A LGPD (Lei Geral de Proteção de Dados) é a legislação brasileira de proteção de dados pessoais que se assemelha àquela que entrou em vigor na União Europeia em 2018 (GDPR). Contudo, a Lei brasileira entrará em vigor apenas em agosto de 2020.

Mesmo assim, como existem diversos pontos sensíveis em relação a essa questão, as empresas precisam começar a se adequar às novas normas desde já. Caso deixem para fazer isso na última hora, certamente enfrentarão grandes problemas. É possível inclusive que incorram em irregularidades e sejam punidas por isso.

Dessa forma, para ajudar você no tocante a esse assunto, detalharemos abaixo 3 das ações indispensáveis para a correta implementação da LGPD na sua empresa. Confira!

LGPD: Criação de uma governança sobre o tratamento dos dados

Um aspecto indispensável para que a sua empresa implemente a LGPD adequadamente é ter um projeto de governança sobre o tratamento dos dados pessoais. Isso porque é essencial saber todos os detalhes sobre os dados. São coisas como:

• Como eles foram coletados (se teve o devido consentimento da pessoa física);
• Por que e como eles estão sendo usados (para quais finalidades).

Cada tratamento que é realizado deve ser devidamente mapeado e deve haver uma justificativa para aquela ação ter acontecido. Mas para que exatamente serve isso?

O intuito desse mapeamento é resguardar a organização contra eventuais acusações de irregularidade. Isso porque, em algumas situações, a Autoridade Nacional de Tratamento de Dados poderá solicitar essas informações. O objetivo dessa autoridade é exatamente fiscalizar as empresas e entender como elas estão tratando os dados pessoais coletados.

Por isso, as organizações precisam ter o que chamamos de “cadeia de custodia auditável”. É isso que possibilitará a adequada explicação do porquê de a empresa estar tratando aqueles dados e mostrar de forma eficiente toda a trajetória do dado dentro da companhia.

Desenvolvimento de um procedimento para notificação de vazamento

A notificação de vazamento é um conceito novo em se tratando da proteção de dados no Brasil. Na verdade, a LGPD não especifica detalhadamente essa questão. Porém, no âmbito da nova legislação, vazamento tem um conceito mais amplo. Ele envolve coisas que vão além do vazamento na acepção da palavra (a saída do dado), e envolvem eventos diversos, tais como:

• Destruição;
• Acesso indevido;
• Perda; e
• Alteração.

Até hoje, a ocorrência de um vazamento de dados, na maioria das vezes, é mantida em segredo dentro da empresa. Isso porque não há a obrigação legal de tornar isso público ou notificar alguma autoridade ou mesmo as próprias pessoas que tiveram seus dados vazados.

Contudo, a LGPD traz a obrigatoriedade da notificação de vazamento. Sendo que os prazos relativos a essa questão ainda serão definidos pela Autoridade Nacional de Proteção de Dados. Mas é possível ter uma ideia disso usando a legislação da União Europeia (GDPR) como referência.

Prazo para a realização da notificação

No caso da GDPR, o prazo para as empresas notificarem a autoridade responsável sobre um vazamento é de 72 horas. Ou seja, é um espaço de tempo bastante curto para efetivar todas as aprovações necessárias para a realização da notificação.

Exatamente por isso, um dos aspectos essenciais para a devida implementação da LGPD é a criação de um procedimento que viabilize realizar essa notificação (caso ocorra um vazamento) dentro do prazo estipulado pela Autoridade Nacional de Proteção de Dados. Esse procedimento, naturalmente, deve decidir previamente coisas como:

• Em quais situações a empresa realizará a notificação;
• Como acontecerá essa notificação (os meios pelos quais ela será realizada); e
• Quais serão as aprovações (internas) necessárias para a realização da notificação.

Vale destacar ainda que a LGPD cita a necessidade de notificação à Autoridade e também aos titulares dos dados. Porém, em relação ao segundo ponto, ainda é necessário ter mais esclarecimentos para tratar sobre ele adequadamente. De qualquer forma, isso representará mais um desafio para as empresas no tocante à implementação da nova Lei.

Concepção de um processo para disponibilizar informações solicitadas pelos titulares dos dados pela LGPD

A LGPD estabelece que, quando houver a solicitação, as empresas devem disponibilizar, em um prazo de 15 dias, informações sobre o tratamento dos dados aos seus titulares.

Por isso, as organizações precisam criar todo um processo para viabilizar o exercício desse direito dos titulares. O primeiro passo é estabelecer uma forma de os titulares entrarem em contato para apresentar a solicitação. Realizado esse pedido, os titulares devem receber uma resposta em até 15 dias, de uma maneira inteligível, porém segura (para evitar vazamento).

Desse modo, a criação desse processo para a disponibilização de informações aos titulares dos dados é essencial. Sem isso, é provável que as organizações enfrentem sérios problemas.

Conclusão

O que as empresas precisam ter em mente é que implementar a LGPD não se trata de um processo específico. Não é algo que pode ser feito do dia para a noite. Na verdade, trata-se de uma jornada. E que não termina um dia, é uma nova cultura que exigirá verificação, melhoria e atualizações constantes.

Isso acontece exatamente pelo fato de ser necessário criar novos processos e procedimentos dentro das organizações. Ou seja, tudo depende de questões, muitas vezes, sensíveis, e que precisam ser trabalhadas com muito cuidado. Apenas assim é possível implementar a LGPD na sua empresa de forma segura e eficiente.

A sua empresa precisa de auxílio especializado para implementar a LGPD? Então entre em contato com o PK Advogados e saiba como podemos ajudá-la nesse processo!