A adequação das empresas à LGPD é bem mais complexa do que pode parecer em um primeiro momento, pois serão afetadas várias áreas, incluindo os pontos de risco de operação, sendo importante um engajamento amplo da alta direção das empresas para implantação da proteção, gestação e governança dos dados pessoais.

Para orientar o início de um projeto de adequação das empresas, listamos abaixo os principais pontos de atenção que precisam ser avaliados em suas operações de tratamento de dados pessoais, visando implantar novos processos, políticas e sistemas de gestão destes dados:

a) Registro do tratamento: As empresas deverão manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

b) Relatório de Impacto à Proteção de Dados: O controlador do tratamento dos dados terá que produzir o relatório de impacto à proteção de dados pessoais (similar ao DPIA do GDPR), inclusive de dados sensíveis, referente às suas operações, mediante solicitação da autoridade nacional. Este relatório deverá conter descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, incluindo tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação as medidas, salvaguardas e mecanismos de mitigação de risco adotados.

c) Encarregado pelo Tratamento de Dados Pessoais: Nos casos em que o encarregado tiver que ser nomeado, a empresa deverá fornecer a sua identidade e as informações de contato publicamente, preferencialmente no seu website. Este será responsável por: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados sobre as normas de proteção de dados pessoais; e (vi) executar as demais atribuições determinadas pela empresa ou normas complementares.

d) Segurança: As empresas deverão verificar se o tratamento de dados pessoais está sendo realizado de maneira segura, em razão do modo pelo qual é realizado, do resultado e os riscos que razoavelmente dele se esperam ou das técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. As empresas deverão adotar regras de segurança na fase de concepção do produto ou do serviço até a sua execução (privacy by design). Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios gerais previstos na lei e às demais normas regulamentares (privacy by default).

e) Comunicação de vazamento: O controlador deverá comunicar a autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, conforme definido pela autoridade nacional. A divulgação pública do fato em meios de comunicação poderá ser determinada pela autoridade nacional, de acordo com a gravidade do incidente, podendo ainda determinar medidas para reverter ou mitigar os efeitos do incidente.

f) Auto regulação de Boas Práticas e da Governança: Os agentes de tratamento de dados pessoais podem formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Dentre as normas de boas práticas os agentes de tratamento deverão elaborar e seguir um Programa de Governança em Privacidade efetivo que: (i) contenha demonstração do comprometimento do controlador com a proteção de dados; (ii) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo em que se realizou sua coleta; (iii) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; (iv) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; (v) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; (vi) esteja integrado à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; (vii) conte com planos de resposta a incidentes e remediação; e (viii) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.