LGPD: como começar a implementar em meu negócio?

LGPD: como começar a implementar em meu negócio?

LGPD: como começar a implementar em meu negócio?

Depois de muitas idas e vindas, a LGPD finalmente está em vigor!

Com a sanção da Medida Provisória 959 por Jair Bolsonaro, a norma tem sua vigência de 18 de setembro de 2020. Como o Senado havia determinado a validade imediata da norma após a manifestação do Presidente da República, não há mais prazo para ser aguardado (salvo os das sanções).

A norma é um marco representativo na defesa da privacidade dos cidadãos. Após o Habeas Data da Constituição Federal de 1988 e a Lei de Acesso à Informação (Lei Federal n.º 12.527/2011), agora definitivamente temos a Lei Geral de Proteção de Dados (Lei Federal n.º 13.709/2018), que regulamenta o tratamento de dados em nosso país.

Considerando que a Lei dispõe sobre o tratamento de dados por pessoas (físicas ou jurídicas, públicas ou privadas) e o rol de ações consideradas como “tratamento” é extenso (coleta, produção, recepção, classificação, utilização, acesso…), é bem provável que o seu negócio se enquadre no conceito de “controlador”, e precise de adequar à norma.

Aí, eu faço a pergunta: você já está preparado?

Se não, e não sabe nem por onde começar, vou te dar uma breve lista de algumas ações essenciais para que você dê os primeiros passos na organização do tratamento de dados dentro da sua empresa ou instituição!

Conheça a lei!

O cumprimento às normas de proteção de dados exigem que você conheça os detalhes da instituição a ser adequada (empresa, instituição, pessoa física) e a própria LGPD. Supondo, então, que você já conhece bem o seu negócio, é essencial que tenha o conhecimento da lei. Portanto, reserve um tempo para realizar a sua leitura (clique aqui). A LGPD é uma lei curta (o que não significa que é simples)!

Saiba os conceitos básicos da norma

Algumas definições são de conhecimento obrigatório por parte do gestor de qualquer negócio. Saber o que é controlador, operador, dado pessoal, dado sensível, dado anonimizado, ANPD, Encarregado de Proteção de Dados (DPO) é um passo importante para a sua correta conformidade. A lista dos principais conceitos está no art. 5º da Lei.

Tenha em mente os princípios e requisitos definidos pela Lei

Os princípios são os parâmetros que deverão guiar qualquer atividade de tratamento de dados, sendo eles o da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (art. 6º).

Ademais, é preciso conhecer também os requisitos, que são as condições legais que autorizam o tratamento de dados por parte de seu detentor, para que você possa fundamentar corretamente se questionado sobre “quem lhe deu autorização para usar os meus dados“?

Respeite os direitos dos titulares de dados

Mesmo sem uma estrutura de proteção ainda desenhada em seu negócio, é muito importante que – desde já – você respeite os direitos dos titulares dos dados. Regra geral, eles estão listados no art. 18 da LGPD, e se resumem no direito do titular a obter do controlador a confirmação de existência de tratamento; o acesso aos dados; a correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; a portabilidade dos dados; eliminação dos dados pessoais tratados com o consentimento do titular; informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa e revogação do consentimento.

Lembre-se que a Lei exige presteza e transparência no atendimento a essas solicitações, e fixa o prazo de quinze dias para o atendimento de solicitação de confirmação de existência de tratamento e acesso aos dados. Descumprir esse prazo é descumprir a lei.

Coloque na pauta (para ontem) a estruturação o Programa da Proteção de Dados da sua empresa

Você precisa conhecer a Lei. Entretanto, mais que isso, você precisa estruturar um programa de proteção de dados dentro do seu negócio. Aqui, você necessitará de um auxílio técnico que estruture as políticas e processos de organização da proteção de dados.

Essa estrutura dependerá de uma análise de diversos fatores, tais como porte do negócio, risco da atividade e quantidade de dados envolvidos, e não é simples. Há uma série de tarefas a serem realizadas que demandam um conhecimento técnico, tais como data mapping, design de privacidade, avisos e políticas de privacidade, aditivos contratuais, treinamentos, plano de resposta à incidentes, entre outros.

Determine e dê publicidade à figura do DPO

A LGPD, diferente da lei europeia (GDPR), exigiu que todo controlador (de forma superficial, leia “empresas/instituições”) tenha a figura do Encarregado de Proteção de Dados (DPO). Ele será o elo entre o controlador, o titular dos dados e a ANPD. Entre as suas atribuições, estão a de manter a comunicação com os titulares, receber os comunicados da ANPD, orientar funcionários e realizar atribuições diversas.

No melhor dos cenários, o ideal é que o DPO seja nomeado em conjunto com a estruturação do programa de proteção de dados, pois ele deve ter ciência e será o responsável pelo controle de diversas dessas demandas. Entretanto, para não ficar em desconformidade legal, é importante que as instituições já designem os seus DPO’s, dando publicidade institucional a quem exercerá o cargo e o seu contato oficial.

Compreendido? Agora é a hora de executar!

Autoria

Lucas Bezerra

SÓCIO DIRETOR - Atuação especializada no assessoramento jurídico de startups e operações de M&A.

whatsapp button