A importância da etapa do diagnóstico para a elaboração do programa de adequação à LGPD

A importância da etapa do diagnóstico para a elaboração do programa de adequação à LGPD

A implementação do programa de adequação à LGPD, para além de minimizar o risco de incidência das sanções administrativas, traz outras vantagens igualmente importantes.

 

Com a proximidade do início da aplicação das sanções administrativas (1º/8/21¹) previstas no art. 52 da lei 13.709², de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados Pessoais³ (LGPD), as empresas têm se apressado em busca da adequação às várias determinações do referido diploma legal.

Essa adequação se dá prioritariamente com a elaboração e a implementação efetiva de um programa que estabeleça regras de boas práticas e de governança relativamente ao tratamento de dados pessoais.

O número de etapas envolvidas no programa pode variar de acordo com as subdivisões definidas pelo(s) profissional(ais) responsável(eis) por sua elaboração. Independentemente disso, a etapa do diagnóstico (Data Mapping) deverá, obrigatoriamente, fazer parte da fase preliminar.

Isso porque é através desta etapa que o profissional terá condições de conhecer a estrutura da empresa e as práticas adotadas em relação ao tratamento dos dados pessoais.

Para tanto, caberá ao profissional investigar na etapa do diagnóstico:

a) quais são os dados pessoais coletados e a finalidade respectiva;
b) se existe base legal para essa coleta;
c) se a coleta atende aos princípios estabelecidos na LGPD (finalidade, necessidade, transparência, adequação etc.);
d) onde estão armazenados os dados pessoais;
e) se somente as pessoas estritamente necessárias têm acesso a esses dados, desde o momento em que eles são coletados até a sua exclusão;
f) como se dá o fluxo desses dados na organização;
g) se há compartilhamento (interno e/ou externo) desses dados e por quais meios;
h) por quanto tempo esses dados são armazenados;
i) se há dados sensíveis[4] armazenados;
j) diversas outras informações necessárias ao desenvolvimento dessa etapa.

Essa investigação poderá ser realizada por meio de questionários direcionados às diversas áreas da empresa, sendo complementada por entrevistas feitas com as pessoas-chave das respectivas áreas.

Somente com o conhecimento aprofundado sobre todas essas questões é que o profissional terá condições de desenvolver as demais etapas do programa de adequação à LGPD, identificando os problemas (Gap Analysis) e propondo os planos de ação necessários para eliminar ou mitigar os riscos respectivos.

Os problemas identificados podem ser os mais variados: a ausência de base legal para o tratamento do dado pessoal; a necessidade de adequação dos contratos com os fornecedores, clientes e colaboradores; a ausência de documentos necessários à regulamentação do tratamento dos dados (política de privacidade, termo de uso, termos de confidencialidade etc.); a necessidade da adoção de recursos tecnológicos para assegurar maior efetividade no controle do tratamento dos dados pessoais, entre outros.

É recomendável ainda que um profissional da tecnologia da informação também participe da etapa do diagnóstico para que os gaps tecnológicos possam ser igualmente mapeados e as soluções de ordem técnica possam ser consideradas na busca pela governança digital ideal para aquela organização.

Além disso, caso a empresa já tenha definido quem exercerá o papel de encarregado[5], é recomendável que ele também tenha acesso às respostas dos questionários e acompanhe as entrevistas realizadas na etapa do diagnóstico, pois geralmente essa pessoa ainda não possui a visão geral da empresa em relação ao tratamento de dados, sendo esse conhecimento bastante útil para o bom cumprimento de sua atribuição.

Portanto, a etapa do diagnóstico é, na verdade, a fundação do programa de adequação à LGPD, o seu alicerce. Exatamente por isso que um levantamento superficial realizado nessa etapa poderá comprometer toda a estruturação do programa, uma vez que diversas vulnerabilidades poderão passar despercebidas e, por óbvio, não serão objeto de qualquer consideração nas etapas seguintes.

Por fim, vale destacar que a implementação do programa de adequação à LGPD, para além de minimizar o risco de incidência das sanções administrativas, traz outras vantagens igualmente importantes. Na verdade, o programa bem estruturado e devidamente aplicado promoverá (ou reforçará) a cultura organizacional de compliance em relação ao tratamento de dados pessoais, a proteção contra eventuais ataques cibernéticos ou vazamentos de dados e a habilitação da organização para a realização de negócios com outras empresas que exijam que seus parceiros também estejam em conformidade com as determinações da LGPD.

Conteúdo produzido pelo advogado Sócio de Tolentino Advogados, Renato Almeida Viana.

A nossa equipe se coloca à disposição para esclarecimentos adicionais sobre o tema.

____

1 Art. 65. Esta Lei entra em vigor:

(…)

I-A – dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54;

2 Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

3 Art. 5º Para os fins desta Lei, considera-se:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

4 Art. 5º Para os fins desta Lei, considera-se:

(…)

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

5 Art. 5º Para os fins desta Lei, considera-se:

(…)

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

No Comments

Sorry, the comment form is closed at this time.