ou seja, sem um inventário de dados é impossível construir um programa adequado de privacidade e proteção de dados, por essa razão, se a sua empresa não conta com um inventário de dados, fatalmente está em desconformidade com a LGPD. Inclusive escrevi um artigo somente falando sobre a importância do mapeamento de dados no programa de privacidade e proteção de dados pessoais, se quiser saber mais, clique aqui.
DICA 2 – BASE LEGAL: O art. 7º da LGPD traz em seu escopo um rol taxativo de bases legais que o Controlador pode se servir para fundamentar uma operação que envolva o tratamento de dados pessoais, acompanhada das hipóteses previstas no art. 11 para o tratamento de dados pessoais sensíveis. Todo e qualquer tratamento de dados pessoais deve, obrigatoriamente, vir acompanhada de uma base legal. Com isso, uma vez realizado o mapeamento de dados, o Controlador poderá ter clareza para identificar qual a melhor base que se adequa àquela finalidade especifica. Ao contrário do que muito se propagou, não existe uma hierarquia entre as bases legais, ou seja, o consentimento (inciso I) ou legítimo interesse (inciso IX) não possuem um peso maior do que a base legal de cumprimento de obrigação legal ou regulatória (inciso II), por exemplo. Pelo contrário, justamente por serem bases legais mais amplas, trazem consigo obrigações acessórias e um ônus maior ao Controlador (art. 8º e 10º). Portanto, para que a sua empresa esteja em conformidade com a LGPD, é indispensável que tenha fundamentado cada tratamento com uma base legal adequada.
DICA 3 – GESTÃO DO CONSENTIMENTO: Como mencionado acima, uma das bases legais que geram mais controvérsias é a do “consentimento”. Em determinas hipóteses de tratamento de dados pessoais, o que resta ao Controlador é a escolha da base legal do consentimento para fundamentar e validar aquele tratamento de dados, o que ocorre com maior frequência quando o tratamento de dados tem por finalidade publicidade direcionada e os riscos a privacidade e liberdade individuais do titular, em razão da formação de perfil. No entanto, para que o consentimento coletado pelo Controlador seja válido, a manifestação do titular de dados deve ser (i) livre; (ii) informada; (iii) inequívoca; (iv) específica; e (v) destacada (art. 8º). Sem esses 5 elementos não se pode considerar que o consentimento coletado tenha sido válido. Não somente isto, é preciso ainda que o Controlador seja capaz de comprovar o cumprimento de tais requisitos. Ademais, deve ser assegurado ao titular o direito de revogar o consentimento a qualquer tempo, de forma gratuita e facilitada ou qualquer outro dos direitos previstos no art. 17 e seguintes da LGPD. Portanto, se a sua empresa utiliza o consentimento para fundamentar algum tratamento de dados, não deixe de observar essa dica.
DICA 4 – POLÍTICA DE PRIVACIDADE: Outro elemento fundamental para apontar se sua empresa está adequada ou não a LGPD é a existência de uma política de privacidade contemplando as nuances do tratamento de dados pessoais, trazendo a devida transparência ao titular de dados e demais parceiros de negócio, inclusive a elaboração de políticas consta justamente na Seção II – Das Boas Práticas e da Governança (art. 52). Existem inúmeras políticas que podem ser elaboradas dentro de uma organização, como por exemplo: (i) Política de Privacidade Externa; (ii) Política de Privacidade Interna; (iii) Política de Segurança da Informação; (iv) Política de Retenção e Descarte de Dados Pessoais; (v) Política de Privacidade de Recursos Humanos; (vi) Política de Transferência Internacional de Dados; (vii) Política de Exercício de Direito de Titular de Dados, entre outras. A elaboração de uma política de privacidade deve observar as necessidades especificas de cada empresa. Não somente isto, é de suma importância que aquilo estabelecido na política seja respeitado pela empresa. Pior do que não ter uma política é tê-la e não cumpri-la. Por fim, cabe ainda lembrar que a Política de Privacidade externa deve ser disponibilizada em canal de fácil acesso ao titular, sugerindo-se no site institucional da empresa, por exemplo.
DICA 5 – ENCARREGADO DE DADOS: Por fim, e não menos importante, uma empresa que apresenta um alto nível de maturidade em seu programa de privacidade e proteção de dados pessoais, certamente dispõe de um Encarregado de dados para monitorar o seu programa de privacidade. Em que pese a ANPD tenha editado a Resolução 2/2022[2] que trouxe algumas flexibilizações para agentes de tratamento de pequeno porte, como, por exemplo, a dispensa da obrigatoriedade da nomeação de um Encarregado de dados (art. 11), desde que observado os requisitos ali dispostos, continua, ainda sendo, uma boa prática e que pesa favoravelmente ao agente de tratamento a nomeação de um Encarregado. Neste artigo falo mais sobre os benefícios que um DPO as a service pode oferecer para a sua empresa.
DICA BÔNUS – RELATÓRIO DE IMPACTO (RIPD): O Relatório de impacto à proteção de dados pessoais é um documento produzido pelo Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais. O art. 10, §3º, estabelece ainda que a ANPD poderá solicitar ao Controlador o RIPD quando o tratamento tiver como fundamento o legítimo interesse ou ainda quando se tratar de tratamento de dados sensíveis. O RIPD deve conter no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta, com medidas, salvaguardas e mecanismos de mitigação de risco. A Elaboração do RIPD pode contar ainda com a ajuda do Operador, caso este seja parte integrante da operação de tratamento de dados pessoais. Portanto, se a sua empresa realiza algum tratamento de dados de alto risco e deseja passar no teste de adequação da LGPD, é de suma importância a elaboração de um Relatório de Impacto!
Se a sua empresa observa essas 5 dicas, é bem provável que esteja em conformidade com a LGPD, trilando o caminho da conformidade da LGPD. Mas, se por outro lado você descobriu que a sua empresa não segue nenhuma dessas 5 dias, entre em contato, o nosso escritório conta com soluções personalizadas para adequar sua empresa e elevar o nível de maturidade à LGPD.
[1] https://www.capterra.com.br/blog/2153/lgpd-pme#:~:text=A%20pesquisa%20do%20Capterra%20identificou%20que%2C%20desde%20que%20a%20LGPD,comentaram%20que%20n%C3%A3o%20tem%20certeza.
[2] https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019