Adequação à LGPD

Nossos contatos:

O que é a adequação?

Em resumo, é passar um “pente fino” nas operações de tratamento de dados de uma organização, documentar todos os processos de tratamento de dados e criar uma estrutura organizacional, processos e rotinas para que o tratamento de dados seja responsável.

A dificuldade e o volume de trabalho dependem do tamanho da organização, do engajamento da equipe no processo, do volume de tratamento de dados feito pela organização e da capacidade de organização interna da própria organização.

O processo de adequação é orientado pela consultoria, mas é executado em conjunto pela consultoria, pela organização, e eventualmente por seus parceiros, fornecedores e prestadores de serviço.

Por isso, antes de fecharmos contrato, o ideal é fazermos uma conversa direta com o mais alto nível de gestão da organização para explicarmos como funciona a adequação, o que esperar dela, quais os resultados a serem entregues, quais os efeitos práticos do processo e por que é necessário contar com o engajamento da equipe.

Uma organização pequena precisa passar por isso?

Quem ouve falar de “dados” pensa que a questão só interessa a empresas de grande porte. Na verdade, a proteção de dados deve ser princípio norteador de todas as atividades de organizações que lidem com dados pessoais, não importa seu tamanho.

A Autoridade Nacional de Proteção de Dados (ANPD) abriu uma consulta pública para construir o marco legal da aplicação da LGPD às organizações de pequeno porte. A proposta da ANPD flexibiliza, simplifica e dispensa certas obrigações aplicáveis a organizações de pequeno porte, mas não as isenta de adequar-se à LGPD (leia aqui um análise rápida que fizemos da proposta de normativa da ANPD).

Por isso, não importa o tamanho da organização: se lida com informação relacionada a pessoa natural identificada ou identificável ao oferecer ou fornecer bens ou serviços, precisa adequar-se à Lei Geral de Proteção de Dados (LGPD).

Por que fazer a adequação?

A primeira e principal razão: porque é uma obrigação legal. Organizações que coletam ou tratam dados de pessoas naturais no Brasil para fornecer bens ou serviços devem adequar-se à LGPD, sem exceção. Embora o medo das sanções administrativas seja um forte incentivo, é preciso olhar também para as vantagens da adequação de sua organização à LGPD

Privacidade é um direito humano básico dos nossos tempos

Além de reconhecido pela Constituição Federal brasileira (art. 5º, X), a privacidade é um direito reconhecido pela Convenção Americana sobre Direitos Humanos (art. 11) e pela Declaração Universal dos Direitos Humanos das Nações Unidas (art. 12).

O sistema ONU, inclusive, dispõe desde 2016 de um relator especial para o direito à privacidade: atualmente, é o prof. Joseph Cannataci, da Universidade de Malta, fellow da British Computer Society.

Tudo isso demonstra a importância dada ao tema nas últimas décadas em nível internacional.

O Brasil é um dos pioneiros do assunto, tem construído desde pelo menos 2014 um dos marcos legais mais avançadas no mundo sobre o tema, mas as organizações brasileiras ainda precisam incorporar em suas práticas internas o respeito à privacidade como forma de respeito a um direito humano básico.

Oportunidade para olhar “para dentro” e “arrumar a casa”

Como a adequação à LGPD implica em revisar contratos com fornecedores e prestadores de serviço, revisar contratos de trabalho, ajustar procedimentos internos e padronizar práticas, ela termina sendo uma oportunidade para “arrumar a casa”.

Este olhar para processos internos da organização e o tratamento de dados envolve vários setores nos mesmos processos, o que permite e potencializa uma verdadeira reorganização interna.

Um dos resultados mais notáveis é a geração de contato entre várias pessoas e departamentos envolvidos no mesmo tratamento de dados, o que promove debate interno e o alinhamento de políticas e procedimentos internos quanto à coleta, uso e descarte dos dados pessoais na organização. Processos de tratamento de dados costumam passar por setores da organização que nem se consideravam interligados, e processos como o mapeamento e a descoberta de dados na organização colocam em contato setores que talvez nem dialogassem, oportunizando novas formas e métodos de debate interno.

O resultado é uma organização que sabe exatamente o valor das informações e dados que trata, e por isso sabe onde é necessário exercer a maior transparência possível, inclusive como forma de apoio à mobilização sindical, e onde endurecer a proteção de dados, garantindo maior segurança às suas operações.

Criação de um ambiente de confiança com clientes, beneficiários e fornecedores

Um dos resultados mais consistentes dos processos de adequação à LGPD é a maior segurança jurídica conferida ao tratamento de dados na organização.

Como o aumento nos padrões de segurança neste campo reverberam por toda a organização, é a própria segurança da organização quem sai beneficiada. Gera-se, deste modo, um ciclo virtuoso em que as equipes de trabalho, a diretoria da organização e seus filiados terminam beneficiados pelas práticas desenvolvidas, podendo, inclusive, estendê-las a outros campos além da organização.

