Processo de Adequação à LGPD

Vigente em nosso país desde 18 de setembro de 2020, a Lei nº 13.709/2018, também conhecida como Lei Geral de Proteção de Dados (LGPD) é um regramento jurídico de grande impacto para as instituições privadas, por trazer uma série de exigências legais para o uso de dados pessoais para qualquer operação de tratamento que seja realizada por pessoa física ou por pessoa jurídica de direito privado ou público, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.

O prazo estabelecido para aplicação das penalidades administrativas da legislação inicia-se em 01 de agosto de 2021 e dentre as exigências temos a necessidade de se tratar dados pessoais com finalidade específica e nas hipóteses permitidas pela lei, devendo as empresas controladoras de dados operar com zelo e cuidado as informações obtidas.

Caso as empresas não se adequem a essa nova realidade poderão sofrer sanções administrativas que vão desde a aplicação de multas de cinquenta milhões de reais até o bloqueio parcial do tratamento de dados, podendo inviabilizar as atividades empresariais.

As exigências legais trazem grande impacto para escritórios de contabilidade e advocacia, em razão da grande quantidade de dados pessoais que são coletados na base de dados da empresa para fins de cumprimento regular de suas atividades e execuções de contratos.

A Autoridade Nacional de Proteção de Dados publicou, no início de junho de 2021, o "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado".

O documento é de suma importância para esclarecer as dúvidas quanto aos conceitos e aspectos relacionados aos agentes de tratamento da LGPD, quais sejam, o controlador, o operador e o encarregado de dados pessoais.

Entre as principais funções do controlador temos o relatório de impacto à proteção de dados pessoais (art. 38), comprovar que o consentimento obtido do titular atende às exigências legais (art.8º, §2º) e comunicar à Autoridade Nacional de Proteção de Dados a ocorrência de incidentes de segurança.

Além disso, deve o Controlador indicar um encarregado de tratamento de dados pessoais. O encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD.

Ao contrário das legislações estrangeiras, a legislação brasileira não cuidou de determinar em qual circunstância a organização deverá indicar um DPO, assim, devemos presumir, como regra geral, que toda organização precisará indicar uma pessoa para assumir esse papel.

Para se adequar é preciso pensar na adoção de boas práticas e implantação de um processo de governança pois, conforme o artigo 50 da LGPD, "os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança" sobre o tema.

Isso quer dizer que essas empresas precisam ter conhecimento dos seus processos internos, realizando o mapeamento dos dados pessoais, identificando as hipóteses legais para o tratamento e quais as medidas de segurança que são aplicadas para resguardar a empresa em um caso de um possível incidente de segurança de dados pessoais.

Com o resultado do mapeamento deve então ser pensado na criação de um modelo de governança para guarda desses dados, por meio da criação de um modelo de gestão do ciclo de vida de dados pessoais, trabalhando também nas políticas de privacidade e segurança da informação, aplicando a estrutura de governança em todos os processos que envolvem o tratamento de dados pessoais.

O processo de adequação à LGPD é um fluxo contínuo, por isso é preciso estar atento às fórmulas prontas disponíveis no mercado, pois a demanda judicial pela proteção de dados deve aumentar nos próximos anos. Inclusive, no Brasil, somente em 2021 já temos mais de 600 processos envolvendo o tema no judiciário brasileiro.

Tais informações deixam claras que não existe fórmula pronta para adequação, sendo necessário elaborar uma verdadeira estrutura de compliance, agregando a segurança da informação, gestão de risco e gestão de processos para que se possa mitigar os riscos de penalidades previstas na LGPD.

Artigo produzido por Ronald Feitosa

Sócio-Diretor do Escritório Imaculada Gordiano Sociedade de  Advogados , DPO  com certificação EXIN – Privacy and Data Protection Foundation. Privacy and  Data Protection Practitioner e ISO27001. Graduado em Direito pela Universidade de Fortaleza  (UNIFOR); Pós-Graduado em direito e Novas Tecnologias pela Universidade de Fortaleza (UNIFOR);  MBA em Direito Tributário pela Faculdade Getúlio Vargas (FGV).