Adequação à LGPD

O que é a adequação?

Em resumo, é passar um “pente fino” nas operações de tratamento de dados de uma organização, documentar todos os processos de tratamento de dados e criar uma estrutura organizacional, processos e rotinas para que o tratamento de dados seja responsável.

A dificuldade e o volume de trabalho dependem do tamanho da organização, do engajamento da equipe no processo, do volume de tratamento de dados feito pela organização e da capacidade de organização interna da própria organização.

O processo de adequação é orientado pela consultoria, mas é executado em conjunto pela consultoria, pela organização, e eventualmente por seus parceiros, fornecedores e prestadores de serviço.

Por isso, antes de fecharmos contrato, o ideal é fazermos uma conversa direta com o mais alto nível de gestão da organização para explicarmos como funciona a adequação, o que esperar dela, quais os resultados a serem entregues, quais os efeitos práticos do processo e por que é necessário contar com o engajamento da equipe.

Uma organização pequena precisa passar por isso?

Quem ouve falar de “dados” pensa que a questão só interessa a empresas de grande porte. Na verdade, a proteção de dados deve ser princípio norteador de todas as atividades de organizações que lidem com dados pessoais, não importa seu tamanho.

A Autoridade Nacional de Proteção de Dados (ANPD) abriu uma consulta pública para construir o marco legal da aplicação da LGPD às organizações de pequeno porte. A proposta da ANPD flexibiliza, simplifica e dispensa certas obrigações aplicáveis a organizações de pequeno porte, mas não as isenta de adequar-se à LGPD (leia aqui um análise rápida que fizemos da proposta de normativa da ANPD).

Por isso, não importa o tamanho da organização: se lida com informação relacionada a pessoa natural identificada ou identificável ao oferecer ou fornecer bens ou serviços, precisa adequar-se à Lei Geral de Proteção de Dados (LGPD).

Por que fazer a adequação?

A primeira e principal razão: porque é uma obrigação legal. Organizações que coletam ou tratam dados de pessoas naturais no Brasil para fornecer bens ou serviços devem adequar-se à LGPD, sem exceção. Embora o medo das sanções administrativas seja um forte incentivo, é preciso olhar também para as vantagens da adequação de sua organização à LGPD

Privacidade é um direito humano básico dos nossos tempos

Além de reconhecido pela Constituição Federal brasileira (art. 5º, X), a privacidade é um direito reconhecido pela Convenção Americana sobre Direitos Humanos (art. 11) e pela Declaração Universal dos Direitos Humanos das Nações Unidas (art. 12).

O sistema ONU, inclusive, dispõe desde 2016 de um relator especial para o direito à privacidade: atualmente, é o prof. Joseph Cannataci, da Universidade de Malta, fellow da British Computer Society.

Tudo isso demonstra a importância dada ao tema nas últimas décadas em nível internacional.

O Brasil é um dos pioneiros do assunto, tem construído desde pelo menos 2014 um dos marcos legais mais avançadas no mundo sobre o tema, mas as organizações brasileiras ainda precisam incorporar em suas práticas internas o respeito à privacidade como forma de respeito a um direito humano básico.

Oportunidade para olhar “para dentro” e “arrumar a casa”

Como a adequação à LGPD implica em revisar contratos com fornecedores e prestadores de serviço, revisar contratos de trabalho, ajustar procedimentos internos e padronizar práticas, ela termina sendo uma oportunidade para “arrumar a casa”.

Este olhar para processos internos da organização e o tratamento de dados envolve vários setores nos mesmos processos, o que permite e potencializa uma verdadeira reorganização interna.

Um dos resultados mais notáveis é a geração de contato entre várias pessoas e departamentos envolvidos no mesmo tratamento de dados, o que promove debate interno e o alinhamento de políticas e procedimentos internos quanto à coleta, uso e descarte dos dados pessoais na organização. Processos de tratamento de dados costumam passar por setores da organização que nem se consideravam interligados, e processos como o mapeamento e a descoberta de dados na organização colocam em contato setores que talvez nem dialogassem, oportunizando novas formas e métodos de debate interno.

O resultado é uma organização que sabe exatamente o valor das informações e dados que trata, e por isso sabe onde é necessário exercer a maior transparência possível, inclusive como forma de apoio à mobilização sindical, e onde endurecer a proteção de dados, garantindo maior segurança às suas operações.

Criação de um ambiente de confiança com clientes, beneficiários e fornecedores

Um dos resultados mais consistentes dos processos de adequação à LGPD é a maior segurança jurídica conferida ao tratamento de dados na organização.

Como o aumento nos padrões de segurança neste campo reverberam por toda a organização, é a própria segurança da organização quem sai beneficiada. Gera-se, deste modo, um ciclo virtuoso em que as equipes de trabalho, a diretoria da organização e seus filiados terminam beneficiados pelas práticas desenvolvidas, podendo, inclusive, estendê-las a outros campos além da organização.

Além disso, atividades que se pensava estarem fora da cobertura da LGPD podem ser fundamentadas em hipóteses de tratamento adequadas à lei, o que garante maior flexibilidade ao tratamento de dados pela organização.

Como funciona a adequação?

Nossa metodologia leva em conta o tamanho da organização, as atividades que desempenha, o tipo de dados que trata, e passa pelas seguintes etapas:

A depender do caso, e de acordo com o seu interesse, é possível fazer a adequação da organização inteira, ou fracioná-la de acordo com os setores da organização.

Contamos com ferramentas automatizadas para auxiliar no diagnóstico da organização, na elaboração da matriz de risco e do plano de ação. Com isso, poupamos até 40%, em média, do tempo que se espera de um processo de adequação feito por meios tradicionais.

Usamos sempre um princípio dialógico em nossa atuação. Entendemos que não é papel de um consultor externo chegar “dando ordens” numa organização. É preciso entender um pouco dos hábitos e rotinas dentro da organização, e também, na medida do possível, das pessoas que a compõem. Cabe ao consultor recomendar, fundamentadamente, soluções para que a organização se adeque à LGPD, apontando inclusive os riscos caso tais soluções não sejam adotadas. A decisão pela adução das soluções indicadas, entretanto, é sempre da organização.

Em quanto tempo minha organização fica adequada à LGPD?

Um processo de adequação pode demorar entre dois a oito meses, sempre a depender dos seguintes fatores:

O fundamental, entretanto, é que a adequação à LGPD deve ser entendida como prioridade por toda a organização, e portanto incorporada nas rotinas de trabalho. Se a organização trata o assunto como responsabilidade exclusiva de um grupo focal, ou de poucas pessoas, o trabalho não renderá como deve.

Quais resultados são entregues ao final da adequação?

Os entregáveis de uma adequação à LGPD dependem muito da natureza e volume do tratamento de dados realizado pela organização, de seu porte e de seu ramo de atuação, mas encontram-se previstos nesta lista:

Minha organização precisa passar por isso?

Se lida com identificação de clientes ou beneficiários (nome, CPF, RG, endereço, telefone), hábitos (registro de compras, deslocamentos por GPS

O valor de um projeto de adequação depende das muitas variáveis já apresentadas: tamanho da organização, volume do tratamento de dados, natureza das atividades desenvolvidas, grau de exposição a risco, entre outros.

Para uma avaliação mais detalhada, entre em contato conosco e vamos conversar!


Voltar para a página principal do site