Além disso, atividades que se pensava estarem fora da cobertura da LGPD podem ser fundamentadas em hipóteses de tratamento adequadas à lei, o que garante maior flexibilidade ao tratamento de dados pela organização.

Como funciona a adequação?

Nossa metodologia leva em conta o tamanho da organização, as atividades que desempenha, o tipo de dados que trata, e passa pelas seguintes etapas:

• Entrevista com pessoas de setores-chave da organização;
• Mapeamento de dados (se necessário, envolvendo descoberta de dados);
• Análise de riscos;
• Avaliação das brechas de segurança de dados;
• Elaboração de matriz de risco e análise das bases legais para tratamento legítimo de dados;
• Elaboração de plano de ação para a adequação
• Orientação da implementação e documentação do programa de governança de dados;
• Relatório de recomendações para implementação do programa de governança de dados (normas, políticas, termos de uso etc.);
• Elaboração de diretrizes e estrutura de conformidade com a LGPD.

A depender do caso, e de acordo com o seu interesse, é possível fazer a adequação da organização inteira, ou fracioná-la de acordo com os setores da organização.

Contamos com ferramentas automatizadas para auxiliar no diagnóstico da organização, na elaboração da matriz de risco e do plano de ação. Com isso, poupamos até 40%, em média, do tempo que se espera de um processo de adequação feito por meios tradicionais.

Usamos sempre um princípio dialógico em nossa atuação. Entendemos que não é papel de um consultor externo chegar “dando ordens” numa organização. É preciso entender um pouco dos hábitos e rotinas dentro da organização, e também, na medida do possível, das pessoas que a compõem. Cabe ao consultor recomendar, fundamentadamente, soluções para que a organização se adeque à LGPD, apontando inclusive os riscos caso tais soluções não sejam adotadas. A decisão pela adução das soluções indicadas, entretanto, é sempre da organização.

Em quanto tempo minha organização fica adequada à LGPD?

Um processo de adequação pode demorar entre dois a oito meses, sempre a depender dos seguintes fatores:

• Engajamento do quadro dirigente da organização;
• Engajamento e responsividade das equipes executivas;
• Engajamento e responsividade dos fornecedores, parceiros e demais partes externas à organização cujo envolvimento se faça necessário;
• Receptividade às sugestões do consultor.

O fundamental, entretanto, é que a adequação à LGPD deve ser entendida como prioridade por toda a organização, e portanto incorporada nas rotinas de trabalho. Se a organização trata o assunto como responsabilidade exclusiva de um grupo focal, ou de poucas pessoas, o trabalho não renderá como deve.

Quais resultados são entregues ao final da adequação?

Os entregáveis de uma adequação à LGPD dependem muito da natureza e volume do tratamento de dados realizado pela organização, de seu porte e de seu ramo de atuação, mas encontram-se previstos nesta lista:

• Termos de uso;
• Políticas de privacidade para clientes e usuários/beneficiários;
• Definição de políticas e processos internos;
• Adequação de contratos com clientes, beneficiários, fornecedores, parceiros, Poder Público etc.;
• Controle de consentimentos;
• Construção de estrutura, regras e rotinas para atender às solicitações e reclamações de titulares de dados;
• Adoção de medidas de segurança técnicas e administrativas para proteção dos dados, inclusive para subcontratados e uso compartilhado;
• Elaboração de rotinas de aviso à ANPD e aos titulares sobre eventuais incidentes de segurança relevantes, em prazos razoáveis;
• Construção de sistemas e/ou processos de rastreabilidade dos dados para exclusão ao término do tratamento, a pedido do titular ou em razão de determinação da ANPD;
• Revisão de contratos e processos com subcontratados, fornecedores, correspondentes bancários, parceiros e outros terceiros;
• Obtenção do consentimento específico do titular para transmissão de dados para terceiros;
• Adequação de processos de seleção/recrutamento e contratação de colaboradores;
• Construção de estrutura de atendimento a pedidos de empregados, ex-empregados e prestadores de serviços (informações, acesso e cópia de dados, oposição etc.);
• Construção de estrutura dedicada de tratamento de dados sensíveis de clientes e colaboradores (dados sindicais, de saúde etc.);
• Montagem de estrutura de verificação de transferências internacionais de dados, abrangendo a necessidade de consentimento e as restrições para países sem lei de proteção de dados;
• Definição de cláusulas contratuais padrão e/ou normas corporativas globais (verificadas pela ANPD, quando necessário);
• Elaboração de relatório de impacto à proteção de dados pessoais, caso se identifique tratamento de dados realizado com fundamento em legítimo interesse ou que envolva dados sensíveis;
• Indicação de parceiros de TI para implementar soluções onde necessário;
• Indicação do encarregado de proteção de dados.

Minha organização precisa passar por isso?

Se lida com identificação de clientes ou beneficiários (nome, CPF, RG, endereço, telefone), hábitos (registro de compras, deslocamentos por GPS

O valor de um projeto de adequação depende das muitas variáveis já apresentadas: tamanho da organização, volume do tratamento de dados, natureza das atividades desenvolvidas, grau de exposição a risco, entre outros.