O processo de adequação pode ser resumido em 4 etapas
Por Matheus Barcelos Martins
Muito tem se falado sobre a Lei Geral de Proteção de Dados (LGPD) nos últimos tempos, principalmente em razão da polêmica sobre a data de vigência da lei e pelos casos divulgados de vazamento de dados recentes.
Só que o fato é que a LGPD já é uma realidade que impacta há dois anos todos os tipos de negócios no Brasil, que em sua maioria esmagadora não estão preparados para lidar com as exigências da lei e não começaram o seu processo de adequação.
Quando falamos sobre conformidade e adequação à LGPD para empresas é importante lembrar que o impacto é imenso e passa por revisões de políticas internas de privacidade e de segurança da informação, treinamentos de colaboradores e alcança até a parte comercial da empresa.
Isto porque as operações de tratamento de dados pessoais realizados por pessoa física ou jurídica são abarcadas pela LGPD. Quer um exemplo?
Imagine que a sua empresa realiza campanhas online de divulgação de produtos/serviços e de atração de possíveis clientes. A coleta de dados dos possíveis clientes tem que ser feita de acordo com a LGPD, sob pena de receber punições que vão desde advertências até multa cujo teto é de R$ 50 milhões por cada infração.
E não acaba por aí. Sua empresa faz cadastro de clientes em papel? LGPD. Há uma equipe de análise de dados de pessoas físicas para sugerir melhorias em processos? LGPD. Os vendedores tem acesso a dados de clientes, o RH vai começar um recrutamento ou montou um funil de vendas? LGPD, LGPD e mais LGPD.
O processo de adequação pode ser resumido em 4 etapas: Assessment, Conformidade, Conscientização e Melhoria.
A etapa de Assessment consiste em entender o estado atual da organização, avaliar os procedimentos de tratamento de dados, mapear os riscos e priorizar ações futuras.
Já a etapa de Conformidade é onde a maior parte do esforço de adequação se concentra. Dentre várias medidas, devem ser elaborados relatórios de impacto, as políticas e documentação interna tem que ser revistas, procedimentos e produtos/serviços tem que ser aprovados em testes de privacidade e deve ser escolhido um responsável (chamado de Encarregado pelo Tratamento de Dados Pessoais ou Data Protection Officer).
A etapa de Conscientização se refere ao trabalho de treinamento da organização e dos colaboradores para lidar com as mudanças operacionais e estratégicas exigidas pela LGPD e de adoção de ações com os titulares de dados – as pessoas das quais os dados são coletados e tratados.
Por fim, na etapa de Melhoria existe o monitoramento das novas práticas adotadas pela organização e a gestão do processo de adequação como um todo, com o objetivo de identificar e tratar vulnerabilidades e descobrir pontos de melhoria.
Por isso, a adequação é uma jornada trabalhosa e que deve ser devidamente implementada com o máximo de velocidade possível, dada a iminência da entrada em vigor da LGPD e todas as consequências que isso acarreta – já há casos de fornecedores de grandes empresas que estão perdendo contratos por não terem se adequado à LGPD ainda e até mesmo de ações judiciais do Ministério Público exigindo informações sobre o tratamento de dados realizado por empresas.
Você está pronto para a LGPD?
Matheus Barcelos Martins Advogado especialista em Direito Empresarial e Compliance, fundador do Barcelos Martins Advogados, boutique de soluções jurídicas inovadoras especializada em negócios